Проверка подлинности на основе сертификата Microsoft Entra на устройствах Android
Проверка подлинности на основе сертификатов Microsoft Entra поддерживается с сертификатами, подготовленными на устройстве, и с внешними ключами безопасности, такими как YubiKeys.
Необходимые условия
- Версия Android должна быть Android 5.0 (Lollipop) или более поздней.
- Сторонние приложения Майкрософт с последними библиотеками MSAL или Microsoft Authenticator могут выполнять CBA.
- Сторонние приложения, использующие последние библиотеки MSAL или интегрированные с Microsoft Authenticator, могут выполнять CBA.
CBA с сертификатами на устройстве
Клиенты могут использовать свой выбор управления мобильными устройствами (MDM) для подготовки сертификатов на устройстве. Конечные пользователи должны сначала зарегистрировать свои устройства в MDM и получить сертификат, подготовленный на устройстве. После подготовки сертификата на устройстве пользователи могут пройти проверку подлинности с помощью CBA.
Действия по тестированию YubiKey в приложениях Майкрософт на Android:
- Откройте Outlook.
- Выберите Добавить аккаунт и введите основное имя пользователя (UPN).
- Нажмите Продолжить.
- Выберите Использовать сертификат или смарт-карту.
- Выберите сертификат на устройстве в диалоговом окне**.**
- Откроется средство выбора сертификатов.
- Выберите сертификат, связанный с учетной записью пользователя. Нажмите кнопку Продолжить.
- Пользователь может получить доступ к ресурсу Outlook, если проверка подлинности выполнена успешно.
CBA с сертификатами на защищённом аппаратном ключе
Сертификаты могут быть установлены на внешних устройствах, таких как аппаратные ключи безопасности, вместе с ПИН-кодом для защиты доступа к закрытому ключу. Идентификатор Microsoft Entra поддерживает аутентификацию на основе сертификатов (CBA) с помощью YubiKey.
Преимущества сертификатов на аппаратном ключе безопасности
Ключи безопасности с сертификатами:
- Имеется перемещаемый характер ключа безопасности, который позволяет пользователям использовать один и тот же сертификат на разных устройствах.
- Защищены аппаратно с помощью ПИН-кода, что делает их устойчивыми к фишингу.
- Предоставьте многофакторную проверку подлинности с ПИН-кодом в качестве второго фактора для доступа к закрытому ключу сертификата.
- Удовлетворите необходимость отрасли в использовании MFA на отдельном устройстве.
- Помощь в создании запасных возможностей для будущего, где можно хранить несколько учетных данных, включая ключи Fast Identity Online 2 (FIDO2).
Microsoft Entra CBA на мобильных устройствах Android с YubiKey
Android требует приложения промежуточного слоя, чтобы иметь возможность поддерживать смарт-карты или ключи безопасности с сертификатами. Для поддержки YubiKeys с Microsoft Entra CBA пакет SDK для YubiKey Android интегрирован в код брокера Майкрософт, который можно использовать с помощью последней библиотеки проверки подлинности Майкрософт (MSAL).
Поскольку Microsoft Entra CBA с YubiKey для мобильных устройств Android активирован с помощью последней версии MSAL, приложение YubiKey Authenticator не требуется для поддержки Android.
Действия по тестированию YubiKey в приложениях Майкрософт на Android:
- Установите Microsoft Authenticator.
- Если в YubiKey есть USB-C, откройте Outlook и подключитесь к YubiKey.
- Выберите Добавить учетную запись и введите основное имя пользователя (UPN).
- Щелкните Продолжить, и когда будет запрошено разрешение на доступ к YubiKey, нажмите ОК.
- Выберите Использовать сертификат или смарт-карту.
- Если вы используете Yubikey с поддержкой NFC, удерживайте Yubikey на задней части устройства.
- Появится пользовательское окно выбора сертификатов.
- Выберите сертификат, связанный с учетной записью пользователя, и нажмите кнопку Продолжить.
- Введите ПИН-код для доступа к YubiKey и выберите Разблокировать.
- Если вы используете Yubikey с NFC, удерживайте Yubikey на задней части телефона еще раз, чтобы проверить ПИН-код.
- После успешной проверки подлинности вы можете получить доступ к Outlook.
Заметка
Для плавного потока CBA подключите YubiKey сразу после открытия приложения и примите запрос на согласие от YubiKey, прежде чем выбрать ссылку Использовать сертификат или смарт-карту. Если вы хотите использовать только одно подключение, рассмотрите возможность подключения пользователей к YubiKey с помощью USB вместо NFC, которое необходимо сделать только один раз в начале входа.
Поддержка клиентов Exchange ActiveSync
Поддерживаются некоторые приложения Exchange ActiveSync в Android 5.0 (Lollipop) или более поздней версии. Чтобы определить, поддерживает ли ваше почтовое приложение Microsoft Entra CBA, обратитесь к разработчику приложения.
Поддерживаемые варианты использования Microsoft Entra
Поддержка мобильных приложений Майкрософт
| Приложения | Поддержка |
|---|---|
| Приложение Azure Information Protection | ✅ |
| Корпоративный портал | ✅ |
| Microsoft Teams | ✅ |
| Office (мобильное устройство) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype для бизнеса | ✅ |
| Word/ Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| Браузер Edge с именем входа в профиль | ✅ |
| Управляемый начальный экран | ✅ |
Браузеры
| Операционная система | Сертификат Chrome на устройстве | Смарт-карта и ключ безопасности Chrome | Сертификат Safari на устройстве | Смарт-карта и ключ безопасности Safari | Эдж-сертификат на устройстве | Смарт-карта/ключ безопасности Edge |
|---|---|---|---|---|---|---|
| Андроид | ✅ | ❌ | N/A | N/A | ✅ | ❌ |
Заметка
Хотя Edge в качестве браузера не поддерживается, Edge в качестве профиля (для входа в учетную запись) — это приложение MSAL, которое поддерживает CBA в Android.
Операционные системы
| Операционная система | Сертификат на устройстве или производный PIV | Смарт-карты и ключи безопасности |
|---|---|---|
| Андроид | ✅ | Только поддерживаемые поставщики |
Поставщики ключей безопасности
| Поставщик | Андроид |
|---|---|
| YubiKey | ✅ |
Устранение неполадок сертификатов на аппаратном ключе безопасности
Что произойдет, если у пользователя есть сертификаты на устройстве Android и YubiKey?
- Если у пользователя есть сертификаты как на Android-устройстве, так и на YubiKey, то если YubiKey подключен до того, как пользователь нажмет Использовать сертификат или смарт-карту, пользователю будут показаны сертификаты в YubiKey.
- Если YubiKey не подключен, прежде чем пользователь нажимает использовать сертификат или смарт-карту, пользователю будет предложено выбрать между сертификатами на устройстве и на физической смарт-карте. Если пользователь выберет сертификат на устройстве, ему будут показаны сертификаты на устройстве. Если пользователь выбирает сертификаты на физических смарт-картах, подключите или приложите YubiKey сзади, и пользователю будут показаны сертификаты в YubiKey.
My YubiKey заблокирован после неправильного ввода ПИН-кода три раза. Как исправить его?
- Пользователи должны увидеть диалоговое окно с сообщением о том, что было выполнено слишком много попыток ПИН-кода. Это диалоговое окно также появится во время последующих попыток выбрать использовать сертификат или смарт-карту.
- Пользователи должны обратиться к администратору, чтобы сбросить ПИН-код YubiKey.
Я установил Microsoft Authenticator, но по-прежнему не вижу возможности проверки подлинности на основе сертификатов с помощью YubiKey.
Перед установкой Microsoft Authenticator удалите корпоративный портал и установите его после установки Microsoft Authenticator.
Поддерживает ли Microsoft Entra CBA YubiKey через NFC?
Microsoft Entra CBA поддерживает использование YubiKey с USB и NFC.
После сбоя CBA повторное нажатие на параметр CBA в ссылке "Другие способы входа" на странице ошибок также приводит к сбою.
Эта проблема возникает из-за кэширования сертификатов. В качестве обходного решения нажмите кнопку "Отмена" и перезапуск потока входа позволит пользователю выбрать новый сертификат и успешно войти.
Microsoft Entra CBA с YubiKey не работает. Какие сведения помогут отладить проблему?
- Откройте приложение Microsoft Authenticator, щелкните значок трех точек в правом верхнем углу и выберите отправить отзыв.
- Щелкните Возникли проблемы?.
- Чтобы Выбрать параметр, выберите Добавить или войти в учетную запись.
- Описать все сведения, которые вы хотите добавить.
- Щелкните стрелку отправки в правом верхнем углу. Обратите внимание на код, указанный в появившемся диалоговом окне.
Дальнейшие действия
- Обзор Microsoft Entra CBA
- Технический углубленный анализ Microsoft Entra CBA
- Как настроить Microsoft Entra CBA
- Microsoft Entra CBA на устройствах iOS
- Вход в систему Windows с использованием карты SmartCard с помощью Microsoft Entra CBA
- Идентификаторы пользователей для сертификата
- Перенос федеративных пользователей
- вопросы и ответы