Проверка подлинности на основе сертификата Microsoft Entra в iOS и macOS
В этом разделе рассматривается поддержка проверки подлинности на основе сертификатов (CBA) Microsoft Entra для устройств macOS и iOS.
Проверка подлинности на основе сертификата Microsoft Entra на устройствах macOS
Устройства под управлением macOS могут использовать CBA для проверки подлинности с Microsoft Entra ID, используя клиентский сертификат X.509. Microsoft Entra CBA поддерживается с сертификатами на устройстве и внешними защищенными аппаратными ключами безопасности. В macOS Microsoft Entra CBA поддерживается во всех браузерах и в приложениях майкрософт для сторонних разработчиков.
Браузеры, поддерживаемые в macOS
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Вход на устройство macOS с помощью Microsoft Entra CBA
Сегодня Microsoft Entra CBA не поддерживает вход, основанный на устройствах, для компьютеров на macOS. Сертификат, используемый для входа на устройство, может быть тем же сертификатом, который используется для аутентификации в Microsoft Entra ID из браузера или настольного приложения, но сам процесс входа на устройство пока не поддерживается для Microsoft Entra ID.
Проверка подлинности на основе сертификата Microsoft Entra на устройствах iOS
Устройства под управлением iOS могут использовать проверку подлинности на основе сертификатов (CBA) для проверки подлинности в идентификаторе Microsoft Entra с помощью сертификата клиента на устройстве при подключении к:
- мобильным приложениям Office, таким как Microsoft Outlook и Microsoft Word;
- Клиенты Exchange ActiveSync (EAS)
Microsoft Entra CBA поддерживается для сертификатов на устройстве во встроенных браузерах и встроенных приложениях Microsoft на iOS-устройствах.
Предварительные условия
- Версия iOS должна быть iOS 9 или более поздней.
- Microsoft Authenticator необходим для приложений Office и Outlook в iOS.
Поддержка сертификатов на устройстве и внешнего хранилища
Сертификаты устанавливаются на устройстве. Клиенты могут использовать управление мобильными устройствами (MDM) для установки сертификатов на устройстве. Так как iOS не поддерживает аппаратные защищенные ключи из коробки, клиенты могут использовать внешние устройства хранения для сертификатов.
Поддерживаемые платформы
- Поддерживаются только собственные браузеры
- Приложения, использующие последние библиотеки MSAL или Microsoft Authenticator, могут выполнять CBA
- Edge с профилем, когда пользователи добавляют учетную запись и входят в профиль с поддержкой CBA
- Сторонние приложения Майкрософт с последними библиотеками MSAL или Microsoft Authenticator могут выполнять CBA
Браузеры
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Поддержка мобильных приложений Microsoft
| Приложения | Поддержка |
|---|---|
| Приложение Azure Information Protection | ✅ |
| Корпоративный портал | ✅ |
| Microsoft Teams | ✅ |
| Офис (мобильный) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype для бизнеса | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
Поддержка клиентов Exchange ActiveSync
В iOS версии 9 и выше поддерживается собственный почтовый клиент iOS.
Чтобы определить, поддерживает ли ваше почтовое приложение Microsoft Entra CBA, обратитесь к разработчику приложения.
Поддержка сертификатов на аппаратном ключе безопасности
Сертификаты могут быть размещены на внешних устройствах, таких как аппаратные ключи безопасности, вместе с ПИН-кодом для защиты доступа к закрытому ключу. Решение Майкрософт на основе мобильных сертификатов в сочетании с аппаратными ключами безопасности — это простой и удобный метод многофакторной аутентификации, сертифицированный по федеральным стандартам обработки информации (FIPS), устойчивый к фишинговым атакам.
Что касается iOS 16/iPadOS 16.1, устройства Apple обеспечивают поддержку собственного драйвера для смарт-карт, совместимых с USB-C или Lightning, совместимых с CCID. Это означает, что устройства Apple на iOS 16/iPadOS 16.1 видят устройство, совместимое с USB-C или Lightning, как смарт-карту без использования дополнительных драйверов или сторонних приложений. Microsoft Entra CBA работает с этими смарт-картами с поддержкой CCID, подключаемыми через USB-A, USB-C или Lightning.
Преимущества сертификатов на аппаратном ключе безопасности
Ключи безопасности с сертификатами:
- Можно использовать на любом устройстве и не требуется подготавливать сертификат для каждого устройства.
- Устройства защищены аппаратно с помощью ПИН-кода, что делает их защищенными от фишинга.
- Предоставление многофакторной проверки подлинности с помощью ПИН-кода в качестве второго фактора для доступа к закрытому ключу сертификата
- Удовлетворение требований отрасли к многофакторной аутентификации на отдельном устройстве
- Помощь в обеспечении надежности в будущем для хранения нескольких учетных данных, включая ключи Fast Identity Online 2 (FIDO2)
Microsoft Entra CBA на мобильных устройствах iOS с YubiKey
Несмотря на то, что собственный драйвер Smartcard/CCID доступен в iOS/iPadOS для смарт-карт, совместимых с CCID и подключаемых через Lightning, соединитель YubiKey 5Ci Lightning не определяется как подключенная смарт-карта на этих устройствах без использования промежуточного программного обеспечения PIV (проверка личных удостоверений), например, Yubico Authenticator.
Предварительные требования для однократной регистрации
- У вас есть PIV-ключ YubiKey с сертификатом смарт-карты, установленным на нём.
- Скачайте приложение Yubico Authenticator для iOS на iPhone с версией 14.2 или более поздней версии.
- Откройте приложение, вставьте YubiKey или коснитесь поля ближней связи (NFC) и выполните шаги для загрузки сертификата в хранилище ключей iOS.
Действия по тестированию YubiKey в приложениях Майкрософт на мобильных устройствах iOS
- Установите последнее приложение Microsoft Authenticator.
- Откройте Outlook и подключитесь к yubiKey.
- Выберите "Добавить учетную запись " и введите имя участника-пользователя (UPN).
- Выберите Продолжить и появится средство выбора сертификатов iOS.
- Выберите общедоступный сертификат, скопированный из YubiKey, связанный с учетной записью пользователя.
- Выберите YubiKey, требуемый, чтобы открыть приложение для аутентификации YubiKey.
- Введите ПИН-код для доступа к YubiKey и нажмите кнопку "Назад" в левом верхнем углу.
Пользователь должен успешно войти и перенаправиться на домашнюю страницу Outlook.
Устранение неполадок сертификатов на аппаратном ключе безопасности
Что произойдет, если у пользователя есть сертификаты на устройстве iOS и YubiKey?
Средство выбора сертификатов iOS отображает все сертификаты на устройстве iOS и те, которые скопированы из YubiKey на устройство iOS. В зависимости от того, какой сертификат пользователь выбирает, они могут быть перенаправлены в приложение YubiKey Authenticator для ввода ПИН-кода или пройти проверку подлинности напрямую.
My YubiKey заблокирован после неправильного ввода ПИН-кода 3 раза. Как это исправить?
- Пользователи должны увидеть диалоговое окно с сообщением о том, что было выполнено слишком много попыток ПИН-кода. Это диалоговое окно также отображается во время последующих попыток выбора сертификата или смарт-карты.
- Менеджер YubiKey может восстановить PIN-код YubiKey.
После сбоя CBA опция CBA в ссылке "Другие способы входа" также не работает. Существует ли обходное решение?
Эта проблема возникает из-за кэширования сертификатов. Мы работаем над обновлением, чтобы очистить кэш. В качестве обходного решения выберите Отмена, повторите вход и выберите новый сертификат.
Microsoft Entra CBA с YubiKey не работает. Какие сведения помогут отладить проблему?
- Откройте приложение Microsoft Authenticator, щелкните значок трех точек в правом верхнем углу и выберите отправить отзыв.
- Выберите Есть проблемы?.
- Для выбора параметра нажмите кнопку "Добавить или войти в учетную запись".
- Описать все сведения, которые вы хотите добавить.
- Щелкните стрелку отправки в правом верхнем углу. Обратите внимание на код, указанный в появившемся диалоговом окне.
Как применить фишинго-устойчивый MFA с помощью аппаратного ключа безопасности в приложениях на основе браузера на мобильных устройствах?
Возможности сертификатной аутентификации и способности аутентификации для условного доступа делают их мощными инструментами для клиентов, чтобы применять требования к проверке подлинности. В Edge в режиме профиля (добавление учетной записи) можно использовать аппаратный ключ безопасности, такой как YubiKey, а политика условного доступа с возможностью повышения надежности аутентификации может обеспечивать защиту от фишинга с помощью основанной на аттестации аутентификации (CBA).
Поддержка CBA для YubiKey доступна в последних библиотеках Библиотеки проверки подлинности Майкрософт (MSAL) и любом стороннем приложении, которое интегрирует последнюю версию MSAL. Все сторонние приложения Майкрософт могут использовать возможности проверки подлинности CBA и условного доступа.
Поддерживаемые операционные системы
| Операционная система | Сертификат на устройстве или производный PIV | Смарт-карты и ключи безопасности |
|---|---|---|
| iOS | ✅ | Только поддерживаемые поставщики |
Поддерживаемые браузеры
| Операционная система | Сертификат Chrome на устройстве | Смарт-карта и ключ безопасности Chrome | Сертификат Safari на устройстве | Смарт-карта и ключ безопасности Safari | Сертификат edge-устройства на устройстве | Edge смарт-карта / ключ безопасности |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Поставщики ключей безопасности
| Поставщик | iOS |
|---|---|
| YubiKey | ✅ |
Известные проблемы
- В iOS пользователи с проверкой подлинности на основе сертификатов увидят "двойной запрос", где они должны выбрать параметр для использования проверки подлинности на основе сертификатов дважды.
- На устройствах iOS пользователи с приложением Microsoft Authenticator также будут получать почасовое приглашение для аутентификации через CBA, если политика надёжности аутентификации требует использования CBA, или если они используют CBA в качестве второго фактора.
- В iOS политика соблюдения уровня проверки подлинности, требующая АНС (Certificate-Based Authentication - CBA), и политика защиты приложений MAM в конечном итоге будут застревать в цикле между регистрацией устройства и процессом выполнения требований MFA. Из-за ошибки в iOS, когда пользователь использует CBA для выполнения требования MFA, на сервере возникает ошибка, сообщающая, что требуется регистрация устройства, даже если устройство уже зарегистрировано. Эта ошибка приводит к повторной регистрации, из-за чего запрос зависает в цикле использования аутентификации с помощью сертификата (CBA) для входа, и устройство требует регистрации. Из-за указанных выше проблем CBA в качестве второго фактора блокируется в iOS и будет разблокирован сразу после исправления.
Следующие шаги
- Обзор Microsoft Entra CBA
- Подробный технический обзор Microsoft Entra CBA
- Настройка Microsoft Entra CBA
- Microsoft Entra CBA на устройствах Android
- Вход в систему Windows с использованием смарт-карты через Microsoft Entra CBA
- Идентификаторы пользователей сертификата
- Как перенести федеративных пользователей
- Вопросы и ответы