iOS 和 macOS 上的 Microsoft Entra 憑證式驗證
本主題涵蓋 macOS 和 iOS 裝置的 Microsoft Entra 憑證式驗證 (CBA) 支援。
macOS 裝置上的 Microsoft Entra 憑證式驗證
執行 macOS 的裝置可以使用 CBA,藉由使用其 X.509 用戶端憑證,針對 Microsoft Entra ID 進行驗證。 Microsoft Entra CBA 支援裝置上的憑證和外部硬體受保護安全性金鑰。 在 macOS 上,所有瀏覽器和 Microsoft 第一方應用程式上都支援 Microsoft Entra CBA。
macOS 上支援的瀏覽器
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
使用 Microsoft Entra CBA 進行 macOS 裝置登入
Microsoft Entra CBA 目前不支援裝置型登入 macOS 電腦。 用來登入裝置的憑證可以是與用來從瀏覽器或傳統型應用程式驗證 Microsoft Entra ID 的相同憑證,但是裝置登入本身尚未支援 Microsoft Entra ID。
iOS 裝置上的 Microsoft Entra 憑證式驗證
在連線至下列項目時,執行 iOS 的裝置可以使用憑證式驗證 (CBA) 向 Microsoft Entra ID 進行驗證 (透過其裝置上的用戶端憑證):
- Office 行動應用程式,例如 Microsoft Outlook 與 Microsoft Word
- Exchange ActiveSync (EAS) 用戶端
原生瀏覽器中裝置上的憑證,以及 iOS 裝置中 Microsoft 第一方應用程式上的憑證,皆支援 Microsoft Entra CBA。
必要條件
- iOS 版本必須是 iOS 9 或更新版本。
- iOS 上的 Office 應用程式和 Outlook 都需要 Microsoft Authenticator。
支援裝置上的憑證和外部儲存體
裝置上的憑證會佈建於裝置上。 客戶可以使用行動裝置管理 (MDM),在裝置上佈建憑證。 由於 iOS 不支援現成可用的硬體保護金鑰,因此客戶可以使用外部儲存體進行憑證。
支援的平台
- 僅支援原生瀏覽器
- 使用最新 MSAL 程式庫或 Microsoft Authenticator 的應用程式可以進行 CBA
- 當使用者新增帳戶並使用設定檔登入時,使用設定檔的 Azure IoT Edge 串流分析支援 CBA
- 使用最新 MSAL 程式庫或 Microsoft Authenticator 的 Microsoft 第一方應用程式可以進行 CBA
瀏覽器
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Microsoft 行動應用程式支援
| 應用程式 | 支援 |
|---|---|
| Azure 資訊保護應用程式 | ✅ |
| 公司入口網站 | ✅ |
| Microsoft Teams | ✅ |
| Office (行動版) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| 商務用 Skype | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Exchange ActiveSync 用戶端的支援
iOS 9 或更新版本支援原生 iOS 郵件用戶端。
若要判斷您的電子郵件應用程式是否支援 Microsoft Entra CBA,請連絡您的應用程式開發人員。
支援硬體安全性金鑰上的憑證
憑證可以佈建於硬體安全性金鑰等外部裝置,並搭配 PIN 來保護私密金鑰存取。 Microsoft 的行動憑證式解決方案與硬體安全性金鑰結合,是簡單、方便通過 FIPS (聯邦資訊處理標準) 認證並具有網路釣魚防護的 MFA 方法。
針對 iOS 16/iPadOS 16.1,Apple 裝置提供 USB-C 或閃電連線 CCID 相容智慧卡的原生驅動程式支援。 這表示 iOS 16/iPadOS 16.1 上的 Apple 裝置會將 USB-C 或 Lightning 連線的 CCID 相容裝置顯示為智慧卡,而不需要使用其他驅動程式或第三方應用程式。 Microsoft Entra CBA 可處理這些 USB-A 或 USB-C,或 Lightning 連線的 CCID 相容智慧卡。
硬體安全性金鑰上的憑證優點
具有憑證的安全性金鑰:
- 可在任何裝置上使用,而且不需要在使用者擁有的每個裝置上佈建憑證
- 使用 PIN 保護硬體,以進行網路釣魚防護
- 使用 PIN 提供多重要素驗證,作為存取憑證私密金鑰的第二個要素
- 滿足在個別裝置上擁有 MFA 的產業需求
- 有助於在未來的校訂,可以儲存多個認證,包括 Fast Identity Online 2 (FIDO2) 金鑰
在 iOS 行動裝置上使用 YubiKey 進行 Microsoft Entra CBA
即使 iOS/iPadOS 上提供原生 Smartcard/CCID 驅動程式以符合閃電連線 CCID 相容的智慧卡,但是 YubiKey 5Ci 閃電連接器,需要使用 PIV (個人身分識別驗證) 中介軟體,例如 Yubico Authenticator,才能在這些裝置上顯示為連線的智慧卡。
一次性註冊的必要條件
- 已啟用 PIV 的 YubiKey,並佈建有智慧卡憑證
- 使用 v14.2 或更新版本在 iPhone 下載適用於 iOS 的 Yubico Authenticator 應用程式
- 開啟應用程式、插入 YubiKey 或點選近距離通訊 (NFC),並遵循步驟將憑證上傳至 iOS 金鑰鏈
在 iOS 行動中 Microsoft 應用程式上測試 YubiKey 的步驟
- 安裝最新的 Microsoft Authenticator 應用程式。
- 開啟 Outlook 並插入您的 YubiKey。
- 選取 [新增帳戶],並輸入您的使用者主體名稱 (UPN)。
- 按一下 [繼續],iOS 憑證選擇器隨即出現。
- 選取從 YubiKey (與使用者帳戶相關聯) 複製的公開憑證。
- 按一下 [需要 YubiKey] 以開啟 YubiKey 驗證器應用程式。
- 輸入 PIN 以存取 YubiKey,並選取左上角的 [上一頁] 按鈕。
使用者應該可以成功登入,且系統將重新導向至 Outlook 首頁。
針對硬體安全性金鑰上的憑證進行疑難排解
如果使用者在 iOS 裝置和 YubiKey 上都有憑證,會發生什麼情況?
iOS 憑證選擇器會顯示 iOS 裝置及從 YubiKey 複製到 iOS 裝置的所有憑證。 視憑證使用者挑選的憑證而定,系統會將使用者導向 YubiKey 驗證器以輸入 PIN 或進行直接驗證。
我的 YubiKey 會在輸入三次錯誤的 PIN 後遭到鎖定。 如何修正?
- 使用者應該會看到一個對話方塊,通知您已嘗試輸入太多次 PIN。 在後續嘗試選取 [使用憑證或智慧卡] 時,也會快顯此對話方塊。
- YubiKey Manager (英文) 可以重設 YubiKey 的 PIN。
CBA 失敗之後,以其他方式登入連結的 CBA 選項也會失敗。 是否有因應措施?
此問題是憑證快取導致的。 我們正在處理更新以清除快取。 因應措施是按一下 [取消],重試登入,然後選擇新的憑證。
使用 YubiKey 進行 Microsoft Entra CBA 會失敗。 哪些資訊有助於對問題進行偵錯?
- 開啟 Microsoft Authenticator 應用程式,按一下右上角的三個點圖示,並選取 [傳送意見反應]。
- 按一下 [有任何問題嗎?]。
- 針對 [選取選項],選取 [新增或登入帳戶]。
- 描述您想要新增的任何詳細資料。
- 按一下右上角的傳送箭號。 請記下所出現對話方塊中提供的代碼。
如何在行動裝置上的瀏覽器型應用程式上使用硬體安全性金鑰來強制執行具有網路釣魚防護的 MFA?
憑證式驗證和條件式存取驗證強度功能讓客戶能夠強制執行驗證需求。 Azure IoT Edge 串流分析作為設定檔 (新增帳戶) 會使用硬體安全性金鑰,例如 YubiKey 和具有驗證強度功能的條件式存取原則 (可以使用 CBA 強制執行網路釣魚防護驗證)。
YubiKey 的 CBA 支援可在最新的 Microsoft 驗證程式庫 (MSAL),以及任何整合最新 MSAL 的第三方應用程式中取得。 所有 Microsoft 第一方應用程式都可以使用 CBA 和條件式存取驗證強度。
受支援的作業系統
| 作業系統 | 裝置上的憑證/衍生的 PIV | 智慧卡/安全性金鑰 |
|---|---|---|
| iOS | ✅ | 僅限支援的廠商 |
支援的瀏覽器
| 作業系統 | 裝置上的 Chrome 憑證 | Chrome 智慧卡/安全性金鑰 | 裝置上的 Safari 憑證 | Safari 智慧卡/安全性金鑰 | 裝置上的 Azure IoT Edge 串流分析憑證 | Edge 智慧卡/安全性金鑰 |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
安全性金鑰提供者
| Provider | iOS |
|---|---|
| YubiKey | ✅ |
已知問題
- 在 iOS 上,使用憑證式驗證的使用者會看到雙重提示,他們必須按兩下選項以使用憑證式驗證。
- 在 iOS 上,若有強制執行 CBA 的驗證強度原則,或是使用 CBA 作為第二個因素,則具有 Microsoft Authenticator 應用程式的使用者也會看到每小時登入提示來向 CBA 進行驗證。
- 在 iOS 上,要求 CBA 的驗證強度原則和 MAM 應用程式防護原則,最終會在裝置註冊與 MFA 滿意度之間形成迴圈。 由於 iOS 上的錯誤 (bug),當使用者使用 CBA 來滿足 MFA 需求時,即使已註冊裝置,MAM 原則仍不滿意,且伺服器會擲回指出需要註冊裝置的錯誤。 這個不正確的錯誤會導致重新註冊,而且要求會卡在使用 CBA 登入和裝置需要註冊的迴圈中。