iOS 和 macOS 上的 Microsoft Entra 憑證式驗證
本主題涵蓋 macOS 和 iOS 裝置的 Microsoft Entra 憑證式驗證 (CBA) 支援。
macOS 裝置上的 Microsoft Entra 憑證式驗證
執行 macOS 的裝置可以使用 CBA,藉由使用其 X.509 用戶端憑證,針對 Microsoft Entra ID 進行驗證。 Microsoft Entra CBA 支援裝置中的憑證和外部硬體保護的安全金鑰。 在 macOS 上,所有瀏覽器和 Microsoft 第一方應用程式上都支援 Microsoft Entra CBA。
macOS 上支援的瀏覽器
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
使用 Microsoft Entra CBA 進行 macOS 裝置登入
Microsoft Entra CBA 目前不支援在 macOS 裝置上透過裝置登入。 用來登入裝置的憑證可以是與用來從瀏覽器或傳統型應用程式驗證 Microsoft Entra ID 的相同憑證,但是裝置登入本身尚未支援 Microsoft Entra ID。
iOS 裝置上的 Microsoft Entra 憑證式驗證
在連線至下列項目時,執行 iOS 的裝置可以使用憑證式驗證 (CBA) 向 Microsoft Entra ID 進行驗證 (透過其裝置上的用戶端憑證):
- Office 行動應用程式,例如 Microsoft Outlook 與 Microsoft Word
- Exchange ActiveSync (EAS) 用戶端
Microsoft Entra CBA 支援在 iOS 裝置上的原生瀏覽器和 Microsoft 自家應用程式中的裝置內部憑證。
必要條件
- iOS 版本必須是 iOS 9 或更新版本。
- iOS 上的 Office 應用程式和 Outlook 都需要 Microsoft Authenticator。
支援本機憑證和外部儲存體
裝置上的憑證會被部署於該裝置。 客戶可以使用行動裝置管理 (MDM),在裝置上佈建憑證。 由於 iOS 不支援現成可用的硬體保護金鑰,因此客戶可以使用外部儲存體進行憑證。
支援的平台
- 僅支援原生瀏覽器
- 使用最新 MSAL 程式庫或 Microsoft Authenticator 的應用程式可以進行 CBA
- 具備個人資料管理的 Edge 中,當使用者新增帳戶並登入配置的個人資料後,將支援 CBA。
- 使用最新 MSAL 程式庫或 Microsoft Authenticator 的 Microsoft 原廠應用程式可以執行 CBA
瀏覽器
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Microsoft 行動應用程式支援
| 應用程式 | 支援 |
|---|---|
| Azure 資訊保護應用程式 | ✅ |
| 公司入口網站 | ✅ |
| Microsoft Teams | ✅ |
| Office (行動版) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| 商務用 Skype | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Exchange ActiveSync 用戶端的支援
iOS 9 或更新版本支援原生 iOS 郵件用戶端。
若要判斷您的電子郵件應用程式是否支援 Microsoft Entra CBA,請連絡您的應用程式開發人員。
支援硬體安全性金鑰上的憑證
憑證可以佈建於硬體安全性金鑰等外部裝置,並搭配 PIN 來保護私密金鑰存取。 Microsoft 的行動憑證式解決方案與硬體安全性金鑰結合,是簡單、方便通過 FIPS (聯邦資訊處理標準) 認證並具有網路釣魚防護的 MFA 方法。
針對 iOS 16/iPadOS 16.1,Apple 裝置提供 USB-C 或閃電連線 CCID 相容智慧卡的原生驅動程式支援。 這表示 iOS 16/iPadOS 16.1 上的 Apple 裝置會將 USB-C 或 Lightning 連線的 CCID 相容裝置顯示為智慧卡,而不需要使用其他驅動程式或第三方應用程式。 Microsoft Entra CBA 可處理這些 USB-A 或 USB-C,或 Lightning 連線的 CCID 相容智慧卡。
硬體安全性金鑰上的憑證優點
具有憑證的安全性金鑰:
- 可在任何裝置上使用,而且不需要在使用者擁有的每個裝置上佈建憑證
- 硬體受 PIN 碼保護,這使它們能抵禦網路釣魚攻擊。
- 使用 PIN 提供多重要素驗證,作為存取憑證私密金鑰的第二個要素
- 滿足產業對於在獨立裝置上使用多因素驗證的需求
- 有助於未來準備,可以儲存多個認證,包括 Fast Identity Online 2 (FIDO2) 金鑰
在 iOS 行動裝置上使用 YubiKey 實施 Microsoft Entra 憑證驗證 (CBA)
即使 iOS/iPadOS 提供原生的 Smartcard/CCID 驅動程式以支援 Lightning 連接的 CCID 相容智慧卡,但若不使用 PIV(個人身分識別驗證)中介軟體如 Yubico Authenticator,YubiKey 5Ci 的 Lightning 連接器仍不會被視作為連接的智慧卡。
一次性註冊的必要條件
- 擁有啟用 PIV 且已配置智慧卡憑證的 YubiKey。
- 使用 v14.2 或更新版本在 iPhone 下載適用於 iOS 的 Yubico Authenticator 應用程式
- 開啟應用程式、插入 YubiKey 或點選近距離通訊 (NFC),並遵循步驟將憑證上傳至 iOS 金鑰鏈
在 iOS 行動中 Microsoft 應用程式上測試 YubiKey 的步驟
- 安裝最新的 Microsoft Authenticator 應用程式。
- 開啟 Outlook 並插入您的 YubiKey。
- 選取 [新增帳戶],並輸入您的使用者主體名稱 (UPN)。
- 選取 [繼續,iOS 憑證選擇器隨即出現。
- 選取從 YubiKey (與使用者帳戶相關聯) 複製的公開憑證。
- 請選擇 [需要 YubiKey] 以開啟 YubiKey 驗證器應用程式。
- 輸入 PIN 以存取 YubiKey,並選取左上角的 [上一頁] 按鈕。
使用者應該可以成功登入,且系統將重新導向至 Outlook 首頁。
針對硬體安全性金鑰上的憑證進行疑難排解
如果使用者在 iOS 裝置和 YubiKey 上都有憑證,會發生什麼情況?
iOS 憑證選擇器會顯示 iOS 裝置及從 YubiKey 複製到 iOS 裝置的所有憑證。 視憑證使用者挑選的憑證而定,系統會將使用者導向 YubiKey 驗證器以輸入 PIN 或進行直接驗證。
我的 YubiKey 會在輸入三次錯誤的 PIN 後遭到鎖定。 如何修正?
- 使用者應該會看到一個對話方塊,通知您已嘗試輸入太多次 PIN。 在後續嘗試選取 [使用憑證或智慧卡] 時,也會快顯此對話方塊。
- YubiKey Manager (英文) 可以重設 YubiKey 的 PIN。
當 CBA 失敗時,「以其他方式登入」連結中的 CBA 選項也會失敗。 是否有因應措施?
此問題是由於憑證快取所引起。 我們正在進行更新以清除快取。 作為因應措施,請選取 [取消]、重試登入,然後選擇新的憑證。
使用 YubiKey 的 Microsoft Entra 憑證驗證出現故障。 哪些資訊有助於對問題進行偵錯?
- 開啟 Microsoft Authenticator 應用程式,選取右上角的三個點圖示,然後選取 [傳送意見反應]
。 - 選取 發生問題嗎?。
- 針對 [選取選項],選取 [新增或登入帳戶]。
- 描述您想要新增的任何詳細資料。
- 選取右上角的傳送箭號。 請記下所出現對話方塊中提供的代碼。
如何在行動裝置上的瀏覽器型應用程式上使用硬體安全性金鑰來強制執行具有網路釣魚防護的 MFA?
憑證式驗證和條件式存取驗證強度功能讓客戶能夠強制執行驗證需求。 Microsoft Edge 作為個人資料(新增帳戶)時,會使用像 YubiKey 這樣的硬體安全性金鑰,且具備驗證強度功能的條件式存取原則可以透過 CBA 強制執行具有抗釣魚功能的驗證。
YubiKey 的 CBA 支援可在最新的 Microsoft 驗證程式庫 (MSAL),以及任何整合最新 MSAL 的第三方應用程式中取得。 所有 Microsoft 自家應用程式都可以使用 CBA 和條件式存取驗證方式的強度。
受支援的作業系統
| 作業系統 | 裝置上的憑證/衍生個人身份驗證憑證 | 智慧卡/安全性金鑰 |
|---|---|---|
| iOS | ✅ | 僅限於支援的供應商 |
支援的瀏覽器
| 作業系統 | 裝置上的 Chrome 憑證 | Chrome 智慧卡/安全性金鑰 | 裝置上的 Safari 憑證 | Safari 智慧卡/安全性金鑰 | 裝置上的 Edge 憑證 | Edge 智慧卡/安全性金鑰 |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
安全性金鑰提供者
| 提供者 | iOS |
|---|---|
| YubiKey | ✅ |
已知問題
- 在 iOS 上,具有憑證式驗證的使用者會看到「雙重提示」,他們必須選取選項來使用憑證式驗證兩次。
- 在 iOS 上,具有 Microsoft Authenticator 應用程式的使用者,若有驗證強度原則強制執行 CBA,或是使用 CBA 作為第二個因素,則也會收到每小時登入提示來進行身份驗證。
- 在 iOS 上,要求 CBA 的驗證強度原則和 MAM 應用程式防護原則,最終會在裝置註冊與 MFA 滿意度之間形成迴圈。 由於 iOS 的錯誤,當使用者使用 CBA 來滿足 MFA 要求時,即使裝置已註冊,MAM 原則還是無法滿足,伺服器將擲回錯誤訊息,指出需要註冊裝置。 此錯誤會導致重新註冊,而請求會停留在使用 CBA 登入及裝置需註冊的迴圈中。 由於上述問題,作為第二因素的 CBA 在 iOS 上已被封鎖,並將在修正完成後立即解除封鎖。