Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die zertifikatbasierte Microsoft Entra-Authentifizierung wird mit auf dem Gerät bereitgestellten Zertifikaten und mit externen Sicherheitsschlüsseln wie YubiKeys unterstützt.
Voraussetzungen
- Android-Version muss Android 5.0 (Lollipop) oder höher sein.
- Microsoft-Erstanbieter-Apps mit den neuesten MSAL-Bibliotheken oder Microsoft Authenticator können CBA ausführen.
- Drittanbieteranwendungen, die neueste MSAL-Bibliotheken verwenden oder mit Microsoft Authenticator integriert sind, können CBA ausführen.
CBA mit On-Device-Zertifikaten
Kunden können die Wahl der Mobilen Geräteverwaltung (Mobile Device Management, MDM) verwenden, um die Zertifikate auf dem Gerät bereitzustellen. Endbenutzer müssen ihre Geräte zuerst bei MDM registrieren und das auf dem Gerät bereitgestellte Zertifikat abrufen. Nachdem das Zertifikat auf dem Gerät bereitgestellt wurde, können sich Benutzer mit CBA authentifizieren.
Schritte zum Testen von YubiKey auf Microsoft-Apps unter Android:
- Öffnen Sie Outlook.
- Wählen Sie "Konto hinzufügen" aus, und geben Sie Ihren Benutzerprinzipalnamen (UPN) ein.
- Klicken Sie auf Weiter.
- Wählen Sie "Zertifikat oder Smartcard verwenden" aus.
- Wählen Sie das Zertifikat auf dem Gerät im Dialogfeld**.** aus.
- Die Zertifikatauswahl wird angezeigt.
- Wählen Sie das Zertifikat aus, das dem Konto des Benutzers zugeordnet ist. Klicken Sie auf Weiter.
- Der Benutzer darf auf die Outlook-Ressource zugreifen, wenn die Authentifizierung erfolgreich ist.
CBA mit Zertifikaten auf Hardware-Sicherheitsschlüssel
Zertifikate können auf externen Geräten wie Hardwaresicherheitsschlüsseln zusammen mit einer PIN bereitgestellt werden, um den Zugriff auf private Schlüssel zu schützen. Microsoft Entra ID unterstützt CBA mit YubiKey.
Vorteile von Zertifikaten auf einem Hardware-Sicherheitsschlüssel
Sicherheitsschlüssel mit Zertifikaten:
- Die Roaming-Eigenschaft eines Sicherheitsschlüssels ermöglicht es Benutzern, dasselbe Zertifikat auf verschiedenen Geräten zu verwenden.
- Sind hardwaresicher mit einer PIN, wodurch sie phishingfest sind.
- Stellen Sie eine mehrstufige Authentifizierung mit einer PIN als zweiten Faktor für den Zugriff auf den privaten Schlüssel des Zertifikats bereit.
- Erfüllen Sie die Branchenanforderung, MFA auf einem separaten Gerät zu haben.
- Hilfe bei der Zukunftssicherung, wo mehrere Anmeldedaten gespeichert werden können, einschließlich FIDO2-Schlüsseln (Fast Identity Online 2).
Microsoft Entra CBA auf Android-Smartphone mit YubiKey
Android benötigt eine Middleware-Anwendung, um Smartcards oder Sicherheitsschlüssel mit Zertifikaten unterstützen zu können. Um YubiKeys mit Microsoft Entra CBA zu unterstützen, wurde YubiKey Android SDK in den Microsoft Broker-Code integriert, der über die neueste Microsoft Authentication Library (MSAL) genutzt werden kann.
Da Microsoft Entra CBA mit YubiKey auf Android Mobile mithilfe der neuesten MSAL aktiviert ist, ist YubiKey Authenticator-App für Android-Unterstützung nicht erforderlich.
Schritte zum Testen von YubiKey auf Microsoft-Apps unter Android:
- Installieren Sie Microsoft Authenticator.
- Wenn Ihr YubiKey ÜBER USB-C verfügt, öffnen Sie Outlook, und schließen Sie Ihr YubiKey an.
- Wählen Sie "Konto hinzufügen" aus, und geben Sie Ihren Benutzerprinzipalnamen (UPN) ein.
- Klicken Sie auf "Weiter", und klicken Sie auf "OK", wenn Sie aufgefordert werden, auf Ihre YubiKey zuzugreifen.
- Wählen Sie "Zertifikat oder Smartcard verwenden" aus.
- Wenn Sie ein NFC-fähiges Yubikey verwenden, halten Sie das Yubikey auf der Rückseite des Geräts.
- Ein benutzerdefinierter Zertifikatauswahldialog wird angezeigt.
- Wählen Sie das Zertifikat aus, das dem Konto des Benutzers zugeordnet ist, und klicken Sie auf "Weiter".
- Geben Sie die PIN ein, um auf YubiKey zuzugreifen, und wählen Sie "Entsperren" aus.
- Wenn Sie ein Yubikey mit NFC verwenden, halten Sie das Yubikey erneut auf der Rückseite des Telefons, um die PIN zu überprüfen.
- Nachdem die Authentifizierung erfolgreich war, können Sie auf Outlook zugreifen.
Hinweis
Um einen reibungslosen CBA-Fluss zu erhalten, schließen Sie YubiKey an, sobald die Anwendung geöffnet wird, und akzeptieren Sie das Zustimmungsdialogfeld von YubiKey, bevor Sie den Link "Zertifikat oder Smartcard verwenden" auswählen. Wenn Sie nur eine einzige Verbindung herstellen möchten, sollten Sie in Betracht ziehen, Benutzer über USB anstelle von NFC in den YubiKey einstecken zu lassen, der nur einmal am Anfang der Anmeldung ausgeführt werden muss.
Unterstützung für Exchange ActiveSync-Clients
Bestimmte Exchange ActiveSync-Anwendungen unter Android 5.0 (Lollipop) oder höher werden unterstützt. Um festzustellen, ob Ihre E-Mail-Anwendung Microsoft Entra CBA unterstützt, wenden Sie sich an den Anwendungsentwickler.
Unterstützte Microsoft Entra-Anwendungsfälle
Unterstützung für mobile Microsoft-Anwendungen
| Anträge | Support |
|---|---|
| Azure Information Protection-App | ✅ |
| Unternehmensportal | ✅ |
| Microsoft Teams | ✅ |
| Office (Mobil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Aussicht | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| Edgebrowser mit Profilanmeldung | ✅ |
| Verwalteter Startbildschirm | ✅ |
Hinweis
Wenn Sie die zertifikatbasierte Microsoft Entra-Authentifizierung auf Android-Geräten im Kioskmodus (üblich im Modus für gemeinsame Geräte) verwenden, sollten Kunden die Liste "com.android.systemui" als erforderliches Paket zulassen, um sicherzustellen, dass ihnen die entsprechende Benutzeroberfläche angezeigt wird, um die Authentifizierung abzuschließen.
Browser
| Betriebssystem | Chrome-Zertifikat auf dem Gerät | Chrome Smartcard/Sicherheitsschlüssel | Safari-Zertifikat auf dem Gerät | Safari Smartcard/Sicherheitsschlüssel | Edgezertifikat auf dem Gerät | Smartcard/Sicherheitsschlüssel für Edge |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | N/A | N/A | ✅ | ❌ |
Hinweis
Obwohl Edge als Browser nicht unterstützt wird, ist Edge als Profil (für die Kontoanmeldung) eine MSAL-App, die CBA unter Android unterstützt.
Betriebssysteme
| Betriebssystem | Zertifikat auf dem Gerät/Abgeleitetes PIV | Smartcards/Sicherheitsschlüssel |
|---|---|---|
| Android | ✅ | Nur unterstützte Anbieter |
Sicherheitsschlüsselanbieter
| Provider | Android |
|---|---|
| YubiKey | ✅ |
Probleme mit Zertifikaten bei Hardwaresicherheitsschlüsseln beheben
Was geschieht, wenn der Benutzer zertifikate sowohl auf dem Android-Gerät als auch auf YubiKey hat?
- Wenn der Benutzer zertifikate sowohl auf dem Android-Gerät als auch auf YubiKey hat, wird der Benutzer die Zertifikate im YubiKey angezeigt, wenn der YubiKey angeschlossen ist, bevor der Benutzer auf " Zertifikat verwenden" oder "Smartcard" klickt.
- Wenn der YubiKey nicht angeschlossen ist, bevor der Benutzer auf " Zertifikat oder Smartcard verwenden" klickt, wird der Benutzer aufgefordert, zwischen Zertifikaten auf dem Gerät oder einer physischen Smartcard auszuwählen. Wenn der Benutzer das Zertifikat auf dem Gerät auswäht, wird dem Benutzer die Zertifikate auf dem Gerät angezeigt. Wenn der Benutzer Zertifikate auf physischer Smartcard auswählt, stecken oder halten Sie den YubiKey an die Rückseite, und die Zertifikate im YubiKey werden dem Benutzer angezeigt.
Mein YubiKey ist nach dreimaliger falscher Eingabe der PIN gesperrt. Wie behebe ich das Problem?
- Benutzern sollte ein Dialogfeld angezeigt werden, in dem Sie darüber informiert werden, dass zu viele PIN-Versuche vorgenommen wurden. Dieses Dialogfeld wird auch bei nachfolgenden Versuchen angezeigt, Zertifikat oder Smartcard zu verwenden.
- Benutzer sollten sich an den Administrator wenden, um eine YubiKey-PIN zurückzusetzen.
Ich habe Microsoft Authenticator installiert, aber es wird weiterhin keine Option zum Ausführen der zertifikatbasierten Authentifizierung mit YubiKey angezeigt.
Deinstallieren Sie vor der Installation von Microsoft Authenticator das Unternehmensportal, und installieren Sie es nach der Installation von Microsoft Authenticator.
Unterstützt Microsoft Entra CBA YubiKey über NFC?
Microsoft Entra CBA unterstützt die Verwendung von YubiKey mit USB und NFC.
Sobald CBA fehlschlägt, schlägt das Klicken auf die CBA-Option erneut im Link "Andere Möglichkeiten zum Anmelden" auf der Fehlerseite fehl.
Dieses Problem tritt aufgrund des Zwischenspeicherns von Zertifikaten auf. Indem sie auf „Abbrechen“ klicken und den Anmeldevorgang neu starten, können Benutzer ein neues Zertifikat auswählen und sich erneut erfolgreich anmelden.
Microsoft Entra CBA mit YubiKey ist fehlgeschlagen. Welche Informationen würden beim Debuggen des Problems helfen?
- Öffnen Sie die Microsoft Authenticator-App, klicken Sie in der oberen rechten Ecke auf das Symbol mit drei Punkten, und wählen Sie "Feedback senden" aus.
- Klicken Sie auf Probleme?.
- Wählen Sie zum Auswählen einer Option"Hinzufügen" aus, oder melden Sie sich bei einem Konto an.
- Beschreiben Sie alle Details, die Sie hinzufügen möchten.
- Klicken Sie in der oberen rechten Ecke auf den Pfeil "Senden". Beachten Sie den code, der im angezeigten Dialogfeld bereitgestellt wird.
Nächste Schritte
- Übersicht über microsoft Entra CBA
- Intensiver Einblick in Microsoft Entra CBA
- Konfigurieren von Microsoft Entra CBA
- Microsoft Entra CBA-Zertifikatsperrliste
- Microsoft Entra CBA auf iOS-Geräten
- Windows-SmartCard-Anmeldung mit Microsoft Entra CBA
- Zertifikatbenutzer-IDs
- Migrieren von Verbundbenutzern
- Häufig gestellte Fragen