Ověřování založené na certifikátu Microsoft Entra na zařízeních s Androidem
Ověřování založené na certifikátech Microsoft Entra je podporováno pomocí certifikátů zřízených v zařízení i s externími klíči zabezpečení, jako je YubiKeys.
Požadavky
- Verze Androidu musí být Android 5.0 (Lollipop) nebo novější.
- Aplikace Microsoftu první strany s nejnovějšími knihovnami MSAL nebo Microsoft Authenticator můžou provádět CBA.
- Aplikace třetích stran využívající nejnovější knihovny MSAL nebo integrované s microsoft Authenticatorem můžou provádět CBA.
CBA s certifikáty na zařízení
Zákazníci můžou ke zřízení certifikátů na zařízení použít svoji volbu mobile Správa zařízení (MDM). Koncoví uživatelé musí nejprve zaregistrovat svá zařízení v MDM a získat certifikát zřízený na zařízení. Po zřízení certifikátu v zařízení se uživatelé můžou ověřit pomocí CBA.
Postup testování YubiKey v aplikacích Microsoftu na Androidu:
- Otevřete Outlook.
- Vyberte Přidat účet a zadejte hlavní název uživatele (UPN).
- Klikněte na Pokračovat.
- Vyberte Použít certifikát nebo čipovou kartu.
- V dialogovém okně vyberte Certifikát .**.**
- Zobrazí se výběr certifikátu.
- Vyberte certifikát přidružený k účtu uživatele. Klikněte na Pokračovat.
- Pokud je ověření úspěšné, bude mít uživatel povolený přístup k prostředku Outlooku.
CBA s certifikáty na klíči hardwarového zabezpečení
Certifikáty je možné zřídit v externích zařízeních, jako jsou klíče zabezpečení hardwaru, spolu s PIN kódem pro ochranu přístupu k privátnímu klíči. Microsoft Entra ID podporuje CBA s YubiKey.
Výhody certifikátů na klíči hardwarového zabezpečení
Klíče zabezpečení s certifikáty:
- Mají roamingový charakter klíče zabezpečení, který uživatelům umožňuje používat stejný certifikát na různých zařízeních.
- Jsou hardwarově zabezpečené kódem PIN, díky kterému jsou odolné proti útokům phishing.
- Poskytnutí vícefaktorového ověřování pomocí kódu PIN jako druhého faktoru pro přístup k privátnímu klíči certifikátu.
- Splnění požadavků na vícefaktorové ověřování na samostatném zařízení
- Pomoc s budoucí kontrolu pravopisu, kde je možné uložit více přihlašovacích údajů, včetně klíčů FIDO2 (Fast Identity Online 2).
Microsoft Entra CBA na Androidu mobile s YubiKey
Android potřebuje middlewarovou aplikaci, aby mohla podporovat čipové karty nebo klíče zabezpečení s certifikáty. Pro podporu YubiKeys s Microsoft Entra CBA, YubiKey Android SDK byl integrován do zprostředkovací kód Microsoftu, který lze využít prostřednictvím nejnovější knihovny Microsoft Authentication Library (MSAL).
Vzhledem k tomu, že Microsoft Entra CBA s YubiKey na mobilních zařízeních s Androidem je povolený pomocí nejnovější verze MSAL, není pro podporu Androidu vyžadována aplikace YubiKey Authenticator.
Postup testování YubiKey v aplikacích Microsoftu na Androidu:
- Nainstalujte Microsoft Authenticator.
- Pokud má YubiKey USB-C, otevřete Outlook a připojte svůj YubiKey.
- Vyberte Přidat účet a zadejte hlavní název uživatele (UPN).
- Klepněte na tlačítko Pokračovat a po zobrazení výzvy k udělení oprávnění pro přístup k vašemu YubiKey klepněte na tlačítko OK.
- Vyberte Použít certifikát nebo čipovou kartu.
- Pokud používáte Yubikey s podporou NFC, podržte klávesu Yubikey na zadní straně zařízení.
- Zobrazí se vlastní výběr certifikátu.
- Vyberte certifikát přidružený k účtu uživatele a klikněte na Pokračovat.
- Zadejte PIN kód pro přístup k YubiKey a vyberte Odemknout.
- Pokud používáte Yubikey s NFC, podržte Yubikey na zadní straně telefonu a ověřte PIN kód.
- Po úspěšném ověření budete mít přístup k Outlooku.
Poznámka:
V případě hladkého toku CBA připojte YubiKey hned po otevření aplikace a přijměte dialogové okno souhlasu od YubiKey před výběrem odkazu Použít certifikát nebo čipovou kartu. Pokud chcete mít pouze jedno připojení, zvažte možnost, aby uživatelé připojili YubiKey pomocí USB místo NFC, což je potřeba provést pouze jednou na začátku přihlášení.
Podpora pro klienty protokol Exchange ActiveSync
Některé protokol Exchange ActiveSync aplikace v Androidu 5.0 (Lollipop) nebo novější jsou podporované. Pokud chcete zjistit, jestli vaše e-mailová aplikace podporuje Microsoft Entra CBA, obraťte se na vývojáře vaší aplikace.
Podporované případy použití Entra
Podpora mobilních aplikací Microsoftu
| Aplikace | Technická podpora |
|---|---|
| Aplikace Azure Information Protection | ✅ |
| Firemní portál | ✅ |
| Microsoft Teams | ✅ |
| Office (mobilní zařízení) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype pro firmy | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| Prohlížeč Edge s přihlášením k profilu | ✅ |
| Spravovaná domovská obrazovka | ✅ |
Prohlížeče
| Operační systém | Certifikát Chrome na zařízení | Čipová karta chrome / bezpečnostní klíč | Certifikát Safari na zařízení | Čipová karta Safari / bezpečnostní klíč | Hraniční certifikát na zařízení | Hraniční čipová karta / bezpečnostní klíč |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | – | – | ✅ | ❌ |
Poznámka:
I když Edge jako prohlížeč není podporovaný, Edge jako profil (pro přihlášení k účtu) je aplikace MSAL, která podporuje CBA na Androidu.
Operační systémy
| Operační systém | Certifikát na zařízení nebo odvozený PIV | Čipové karty / Klíče zabezpečení |
|---|---|---|
| Android | ✅ | Pouze podporovaní dodavatelé |
Zprostředkovatelé klíčů zabezpečení
| Poskytovatel | Android |
|---|---|
| YubiKey | ✅ |
Řešení potíží s certifikáty na klíči hardwarového zabezpečení
Co se stane, když má uživatel certifikáty jak na zařízení s Androidem, tak na YubiKey?
- Pokud má uživatel certifikáty na zařízení s Androidem i YubiKey, pak pokud je YubiKey připojen před kliknutím uživatele Použít certifikát nebo čipovou kartu, zobrazí se certifikáty v YubiKey.
- Pokud yubiKey není připojen před kliknutím uživatele použít certifikát nebo čipovou kartu, zobrazí se uživateli výzva k výběru mezi certifikáty na zařízení nebo fyzické čipové kartě. Pokud uživatel zvolí certifikát na zařízení, zobrazí se v zařízení certifikáty. Pokud uživatel zvolí certifikáty na fyzické čipové kartě, připojte nebo podržte YubiKey zpět a uživatel se zobrazí certifikáty v YubiKey.
Můj YubiKey je uzamčen po nesprávném zadání PIN třikrát. Jak to můžu vyřešit?
- Uživatelům by se mělo zobrazit dialogové okno s informací, že bylo provedeno příliš mnoho pokusů o zadání KÓDU PIN. Toto dialogové okno se zobrazí také při dalších pokusech o výběr možnosti Použít certifikát nebo čipovou kartu.
- Uživatelé by se měli obrátit na správce a resetovat PIN kód YubiKey.
Nainstaloval(a) jsem aplikaci Microsoft Authenticator, ale přesto nevidím možnost ověřování pomocí Certifikátu pomocí YubiKey.
Před instalací aplikace Microsoft Authenticator odinstalujte Portál společnosti a nainstalujte ho po instalaci aplikace Microsoft Authenticator.
Podporuje Microsoft Entra CBA YubiKey prostřednictvím NFC?
Entra CBA podporuje použití YubiKey s USB a NFC.
Jakmile CBA selže, kliknutím na možnost CBA znovu v odkazu Další způsoby přihlášení na chybové stránce se nezdaří.
K tomuto problému dochází kvůli ukládání certifikátů do mezipaměti. Alternativním řešením je kliknout na zrušit a restartovat tok přihlášení, aby uživatel zvolil nový certifikát a úspěšně se přihlásil.
Microsoft Entra CBA s YubiKey selhává. Jaké informace by vám pomohly problém ladit?
- Otevřete aplikaci Microsoft Authenticator, klikněte na ikonu se třemi tečkami v pravém horním rohu a vyberte Odeslat názor.
- Klikněte na Máte potíže?
- U možnosti Vybrat možnost vyberte Přidat nebo se přihlásit k účtu.
- Popište všechny podrobnosti, které chcete přidat.
- Klikněte na šipku pro odeslání v pravém horním rohu. Poznamenejte si kód uvedený v dialogovém okně, který se zobrazí.
Další kroky
- Přehled jazyka Microsoft Entra CBA
- Podrobné technické informace pro Microsoft Entra CBA
- Jak nakonfigurovat Jazyk CBA microsoftu Entra
- Microsoft Entra CBA na zařízeních s iOSem
- Přihlášení pomocí čipové karty Windows pomocí jazyka Microsoft Entra CBA
- ID uživatele certifikátu
- Migrace federovaných uživatelů
- Nejčastější dotazy