Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto téma popisuje podporu ověřování na základě certifikátů (CBA) microsoft Entra pro zařízení s macOS a iOS.
Ověřování založené na certifikátu Microsoft Entra na zařízeních s macOS
Zařízení se systémem macOS mohou používat ověřování na základě certifikátu (CBA) ke kontrole proti Microsoft Entra ID pomocí jejich klientského certifikátu X.509. Microsoft Entra CBA se podporuje s certifikáty uloženými na zařízení a externími bezpečnostními klíči chráněnými hardwarem. V macOS se Microsoft Entra CBA podporuje ve všech prohlížečích a v aplikacích Microsoftu.
Podporované prohlížeče v macOS
| Edge | Chrom | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Přihlášení zařízení s macOS pomocí Microsoft Entra CBA
Microsoft Entra CBA dnes není podporována pro přihlašování na zařízeních s macOS. Certifikát použitý k přihlášení k zařízení může být stejný certifikát, který se používá k ověření v MICROSOFT Entra ID z prohlížeče nebo desktopové aplikace, ale samotné přihlášení zařízení není podporováno pro Microsoft Entra ID.
Ověřování založené na certifikátech Microsoft Entra na zařízeních s iOSem
Zařízení s iOSem mohou použít ověřování na základě certifikátů (CBA) pro ověření v Microsoft Entra ID pomocí klientského certifikátu uloženého v jejich zařízení při připojování k:
- Mobilní aplikace Office, jako je Microsoft Outlook a Microsoft Word
- klienti protokolu Exchange ActiveSync (EAS)
Microsoft Entra CBA je podporován pro certifikáty na zařízení v nativních prohlížečích a v aplikacích Microsoftu na zařízeních s iOSem.
Požadavky
- Verze iOS musí být iOS 9 nebo novější.
- Microsoft Authenticator nebo Portál společnosti se vyžaduje pro aplikace první strany.
Podpora certifikátů na zařízení a externího úložiště
Certifikáty jsou na zařízení poskytovány. Zákazníci můžou k zřizování certifikátů v zařízení používat mobilní Správa zařízení (MDM). Vzhledem k tomu, že iOS nepodporuje hardwarové chráněné klíče, zákazníci můžou pro certifikáty používat externí úložné zařízení.
Podporované platformy
- Podporují se jenom nativní prohlížeče.
- Aplikace využívající nejnovější knihovny MSAL nebo Microsoft Authenticator můžou provádět CBA
- Prohlížeč Edge s uživatelským profilem, když uživatelé přidají účet a přihlásí se do profilu podporujícího CBA.
- Vlastní aplikace Microsoftu s nejnovějšími knihovnami MSAL nebo Microsoft Authenticator mohou provádět CBA.
Prohlížeče
| Edge | Chrom | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Podpora mobilních aplikací Microsoftu
| Aplikace | Technická podpora |
|---|---|
| Aplikace Azure Information Protection | ✅ |
| Portál společnosti | ✅ |
| Microsoft Teams | ✅ |
| Office (mobilní zařízení) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Vyhlídka | ✅ |
| Power BI | ✅ |
| Skype pro firmy | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Podpora pro klienty protokolu Exchange ActiveSync
V iOSu 9 nebo novějším se podporuje nativní poštovní klient pro iOS.
Pokud chcete zjistit, jestli vaše e-mailová aplikace podporuje Microsoft Entra CBA, obraťte se na vývojáře vaší aplikace.
Podpora certifikátů v klíči hardwarového zabezpečení
Certifikáty je možné zřídit v externích zařízeních, jako jsou hardwarové bezpečnostní klíče, spolu s PIN kódem pro ochranu přístupu k privátnímu klíči. Řešení založené na mobilních certifikátech společnosti Microsoft, které je spojeno s klíči zabezpečení hardwaru, je jednoduchá, pohodlná metoda FIPS (Federal Information Processing Standards) s certifikací MFA odolná proti útokům phishing.
Pokud jde o iOS 16/iPadOS 16.1, zařízení Apple poskytují nativní podporu ovladačů pro čipové karty kompatibilní s CCID, připojené přes USB-C nebo Lightning. To znamená, že zařízení Apple s iOS 16/iPadOS 16.1 rozpoznávají zařízení kompatibilní s CCID připojená přes USB-C nebo Lightning jako čipovou kartu bez potřeby dalších ovladačů či aplikací třetích stran. Microsoft Entra CBA funguje s USB-A, USB-C nebo Lightning připojenými čipovými kartami kompatibilními s CCID.
Výhody certifikátů na klíči hardwarového zabezpečení
Klíče zabezpečení s certifikáty:
- Lze ji použít na jakémkoli zařízení a nepotřebujete certifikát pro zajištění na každém zařízení uživatele.
- Jsou zabezpečená hardwarem pomocí KÓDU PIN, díky čemuž jsou odolné proti útokům phishing.
- Poskytnutí vícefaktorového ověřování pomocí kódu PIN jako druhého faktoru pro přístup k privátnímu klíči certifikátu
- Splnit požadavek průmyslu na vícefaktorové ověřování na samostatném zařízení
- Pomoc při zajištění odolnosti do budoucna, kde lze uložit více různých přihlašovacích údajů, včetně klíčů pro Fast Identity Online 2 (FIDO2).
Microsoft Entra CBA na zařízeních s systémem iOS a YubiKey
I když je nativní ovladač Smartcard/CCID k dispozici na iOS/iPadOS pro čipové karty kompatibilní s CCID, konektor YubiKey 5Ci Lightning se na těchto zařízeních nezobrazuje jako připojený čipová karta bez použití middlewaru PIV (ověření osobní identity), jako je Yubico Authenticator.
Požadavky na jednorázovou registraci
- Mít YubiKey s aktivovanou funkcí PIV, na kterém je zřízen certifikát na čipové kartě.
- Stáhněte si aplikaci Yubico Authenticator pro iOS na iPhonu s v14.2 nebo novějším
- Otevřete aplikaci, vložte YubiKey nebo klepněte přes bezkontaktní komunikaci (NFC) a podle pokynů nahrajte certifikát do klíčenky iOS.
Postup testování YubiKey v aplikacích Microsoftu na mobilních zařízeních s iOSem
- Nainstalujte nejnovější aplikaci Microsoft Authenticator.
- Otevřete Outlook a připojte svůj YubiKey.
- Vyberte Přidat účet a zadejte hlavní název uživatele (UPN).
- Vyberte Pokračovat a zobrazí se vybírač certifikátu pro iOS.
- Vyberte veřejný certifikát zkopírovaný z YubiKey, který je přidružený k účtu uživatele.
- Vyberte Vyžadováno YubiKey pro otevření aplikace YubiKey Authenticator.
- Zadejte PIN kód pro přístup k YubiKey a vyberte tlačítko Zpět v levém horním rohu.
Uživatel by se měl úspěšně přihlásit a přesměrovat na domovskou stránku Outlooku.
Řešení potíží s certifikáty na bezpečnostním hardwarovém klíči
Co se stane, když má uživatel certifikáty jak na zařízení s iOSem, tak v YubiKey?
Výběr certifikátu pro iOS zobrazuje všechny certifikáty na zařízení s iOSem i certifikáty zkopírované z YubiKey do zařízení s iOSem. V závislosti na výběru certifikátu může uživatel přejít na ověřovací program YubiKey, aby zadal PIN kód nebo se přímo ověřil.
Můj YubiKey je uzamčen po nesprávném zadání PIN 3krát. Jak to můžu vyřešit?
- Uživatelům by se mělo zobrazit dialogové okno s informací, že bylo provedeno příliš mnoho pokusů o zadání KÓDU PIN. Toto dialogové okno se zobrazí také při dalších pokusech o výběr možnosti Použít certifikát nebo čipovou kartu.
- YubiKey Manager může resetovat PIN kód YubiKey.
Po selhání CBA přestane fungovat i možnost CBA v odkazu "Další způsoby přihlášení". Existuje alternativní řešení?
K tomuto problému dochází kvůli ukládání certifikátů do mezipaměti. Pracujeme na aktualizaci, která vymaže mezipaměť. Jako alternativní řešení vyberte Zrušit, zkuste se přihlásit znovu a zvolte nový certifikát.
Microsoft Entra CBA s YubiKey selhává. Jaké informace by vám pomohly problém odstranit?
- Otevřete aplikaci Microsoft Authenticator, vyberte ikonu se třemi tečkami v pravém horním rohu a vyberte Odeslat názor.
- Vybrat Máte potíže?.
- U možnosti Vybrat možnost vyberte Přidat nebo se přihlásit k účtu.
- Popište všechny podrobnosti, které chcete přidat.
- Vyberte šipku pro odeslání v pravém horním rohu. Poznamenejte si kód uvedený v dialogovém okně, který se zobrazí.
Jak můžu vynutit vícefaktorové ověřování odolné proti útokům phishing pomocí klíče hardwarového zabezpečení v aplikacích založených na prohlížeči na mobilních zařízeních?
Možnosti silného ověřování na základě certifikátů a ověřování podmíněného přístupu usnadňují zákazníkům vynucování potřeb ověřování. Microsoft Edge jako profil (přidání účtu) funguje s hardwarovým bezpečnostním klíčem, jako je YubiKey, a zásady podmíněného přístupu s funkcí síly ověřování mohou vynutit ověřování odolné proti phishingovým útokům pomocí CBA (ověřování založené na certifikátu).
Podpora jazyka CBA pro YubiKey je dostupná v nejnovějších knihovnách Knihovny MICROSOFT Authentication Library (MSAL) a všech aplikacích třetích stran, které integrují nejnovější knihovnu MSAL. Všechny vlastní aplikace společnosti Microsoft můžou používat CBA a sílu ověřování podmíněného přístupu.
Podporované operační systémy
| Operační systém | Certifikát na zařízení/odvozený PIV certifikát | Čipové karty / Klíče zabezpečení |
|---|---|---|
| iOS | ✅ | Pouze podporovaní dodavatelé |
Podporované prohlížeče
| Operační systém | Certifikát Chrome na zařízení | Čipová karta chrome / bezpečnostní klíč | Certifikát Safari na zařízení | Čipová karta Safari / bezpečnostní klíč | Certifikát Edge na zařízení | Edge inteligentní čipová karta / bezpečnostní klíč |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Zprostředkovatelé klíčů zabezpečení
| Poskytovatel | iOS |
|---|---|
| YubiKey | ✅ |
Známé problémy
Existují některé známé problémy, když zařízení s iOSem nemá ověřovací aplikaci nebo portál společnosti.
- Uživatelům s ověřováním na základě certifikátu se zobrazí "dvojitá výzva", kde musí vybrat možnost použít ověřování na základě certifikátu dvakrát.
- Uživatelé s aplikací Microsoft Authenticator obdrží také hodinové výzvy k přihlášení pro ověření pomocí CBA, pokud jsou zásady ověřovací síly vyžadující použití CBA, nebo pokud CBA používají jako druhý faktor.
- Zásady silného ověřování, které vyžadují Podmíněnou autentizaci podle chování (CBA) a zásady ochrany aplikací MAM, skončí ve smyčce mezi registrací zařízení a plněním požadavků na vícefaktorové ověřování. Pokud uživatel k splnění požadavku vícefaktorového ověřování používá CBA, zásada MAM není spokojená s chybou vyvolanou serverem s informací, že se vyžaduje registrace zařízení, i když je zařízení zaregistrované. Tato chyba způsobí opětovnou registraci a požadavek se zasekne ve smyčce používání metody CBA pro přihlášení, což vyžaduje registraci zařízení.
Další kroky
- Přehled Microsoft Entra CBA
- Podrobné technické informace pro Microsoft Entra CBA
- Jak nakonfigurovat Microsoft Entra CBA
- Seznam odvolaných certifikátů Microsoft Entra CBA
- Microsoft Entra CBA na zařízeních s Androidem
- Přihlášení pomocí smart karty systému Windows s využitím Microsoft Entra CBA
- ID uživatele certifikátu
- Migrace federovaných uživatelů
- Nejčastější dotazy