Microsoft Entra autenticación basada en certificados en dispositivos Android
La autenticación basada en certificados de Microsoft Entra se admite con certificados aprovisionados en el dispositivo, así como con claves de seguridad externas, como YubiKeys.
Requisitos previos
- La versión de Android debe ser Android 5.0 (Lollipop) o posterior.
- Las aplicaciones propias de Microsoft que tengan Microsoft Authenticator o las bibliotecas MSAL más recientes pueden usar la autenticación basada en certificados.
- Las aplicaciones de terceros que usen las bibliotecas MSAL más recientes o que estén integradas con Microsoft Authenticator pueden usar la autenticación basada en certificados.
CBA con certificados en el dispositivo
Los clientes pueden usar su elección de administración de dispositivos móviles (MDM) para aprovisionar los certificados en el dispositivo. Los usuarios finales deben registrar primero sus dispositivos con MDM y obtener el certificado aprovisionado en el dispositivo. Una vez que el certificado se aprovisione en el dispositivo, los usuarios podrán autenticarse mediante CBA.
Pasos para probar YubiKey en aplicaciones de Microsoft en Android:
- Abra Outlook.
- Seleccione Agregar cuenta y escriba el nombre principal de usuario (UPN).
- Haga clic en Continuar.
- Seleccione Usar certificado o tarjeta inteligente.
- Seleccione Certificado en el dispositivo en el cuadro de diálogo**.**
- Aparecerá el selector de certificados.
- Seleccione el certificado asociado a la cuenta del usuario. Haga clic en Continuar.
- Si la autenticación se realiza correctamente, el usuario podrá acceder al recurso de Outlook.
CBA con certificados en la clave de seguridad de hardware
Los certificados se pueden aprovisionar en dispositivos externos, como claves de seguridad de hardware, junto con un PIN para proteger el acceso a la clave privada. Microsoft Entra id. admite CBA con YubiKey.
Ventajas de los certificados en la clave de seguridad de hardware
Las claves de seguridad con certificados:
- Tiene la naturaleza de itinerancia de las claves de seguridad, que permiten a los usuarios usar el mismo certificado en diferentes dispositivos.
- Son hardware protegido con un PIN, lo que las hace resistentes a la suplantación de identidad (phishing).
- Proporcionan autenticación multifactor con un PIN como segundo factor para acceder a la clave privada del certificado.
- Satisfacen el requisito del sector de tener MFA en un dispositivo independiente.
- Ayudan en futuras pruebas en las que se pueden almacenar varias credenciales, incluidas las claves de Fast Identity Online 2 (FIDO2).
Microsoft Entra CBA en dispositivos móviles Android con YubiKey
Android necesita una aplicación de middleware para admitir tarjetas inteligentes o claves de seguridad con certificados. Para admitir YubiKeys con Microsoft Entra CBA, el SDK de YubiKey para Android se ha integrado en el código del agente de Microsoft, que se puede aprovechar a través de la última biblioteca de autenticación de Microsoft (MSAL).
Debido a que Microsoft Entra CBA con YubiKey en dispositivos móviles Android está habilitado mediante el uso de la última versión de MSAL, la aplicación YubiKey Authenticator no es necesaria para la compatibilidad con Android.
Pasos para probar YubiKey en aplicaciones de Microsoft en Android:
- Instale Microsoft Authenticator.
- Si su YubiKey tiene USB-C, abra Outlook y conecte su YubiKey.
- Seleccione Agregar cuenta y escriba el nombre principal de usuario (UPN).
- Haga clic en Continuar, y cuando se le pida permiso para acceder a su YubiKey, haga clic en Aceptar.
- Seleccione Usar certificado o tarjeta inteligente.
- Si usa una Yubikey habilitada para NFC, mantenga presionada la clave Yubikey a la parte posterior del dispositivo.
- Aparece un selector de certificados personalizado.
- Seleccione el certificado asociado a la cuenta del usuario y haga clic en Continuar.
- Escriba el PIN para acceder a YubiKey y seleccione Desbloquear.
- Si usa un Yubikey con NFC, mantenga el Yubikey en la parte posterior del teléfono de nuevo para validar el PIN.
- Una vez que la autenticación se realiza correctamente, puede acceder a Outlook.
Nota:
Para un flujo suave de autenticación basada en certificados, conecte YubiKey tan pronto como se abra la aplicación y acepte el cuadro de diálogo de consentimiento de YubiKey antes de seleccionar el vínculo Usar certificado o tarjeta inteligente. Si desea experimentar solo una conexión, considere la posibilidad de que los usuarios conecten YubiKey mediante USB en lugar de NFC, que solo debe realizarse una vez al principio del inicio de sesión.
Compatibilidad con clientes de Exchange ActiveSync
Hay algunas aplicaciones de Exchange ActiveSync que son compatibles con Android 5.0 (Lollipop) o posterior. Para determinar si su aplicación de correo electrónico es compatible con Microsoft Entra CBA, comuníquese con el desarrollador de su aplicación.
Casos de uso admitidos en Entra
Compatibilidad con la aplicación móvil de Microsoft
| APLICACIONES | Soporte técnico |
|---|---|
| Aplicación Azure Information Protection | ✅ |
| Portal de empresa | ✅ |
| Equipos de Microsoft | ✅ |
| Office (móvil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype Empresarial | ✅ |
| Word, Excel y PowerPoint | ✅ |
| Yammer | ✅ |
| Explorador Edge con inicio de sesión de perfil | ✅ |
| Managed Home Screen | ✅ |
Navegadores
| Sistema operativo | Certificado de Chrome en el dispositivo | Tarjeta inteligente cromo/clave de seguridad | Certificado de Safari en el dispositivo | Tarjeta inteligente de Safari/clave de seguridad | Certificado de Edge en el dispositivo | Tarjeta inteligente perimetral/clave de seguridad |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | N/D | N/D | ✅ | ❌ |
Nota:
Aunque Edge como explorador no es compatible, Edge como perfil (para el inicio de sesión de cuenta) es una aplicación MSAL que admite CBA en Android.
Sistemas operativos
| Sistema operativo | Certificado en el dispositivo o PIV derivado | Tarjetas inteligentes/claves de seguridad |
|---|---|---|
| Android | ✅ | Solo proveedores admitidos |
Proveedores de claves de seguridad
| Proveedor | Android |
|---|---|
| YubiKey | ✅ |
Solución de problemas de los certificados en la clave de seguridad de hardware
¿Qué ocurrirá si el usuario tiene certificados tanto en el dispositivo Android como en YubiKey?
- Si el usuario tiene certificados tanto en el dispositivo Android como en YubiKey, si YubiKey está conectado antes de que el usuario haga clic en Usar certificado o tarjeta inteligente, se mostrarán los certificados en YubiKey.
- Si YubiKey no estuviera conectado antes de que el usuario haga clic en Usar certificado o tarjeta inteligente, se le pedirá al usuario que seleccione entre los certificados del dispositivo o la tarjeta inteligente física. Si el usuario elige Certificado en el dispositivo, se le mostrarán los certificados en el dispositivo. Si el usuario elige Certificados en la tarjeta inteligente física, conecte o mantenga presionado el dispositivo YubiKey hacia atrás y al usuario se le mostrarán los certificados en el.
Mi YubiKey se bloquea después de escribir incorrectamente el PIN tres veces. ¿Cómo puedo corregirlo?
- Los usuarios deben ver un cuadro de diálogo que le informa de que se han realizado demasiados intentos de PIN. Este cuadro de diálogo también aparece durante los intentos posteriores de seleccionar Usar certificado o tarjeta inteligente.
- Los usuarios deberían ponerse en contacto con el administrador para restablecer un PIN de YubiKey.
He instalado Microsoft Authenticator, pero todavía no veo una opción para realizar la autenticación basada en certificados con YubiKey.
Antes de instalar Microsoft Authenticator, desinstale el Portal de empresa e instálelo después de la instalación de Microsoft Authenticator.
¿Microsoft Entra CBA admite YubiKey a través de NFC?
Entra CBA admite el uso de YubiKey con USB y NFC.
Una vez que se produce un error en la autenticación basada en certificados, se produce un error al hacer clic en la opción de autenticación basada en certificados de nuevo en el vínculo "Otras formas de iniciar sesión" en la página de error.
Este problema se produce debido al almacenamiento en caché de certificados. Como solución alternativa, al hacer clic en Cancelar y reiniciar el flujo de inicio de sesión, el usuario podrá elegir un nuevo certificado e iniciar sesión correctamente.
La CBA de Microsoft Entra con YubiKey está fallando. ¿Qué información podría ayudar a depurar el problema?
- Abra la aplicación Microsoft Authenticator, haga clic en el icono de tres puntos en la esquina superior derecha y seleccione Enviar comentarios.
- Haga clic en ¿Sigue teniendo problemas?
- En Seleccionar una opción, seleccione Agregar o iniciar sesión en una cuenta.
- Describa los detalles que quiera agregar.
- Haga clic en la flecha de envío en la esquina superior derecha. Anote el código proporcionado en el cuadro de diálogo que aparece.
Pasos siguientes
- Información general sobre la autenticación basada en certificados de Microsoft Entra
- Análisis técnico en profundidad para Microsoft Entra CBA
- Cómo configurar Microsoft Entra CBA
- Microsoft Entra CBA en dispositivos iOS
- Inicio de sesión de Tarjeta inteligente de Windows con Microsoft Entra CBA
- Identificadores de usuario de certificado
- Cómo migrar de usuarios federados
- P+F