Zertifikatbasierte Authentifizierung von Microsoft Entra auf Android-Geräten
Die zertifikatbasierte Microsoft Entra-Authentifizierung wird mit zertifikatbasierten Zertifikaten unterstützt, die auf dem Gerät bereitgestellt werden, sowie mit externen Sicherheitsschlüsseln wie YubiKeys.
Voraussetzungen
- Die Android-Version muss Android 5.0 (Lollipop) oder eine höhere Version sein.
- Microsoft-Erstanbieter-Apps mit den aktuellen MSAL-Bibliotheken oder Microsoft Authenticator können die CBA verwenden.
- Drittanbieteranwendungen, die neueste MSAL-Bibliotheken verwenden oder mit Microsoft Authenticator integriert sind, können CBA ausführen.
CBA mit Zertifikaten auf dem Gerät
Kunden können die Verwaltung mobiler Geräte (Mobile Device Management, MDM) ihrer Wahl verwenden, um die Zertifikate auf dem Gerät bereitzustellen. Endbenutzer müssen ihre Geräte zuerst bei MDM registrieren und das auf dem Gerät bereitgestellte Zertifikat abrufen. Nachdem das Zertifikat auf dem Gerät bereitgestellt wurde, können sich Benutzer mit CBA authentifizieren.
Schritte zum Testen von YubiKey in Microsoft-Apps unter Android:
- Öffnen Sie Outlook.
- Wählen Sie Konto hinzufügen aus, und geben Sie Ihren Benutzerprinzipalnamen (UPN) ein.
- Klicken Sie auf Weiter.
- Wählen Sie Zertifikat oder Smartcard verwenden aus.
- Wählen Sie Zertifikat auf dem Gerät im Dialogfeld aus**.**
- Die Zertifikatauswahl wird angezeigt.
- Wählen Sie das Zertifikat aus, das dem Benutzerkonto zugeordnet ist. Klicken Sie auf Weiter.
- Der Benutzer kann auf die Outlook-Ressource zugreifen, wenn die Authentifizierung erfolgreich ist.
CBA mit Zertifikaten auf einem Hardwaresicherheitsschlüssel
Zertifikate können auf externen Geräten wie etwa einem Hardwaresicherheitsschlüssel zusammen mit einer PIN bereitgestellt werden, um den Zugriff auf private Schlüssel zu schützen. Microsoft Entra ID unterstützt die zertifikatbasierte Authentifizierung mit YubiKey.
Vorteile von Zertifikaten auf Hardwaresicherheitsschlüsseln
Sicherheitsschlüssel mit Zertifikaten:
- Sie bieten das Roaming eines Sicherheitsschlüssels, wodurch Benutzer dasselbe Zertifikat auf verschiedenen Geräten nutzen können.
- Sie sind hardwareseitig durch eine PIN geschützt, was sie widerstandsfähiger gegen Phishing macht.
- Sie stellen eine Multi-Faktor-Authentifizierung mit einer PIN als zweitem Faktor für den Zugriff auf den privaten Schlüssel des Zertifikats bereit.
- Durch die Installation der Multi-Faktor-Authentifizierung auf einem separaten Gerät wird die entsprechende Branchenanforderung erfüllt.
- Sie sind zukunftssicher, da mehrere Berechtigungsnachweise gespeichert werden können, darunter auch FIDO2-Schlüssel (Fast Identity Online 2).
Microsoft Entra-CBA auf Android-Mobilgeräten mit YubiKey
Android benötigt eine Middlewareanwendung, um Smartcards oder Sicherheitsschlüssel mit Zertifikaten unterstützen zu können. Um YubiKeys mit Microsoft Entra-CBA zu unterstützen, wurde das YubiKey Android SDK in den Brokercode von Microsoft integriert, der über die neueste Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL) genutzt werden kann.
Da Microsoft Entra-CBA mit YubiKey auf Android-Mobilgeräten durch die Verwendung der neuesten MSAL aktiviert wird, ist die YubiKey Authenticator-App für die Android-Unterstützung nicht erforderlich.
Schritte zum Testen von YubiKey in Microsoft-Apps unter Android:
- Installieren des Microsoft Authenticator.
- Wenn Ihr YubiKey über USB-C verfügt, öffnen Sie Outlook, und schließen Sie Ihr YubiKey an.
- Wählen Sie Konto hinzufügen aus, und geben Sie Ihren Benutzerprinzipalnamen (UPN) ein.
- Klicken Sie auf Weiter, und wenn Sie nach der Erlaubnis für den Zugriff auf Ihren YubiKey gefragt werden, klicken Sie auf OK.
- Wählen Sie Zertifikat oder Smartcard verwenden aus.
- Wenn Sie ein NFC-fähiges Yubikey verwenden, halten Sie das Yubikey an die Rückseite des Geräts.
- Eine benutzerdefinierte Zertifikatauswahl erscheint.
- Wählen Sie das dem Konto des Benutzers zugeordnete Zertifikat aus, und klicken Sie auf Weiter.
- Geben Sie die PIN für den Zugriff auf Ihren YubiKey ein, und wählen Sie Entsperren aus.
- Wenn Sie ein Yubikey mit NFC verwenden, halten Sie das Yubikey erneut an die Rückseite des Telefons, um die PIN zu überprüfen.
- Nachdem die Authentifizierung erfolgreich war, können Sie auf Outlook zugreifen.
Hinweis
Um einen reibungslosen Ablauf der zertifikatbasierten Authentifizierung zu gewährleisten, schließen Sie Ihren YubiKey an, sobald die Anwendung geöffnet wird, und erteilen Sie im YubiKey-Zustimmungsdialogfeld Ihre Einwilligung, bevor Sie auf den Link Zertifikat oder Smartcard verwenden klicken. Wenn Sie nur eine einzige Verbindung herstellen möchten, sollten Sie in Betracht ziehen, Benutzer den YubiKey über USB anschließen zu lassen, anstatt NFC zu verwenden, da dies nur einmal am Anfang der Anmeldung ausgeführt werden muss.
Unterstützung von Exchange ActiveSync-Clients
Bestimmte Exchange ActiveSync-Anwendungen auf Android 5.0 (Lollipop) oder einer höheren Version werden unterstützt. Wenden Sie sich an den Entwickler bzw. an die Entwicklerin der Anwendung, um zu erfahren, ob Ihre E-Mail-Anwendung die zertifikatbasierte Microsoft Entra-Authentifizierung unterstützt.
Unterstützte Entra-Anwendungsfälle
Unterstützung mobiler Microsoft-Anwendungen
| Anwendungen | Support |
|---|---|
| Azure Information Protection-App | ✅ |
| Unternehmensportal | ✅ |
| Microsoft Teams | ✅ |
| Office (Mobil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| Edge-Browser mit Profilanmeldung | ✅ |
| Managed Home Screen | ✅ |
Browser
| Betriebssystem | Chrome-Zertifikat auf dem Gerät | Chrome-Smartcard/Sicherheitsschlüssel | Safari-Zertifikat auf dem Gerät | Safari-Smartcard/Sicherheitsschlüssel | Edge-Zertifikat auf dem Gerät | Edge-Smartcard/Sicherheitsschlüssel |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | – | – | ✅ | ❌ |
Hinweis
Obwohl Edge als Browser nicht unterstützt wird, ist Edge als Profil (für die Kontoanmeldung) eine MSAL-App, die CBA auf Android unterstützt.
Betriebssysteme
| Betriebssystem | On-Device-Zertifikat/Abgeleitete PIV | Smartcards/Sicherheitsschlüssel |
|---|---|---|
| Android | ✅ | Nur unterstützte Anbieter |
Sicherheitsschlüsselanbieter
| Anbieter | Android |
|---|---|
| YubiKey | ✅ |
Problembehandlung für Zertifikate auf einem Hardwaresicherheitsschlüssel
Was geschieht, wenn sowohl auf dem Android-Gerät als auch auf dem YubiKey Zertifikate des Benutzers vorhanden sind?
- Wenn der Benutzer sowohl auf dem Android-Gerät als auch auf dem YubiKey über Zertifikate verfügt und der YubiKey angeschlossen wird, bevor der Benutzer auf Zertifikat oder Smartcard verwenden klickt, werden dem Benutzer die Zertifikate auf dem YubiKey angezeigt.
- Wenn der YubiKey nicht angeschlossen ist, bevor der Benutzer auf Zertifikat oder Smartcard verwenden klickt, wird der Benutzer aufgefordert, zwischen Zertifikaten auf dem Gerät oder einer physischen Smartcard auszuwählen. Wenn der Benutzer Zertifikat auf dem Gerät auswählt, werden dem Benutzer die Zertifikate auf dem Gerät angezeigt. Wenn der Benutzer Zertifikate auf physischer Smartcard auswählt und den YubiKey einsteckt oder an die Rückseite hält, werden dem Benutzer die Zertifikate im YubiKey angezeigt.
Mein YubiKey ist nach dreimaliger Falscheingabe der PIN gesperrt. Wie behebe ich das Problem?
- Die Benutzer sollten in einem Dialogfeld darüber informiert werden, dass zu viele PIN-Eingabeversuche unternommen wurden. Dieses Dialogfeld wird auch bei späteren Versuchen angezeigt, Zertifikat oder Smartcard verwenden auszuwählen.
- Benutzer sollten sich an den Administrator wenden, um eine YubiKey-PIN zurückzusetzen.
Ich habe Microsoft Authenticator installiert, es wird aber weiterhin keine Option für eine zertifikatbasierte Authentifizierung mit YubiKey angezeigt.
Bevor Sie Microsoft Authenticator installieren, deinstallieren Sie das Unternehmensportal, und installieren Sie es nach der Installation von Microsoft Authenticator neu.
Unterstützt die Microsoft Entra-CBA YubiKey über NFC?
Entra CBA unterstützt die Verwendung von YubiKey über USB und mit NFC.
Wenn die zertifikatbasierte Authentifizierung (CBA) fehlschlägt, ist ein erneuter Klick auf die CBA-Option unter dem Link „Weitere Anmeldemöglichkeiten“ auf der Fehlerseite nicht erfolgreich.
Dieses Problem tritt aufgrund der Zwischenspeicherung von Zertifikaten auf. Zur Problemumgehung können Sie auf „Abbrechen“ klicken und den Anmeldevorgang neu starten, damit der Benutzer ein neues Zertifikat auswählen und sich erfolgreich anmelden kann.
Microsoft Entra-CBA mit YubiKey ist nicht erfolgreich. Welche Informationen helfen beim Debuggen des Problems?
- Öffnen Sie die Microsoft Authenticator-App, klicken Sie auf das Symbol mit den drei Punkten in der oberen rechten Ecke, und wählen Sie Feedback senden aus.
- Klicken Sie auf Probleme?.
- Wählen Sie unter Option auswählen die Option Konto hinzufügen oder bei Konto anmelden aus.
- Beschreiben Sie alle Details, die Sie hinzufügen möchten.
- Klicken Sie in der oberen rechten Ecke auf den Pfeil zum Senden. Beachten Sie den Code, der im eingeblendeten Dialogfeld angezeigt wird.
Nächste Schritte
- Übersicht über Microsoft Entra-CBA
- Ausführliche technische Informationen zur zertifikatbasierten Authentifizierung mit Azure AD
- Informationen zum Konfigurieren von Microsoft Entra-CBA
- Microsoft Entra-CBA auf iOS-Geräten
- Windows SmartCard-Anmeldung mit Microsoft Entra-CBA
- Zertifikatbenutzer-IDs
- Migrieren von Verbundbenutzer*innen
- Häufig gestellte Fragen