Microsoft Entra-certifikatbaserad autentisering på iOS och macOS
Det här avsnittet beskriver stöd för Microsoft Entra-certifikatbaserad autentisering (CBA) för macOS- och iOS-enheter.
Microsoft Entra-certifikatbaserad autentisering på macOS-enheter
Enheter som kör macOS kan använda CBA för att autentisera mot Microsoft Entra-ID med hjälp av deras X.509-klientcertifikat. Microsoft Entra CBA stöds med certifikat på enheten och externa maskinvaruskyddade säkerhetsnycklar. På macOS stöds Microsoft Entra CBA i alla webbläsare och i Microsofts program från första part.
Webbläsare som stöds i macOS
Edge | Chrome | Safari | Firefox |
---|---|---|---|
✅ | ✅ | ✅ | ✅ |
macOS-enhetsinloggning med Microsoft Entra CBA
Microsoft Entra CBA stöds idag inte för enhetsbaserad inloggning till macOS-datorer. Certifikatet som används för att logga in på enheten kan vara samma certifikat som används för att autentisera till Microsoft Entra-ID från en webbläsare eller ett skrivbordsprogram, men själva enhetsinloggningen stöds inte mot Microsoft Entra-ID ännu.
Microsoft Entra-certifikatbaserad autentisering på iOS-enheter
Enheter som kör iOS kan använda certifikatbaserad autentisering (CBA) för att autentisera till Microsoft Entra-ID med ett klientcertifikat på sin enhet när de ansluter till:
- Mobila Office-program som Microsoft Outlook och Microsoft Word
- Exchange ActiveSync-klienter (EAS)
Microsoft Entra CBA stöds för certifikat på enheten i interna webbläsare och i Microsofts program från första part på iOS-enheter.
Förutsättningar
- iOS-versionen måste vara iOS 9 eller senare.
- Microsoft Authenticator krävs för Office-appen och Outlook på iOS.
Stöd för certifikat på enheten och extern lagring
Certifikat på enheten etableras på enheten. Kunder kan använda Mobile Enhetshantering (MDM) för att etablera certifikaten på enheten. Eftersom iOS inte stöder maskinvaruskyddade nycklar direkt kan kunderna använda externa lagringsenheter för certifikat.
Plattformar som stöds
- Endast inbyggda webbläsare stöds
- Program som använder de senaste MSAL-biblioteken eller Microsoft Authenticator kan göra CBA
- Edge med profil, när användare lägger till konto och loggas i en profil har stöd för CBA
- Microsofts förstapartsappar med de senaste MSAL-biblioteken eller Microsoft Authenticator kan göra CBA
Webbläsare
Edge | Chrome | Safari | Firefox |
---|---|---|---|
❌ | ❌ | ✅ | ❌ |
Stöd för Microsoft-mobilprogram
Appar | Support |
---|---|
Azure Information Protection-app | ✅ |
Företagsportal | ✅ |
Microsoft Teams | ✅ |
Office (mobil) | ✅ |
OneNote | ✅ |
OneDrive | ✅ |
Outlook | ✅ |
Power BI | ✅ |
Skype för företag | ✅ |
Word/Excel/PowerPoint | ✅ |
Yammer | ✅ |
Stöd för Exchange ActiveSync-klienter
På iOS 9 eller senare stöds den interna iOS-e-postklienten.
Kontakta programutvecklaren för att ta reda på om ditt e-postprogram stöder Microsoft Entra CBA.
Stöd för certifikat på maskinvarusäkerhetsnyckel
Certifikat kan etableras på externa enheter som maskinvarusäkerhetsnycklar tillsammans med en PIN-kod för att skydda åtkomsten till den privata nyckeln. Microsofts mobila certifikatbaserade lösning i kombination med maskinvarusäkerhetsnycklarna är en enkel, bekväm FIPS-certifierad MFA-metod (Federal Information Processing Standards).
När det gäller iOS 16/iPadOS 16.1 tillhandahåller Apple-enheter inbyggt drivrutinsstöd för USB-C- eller Lightning-anslutna CCID-kompatibla smartkort. Det innebär att Apple-enheter på iOS 16/iPadOS 16.1 ser en USB-C- eller Lightning-ansluten CCID-kompatibel enhet som ett smartkort utan att använda ytterligare drivrutiner eller appar från tredje part. Microsoft Entra CBA fungerar på dessa USB-A-, USB-C- eller Lightning-anslutna CCID-kompatibla smartkort.
Fördelar med certifikat på maskinvarusäkerhetsnyckel
Säkerhetsnycklar med certifikat:
- Kan användas på valfri enhet och behöver inte ett certifikat som ska etableras på varje enhet som användaren har
- Är maskinvaruskyddade med en PIN-kod, vilket gör dem nätfiskeresistenta
- Ange multifaktorautentisering med en PIN-kod som andra faktor för att få åtkomst till certifikatets privata nyckel
- Uppfylla branschens krav på att ha MFA på en separat enhet
- Hjälp med framtida språkkontroll där flera autentiseringsuppgifter kan lagras, inklusive FIDO2-nycklar (Fast Identity Online 2)
Microsoft Entra CBA på iOS Mobile med YubiKey
Även om den inbyggda Smartcard/CCID-drivrutinen är tillgänglig på iOS/iPadOS för Lightning-anslutna CCID-kompatibla smartkort, ses YubiKey 5Ci Lightning-anslutningsappen inte som ett anslutet smartkort på dessa enheter utan användning av PIV-mellanprogram (personlig identitetsverifiering) som Yubico Authenticator.
Krav för engångsregistrering
- Ha ett PIV-aktiverat YubiKey med ett smartkortcertifikat etablerat på det
- Ladda ned Yubico Authenticator för iOS-appen på din iPhone med v14.2 eller senare
- Öppna appen, infoga YubiKey eller tryck över NFC (Near Field Communication) och följ stegen för att ladda upp certifikatet till iOS-nyckelringen
Steg för att testa YubiKey i Microsoft-appar på iOS Mobile
- Installera den senaste Microsoft Authenticator-appen.
- Öppna Outlook och anslut din YubiKey.
- Välj Lägg till konto och ange användarens huvudnamn (UPN).
- Klicka på Fortsätt så visas iOS-certifikatväljaren.
- Välj det offentliga certifikat som kopierats från YubiKey som är associerat med användarens konto.
- Klicka på YubiKey som krävs för att öppna YubiKey-autentiseringsappen.
- Ange PIN-koden för att komma åt YubiKey och välj bakåtknappen i det övre vänstra hörnet.
Användaren bör loggas in och omdirigeras till Outlook-startsidan.
Felsöka certifikat för maskinvarusäkerhetsnyckel
Vad händer om användaren har certifikat både på iOS-enheten och YubiKey?
IOS-certifikatväljaren visar alla certifikat på både iOS-enheten och de som kopierats från YubiKey till iOS-enheten. Beroende på val av certifikatanvändare kan de tas till YubiKey-autentiseringen för att ange en PIN-kod eller autentiseras direkt.
Min YubiKey är låst efter att felaktigt ha skrivit PIN-kod 3 gånger. Hur åtgärdar jag detta?
- Användarna bör se en dialogruta som informerar dig om att för många PIN-kodsförsök har gjorts. Den här dialogrutan visas också under efterföljande försök att välja Använd certifikat eller smartkort.
- YubiKey Manager kan återställa en Pin-kod för YubiKey.
När cba misslyckas misslyckas även cba-alternativet i länken "Andra sätt att logga in". Finns det en lösning?
Det här problemet uppstår på grund av cachelagring av certifikat. Vi arbetar med en uppdatering för att rensa cacheminnet. Som en lösning klickar du på Avbryt, försöker logga in igen och väljer ett nytt certifikat.
Microsoft Entra CBA med YubiKey misslyckas. Vilken information skulle hjälpa dig att felsöka problemet?
- Öppna Microsoft Authenticator-appen, klicka på ikonen med tre punkter i det övre högra hörnet och välj Skicka feedback.
- Klicka på Har du problem?.
- För Välj ett alternativ väljer du Lägg till eller logga in på ett konto.
- Beskriv all information som du vill lägga till.
- Klicka på pilen skicka i det övre högra hörnet. Observera koden som anges i dialogrutan som visas.
Hur kan jag framtvinga nätfiskeresistent MFA med hjälp av en maskinvarusäkerhetsnyckel i webbläsarbaserade program på mobilen?
Certifikatbaserad autentisering och kapacitet för autentisering med villkorsstyrd åtkomst gör det kraftfullt för kunder att framtvinga autentiseringsbehov. Edge som profil (lägg till ett konto) fungerar med en maskinvarusäkerhetsnyckel som YubiKey och en princip för villkorsstyrd åtkomst med autentiseringsstyrka kan framtvinga nätfiskebeständig autentisering med CBA.
CBA-stöd för YubiKey finns i de senaste MSAL-biblioteken (Microsoft Authentication Library) och alla program från tredje part som integrerar den senaste MSAL. Alla Microsofts program från första part kan använda CBA- och villkorlig åtkomstautentiseringsstyrka.
Operativsystem som stöds
Operativsystem | Certifikat på enheten/härledd PIV | Smartkort/säkerhetsnycklar |
---|---|---|
iOS | ✅ | Endast leverantörer som stöds |
Webbläsare som stöds
Operativsystem | Chrome-certifikat på enheten | Chrome smartkort/säkerhetsnyckel | Safari-certifikat på enheten | Safari smartkort/säkerhetsnyckel | Edge-certifikat på enheten | Edge smartkort/säkerhetsnyckel |
---|---|---|---|---|---|---|
iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Leverantörer av säkerhetsnycklar
Provider | iOS |
---|---|
YubiKey | ✅ |
Kända problem
- I iOS visas en "dubbel uppmaning" för användare med certifikatbaserad autentisering där de måste klicka på alternativet för att använda certifikatbaserad autentisering två gånger.
- På iOS ser användare med Microsoft Authenticator App även en uppmaning om att logga in varje timme för att autentisera med CBA om det finns en princip för autentiseringsstyrka som framtvingar CBA, eller om de använder CBA som den andra faktorn.
- I iOS hamnar en princip för autentiseringsstyrka som kräver CBA och en MAM-appskyddsprincip i en loop mellan enhetsregistrering och MFA-tillfredsställelse. På grund av felet på iOS, när en användare använder CBA för att uppfylla MFA-kravet, är MAM-principen inte nöjd med felet som genereras av servern som säger att enhetsregistrering krävs, även om enheten är registrerad. Det här felaktiga felet orsakar omregistrering och begäran fastnar i loopen för att använda CBA för att logga in och enheten behöver registreras.
Nästa steg
- Översikt över Microsoft Entra CBA
- Teknisk djupdykning för Microsoft Entra CBA
- Så här konfigurerar du Microsoft Entra CBA
- Microsoft Entra CBA på Android-enheter
- Inloggning med Windows-smartkort med Microsoft Entra CBA
- Certifikatanvändar-ID:t
- Så här migrerar du federerade användare
- Vanliga frågor och svar