Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto téma popisuje podporu ověřování na základě certifikátů (CBA) microsoft Entra pro zařízení s macOS a iOS.
Ověřování založené na certifikátu Microsoft Entra na zařízeních s macOS
Zařízení se systémem macOS mohou používat ověřování na základě certifikátu (CBA) ke kontrole proti Microsoft Entra ID pomocí jejich klientského certifikátu X.509. Microsoft Entra CBA se podporuje s certifikáty uloženými na zařízení a externími bezpečnostními klíči chráněnými hardwarem. V macOS se Microsoft Entra CBA podporuje ve všech prohlížečích a v aplikacích Microsoftu.
Podporované prohlížeče v macOS
| Okraj | Chrom | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Přihlášení zařízení s macOS pomocí Microsoft Entra CBA
Microsoft Entra CBA dnes není podporována pro přihlašování na zařízeních s macOS. Certifikát použitý k přihlášení k zařízení může být stejný certifikát, který se používá k ověření v MICROSOFT Entra ID z prohlížeče nebo desktopové aplikace, ale samotné přihlášení zařízení není podporováno pro Microsoft Entra ID.
Ověřování založené na certifikátech Microsoft Entra na zařízeních s iOSem
Zařízení s iOSem mohou použít ověřování na základě certifikátů (CBA) pro ověření v Microsoft Entra ID pomocí klientského certifikátu uloženého v jejich zařízení při připojování k:
- Mobilní aplikace Office, jako je Microsoft Outlook a Microsoft Word
- klienti protokolu Exchange ActiveSync (EAS)
Microsoft Entra CBA je podporován pro certifikáty na zařízení v nativních prohlížečích a v aplikacích Microsoftu na zařízeních s iOSem.
Požadavky
- Verze iOS musí být iOS 9 nebo novější.
- Microsoft Authenticator se vyžaduje pro aplikace Office lications a Outlook v iOSu.
Podpora certifikátů na zařízení a externího úložiště
Certifikáty jsou na zařízení poskytovány. Zákazníci můžou k zřizování certifikátů v zařízení používat mobilní Správa zařízení (MDM). Vzhledem k tomu, že iOS nepodporuje hardwarové chráněné klíče, zákazníci můžou pro certifikáty používat externí úložné zařízení.
Podporované platformy
- Podporují se jenom nativní prohlížeče.
- Aplikace využívající nejnovější knihovny MSAL nebo Microsoft Authenticator můžou provádět CBA
- Prohlížeč Edge s uživatelským profilem, když uživatelé přidají účet a přihlásí se do profilu podporujícího CBA.
- Vlastní aplikace Microsoftu s nejnovějšími knihovnami MSAL nebo Microsoft Authenticator mohou provádět CBA.
Prohlížeče
| Okraj | Chrom | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Podpora mobilních aplikací Microsoftu
| Aplikace | Technická podpora |
|---|---|
| Aplikace Azure Information Protection | ✅ |
| Firemní portál | ✅ |
| Microsoft Teams | ✅ |
| Office (mobilní zařízení) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Vyhlídka | ✅ |
| Power BI | ✅ |
| Skype pro firmy | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Podpora pro klienty protokolu Exchange ActiveSync
V iOSu 9 nebo novějším se podporuje nativní poštovní klient pro iOS.
Pokud chcete zjistit, jestli vaše e-mailová aplikace podporuje Microsoft Entra CBA, obraťte se na vývojáře vaší aplikace.
Podpora certifikátů v klíči hardwarového zabezpečení
Certifikáty je možné zřídit v externích zařízeních, jako jsou hardwarové bezpečnostní klíče, spolu s PIN kódem pro ochranu přístupu k privátnímu klíči. Řešení založené na mobilních certifikátech společnosti Microsoft, které je spojeno s klíči zabezpečení hardwaru, je jednoduchá, pohodlná metoda FIPS (Federal Information Processing Standards) s certifikací MFA odolná proti útokům phishing.
Pokud jde o iOS 16/iPadOS 16.1, zařízení Apple poskytují nativní podporu ovladačů pro čipové karty kompatibilní s CCID, připojené přes USB-C nebo Lightning. To znamená, že zařízení Apple s iOS 16/iPadOS 16.1 rozpoznávají zařízení kompatibilní s CCID připojená přes USB-C nebo Lightning jako čipovou kartu bez potřeby dalších ovladačů či aplikací třetích stran. Microsoft Entra CBA funguje s USB-A, USB-C nebo Lightning připojenými čipovými kartami kompatibilními s CCID.
Výhody certifikátů na klíči hardwarového zabezpečení
Klíče zabezpečení s certifikáty:
- Lze ji použít na jakémkoli zařízení a nepotřebujete certifikát pro zajištění na každém zařízení uživatele.
- Jsou zabezpečená hardwarem pomocí KÓDU PIN, díky čemuž jsou odolné proti útokům phishing.
- Poskytnutí vícefaktorového ověřování pomocí kódu PIN jako druhého faktoru pro přístup k privátnímu klíči certifikátu
- Splnit požadavek průmyslu na vícefaktorové ověřování na samostatném zařízení
- Pomoc při zajištění odolnosti do budoucna, kde lze uložit více různých přihlašovacích údajů, včetně klíčů pro Fast Identity Online 2 (FIDO2).
Microsoft Entra CBA na zařízeních s systémem iOS a YubiKey
I když je nativní ovladač Smartcard/CCID k dispozici na iOS/iPadOS pro čipové karty kompatibilní s CCID, konektor YubiKey 5Ci Lightning se na těchto zařízeních nezobrazuje jako připojený čipová karta bez použití middlewaru PIV (ověření osobní identity), jako je Yubico Authenticator.
Požadavky na jednorázovou registraci
- Mít YubiKey s aktivovanou funkcí PIV, na kterém je zřízen certifikát na čipové kartě.
- Stáhněte si aplikaci Yubico Authenticator pro iOS na iPhonu s v14.2 nebo novějším
- Otevřete aplikaci, vložte YubiKey nebo klepněte přes bezkontaktní komunikaci (NFC) a podle pokynů nahrajte certifikát do klíčenky iOS.
Postup testování YubiKey v aplikacích Microsoftu na mobilních zařízeních s iOSem
- Nainstalujte nejnovější aplikaci Microsoft Authenticator.
- Otevřete Outlook a připojte svůj YubiKey.
- Vyberte Přidat účet a zadejte hlavní název uživatele (UPN).
- Vyberte Pokračovat a zobrazí se vybírač certifikátu pro iOS.
- Vyberte veřejný certifikát zkopírovaný z YubiKey, který je přidružený k účtu uživatele.
- Vyberte Vyžadováno YubiKey pro otevření aplikace YubiKey Authenticator.
- Zadejte PIN kód pro přístup k YubiKey a vyberte tlačítko Zpět v levém horním rohu.
Uživatel by se měl úspěšně přihlásit a přesměrovat na domovskou stránku Outlooku.
Řešení potíží s certifikáty na bezpečnostním hardwarovém klíči
Co se stane, když má uživatel certifikáty jak na zařízení s iOSem, tak v YubiKey?
Výběr certifikátu pro iOS zobrazuje všechny certifikáty na zařízení s iOSem i certifikáty zkopírované z YubiKey do zařízení s iOSem. V závislosti na výběru certifikátu může uživatel přejít na ověřovací program YubiKey, aby zadal PIN kód nebo se přímo ověřil.
Můj YubiKey je uzamčen po nesprávném zadání PIN 3krát. Jak to můžu vyřešit?
- Uživatelům by se mělo zobrazit dialogové okno s informací, že bylo provedeno příliš mnoho pokusů o zadání KÓDU PIN. Toto dialogové okno se zobrazí také při dalších pokusech o výběr možnosti Použít certifikát nebo čipovou kartu.
- YubiKey Manager může resetovat PIN kód YubiKey.
Po selhání CBA přestane fungovat i možnost CBA v odkazu "Další způsoby přihlášení". Existuje alternativní řešení?
K tomuto problému dochází kvůli ukládání certifikátů do mezipaměti. Pracujeme na aktualizaci, která vymaže mezipaměť. Jako alternativní řešení vyberte Zrušit, zkuste se přihlásit znovu a zvolte nový certifikát.
Microsoft Entra CBA s YubiKey selhává. Jaké informace by vám pomohly problém odstranit?
- Otevřete aplikaci Microsoft Authenticator, vyberte ikonu se třemi tečkami v pravém horním rohu a vyberte Odeslat názor.
- Vybrat Máte potíže?.
- U možnosti Vybrat možnost vyberte Přidat nebo se přihlásit k účtu.
- Popište všechny podrobnosti, které chcete přidat.
- Vyberte šipku pro odeslání v pravém horním rohu. Poznamenejte si kód uvedený v dialogovém okně, který se zobrazí.
Jak můžu vynutit vícefaktorové ověřování odolné proti útokům phishing pomocí klíče hardwarového zabezpečení v aplikacích založených na prohlížeči na mobilních zařízeních?
Možnosti silného ověřování na základě certifikátů a ověřování podmíněného přístupu usnadňují zákazníkům vynucování potřeb ověřování. Microsoft Edge jako profil (přidání účtu) funguje s hardwarovým bezpečnostním klíčem, jako je YubiKey, a zásady podmíněného přístupu s funkcí síly ověřování mohou vynutit ověřování odolné proti phishingovým útokům pomocí CBA (ověřování založené na certifikátu).
Podpora jazyka CBA pro YubiKey je dostupná v nejnovějších knihovnách Knihovny MICROSOFT Authentication Library (MSAL) a všech aplikacích třetích stran, které integrují nejnovější knihovnu MSAL. Všechny vlastní aplikace společnosti Microsoft můžou používat CBA a sílu ověřování podmíněného přístupu.
Podporované operační systémy
| Operační systém | Certifikát na zařízení/odvozený PIV certifikát | Čipové karty / Klíče zabezpečení |
|---|---|---|
| Ios | ✅ | Pouze podporovaní dodavatelé |
Podporované prohlížeče
| Operační systém | Certifikát Chrome na zařízení | Čipová karta chrome / bezpečnostní klíč | Certifikát Safari na zařízení | Čipová karta Safari / bezpečnostní klíč | Certifikát Edge na zařízení | Edge inteligentní čipová karta / bezpečnostní klíč |
|---|---|---|---|---|---|---|
| Ios | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Zprostředkovatelé klíčů zabezpečení
| Poskytovatel | Ios |
|---|---|
| YubiKey | ✅ |
Známé problémy
- V iOSu se uživatelům s ověřováním založeným na certifikátu zobrazí "dvojitá výzva", kde musí vybrat možnost použít ověřování na základě certifikátu dvakrát.
- Na iOS se uživatelům s aplikací Microsoft Authenticator zobrazí také hodinová výzva k ověření pomocí CBA, pokud je aktivní zásada síly ověřování vynucující CBA, nebo pokud používají CBA jako druhý faktor.
- Na iOS způsobí zásada silného ověření vyžadující CBA a zásada ochrany aplikací MAM, že se zařízení bude nacházet ve smyčce mezi registrací zařízení a splněním požadavků MFA. Kvůli chybě v iOSu, když uživatel používá jazyk CBA k splnění požadavku MFA, zásady MAM nejsou spokojeny s chybou vyvolanou serverem s informací, že se vyžaduje registrace zařízení, i když je zařízení zaregistrované. Tato chyba způsobí opětovnou registraci a požadavek se zasekne ve smyčce používání metody CBA pro přihlášení, což vyžaduje registraci zařízení. Vzhledem k výše uvedeným problémům je CBA jako druhý faktor zablokována na iOSu a bude odblokována, jakmile budou provedeny opravy.
Další kroky
- Přehled Microsoft Entra CBA
- Podrobné technické informace pro Microsoft Entra CBA
- Jak nakonfigurovat Microsoft Entra CBA
- Microsoft Entra CBA na zařízeních s Androidem
- Přihlášení pomocí smart karty systému Windows s využitím Microsoft Entra CBA
- ID uživatele certifikátu
- Migrace federovaných uživatelů
- Nejčastější dotazy