Autenticación basada en certificados de Microsoft Entra en iOS y macOS

En este tema se trata la compatibilidad de la autenticación basada en certificados (CBA) de Microsoft Entra con dispositivos macOS e iOS.

Autenticación basada en certificados de Microsoft Entra en dispositivos macOS

Los dispositivos que ejecutan macOS pueden usar CBA para autenticarse en Microsoft Entra ID mediante su certificado de cliente X.509. La CBA de Microsoft Entra es compatible con certificados en el dispositivo y claves de seguridad protegidas por hardware externo. En macOS, la CBA de Microsoft Entra es compatible con todos los exploradores y aplicaciones de propiedad de Microsoft.

Exploradores admitidos en macOS

perimetral Chrome Safari Firefox

Inicio de sesión de dispositivos macOS con la CBA de Microsoft Entra

Actualmente, la CBA de Microsoft Entra no es compatible con el inicio de sesión basado en dispositivos en máquinas macOS. El certificado que se usa para iniciar sesión en el dispositivo puede ser el mismo que se utiliza para autenticarse en Microsoft Entra desde un explorador o una aplicación de escritorio, pero aún no se admite el propio inicio de sesión del dispositivo en Microsoft Entra. 

La autenticación basada en certificados de Microsoft Entra en dispositivos iOS

Los dispositivos que ejecutan iOS pueden usar la autenticación basada en certificados (CBA) para autenticarse en Microsoft Entra ID mediante el uso de un certificado de cliente en el dispositivo cuando se conecten a:

  • aplicaciones móviles de Office como Microsoft Outlook y Microsoft Word,
  • clientes de Exchange ActiveSync (EAS).

LA CBA de Microsoft Entra es compatible con los certificados en el dispositivo en exploradores nativos y en aplicaciones de Microsoft en dispositivos iOS.

Requisitos previos

  • La versión de iOS debe ser iOS 9 o posterior.
  • Se requiere Microsoft Authenticator para las aplicaciones de Office y Outlook en iOS.

Compatibilidad con certificados en el dispositivo y almacenamiento externo

Los certificados en el dispositivo se aprovisionan en el dispositivo. Los clientes pueden usar la administración de dispositivos móviles (MDM) para aprovisionar los certificados en el dispositivo. Como iOS no admite claves protegidas por hardware de manera predeterminada, los clientes pueden usar dispositivos de almacenamiento externo para los certificados.

Plataformas compatibles

  • Solo se admiten exploradores nativos
  • Las aplicaciones que usan las bibliotecas MSAL más recientes o Microsoft Authenticator pueden usar la autenticación basada en certificados
  • Edge con perfil admite CBA cuando los usuarios agregan una cuenta y se registran en un perfil
  • Aplicaciones de propiedad de Microsoft con las bibliotecas MSAL más recientes o Microsoft Authenticator pueden usar la autenticación basada en certificados

Exploradores

perimetral Chrome Safari Firefox

Compatibilidad con aplicaciones móviles de Microsoft

APLICACIONES Soporte técnico
Aplicación Azure Information Protection
Portal de empresa
Equipos de Microsoft
Office (móvil)
OneNote
OneDrive
Outlook
Power BI
Skype Empresarial
Word, Excel y PowerPoint
Yammer

Compatibilidad con clientes de Exchange ActiveSync

En iOS 9 o posterior, se admite el cliente de correo de iOS nativo.

Para determinar si su aplicación de correo electrónico es compatible con Microsoft Entra CBA, comuníquese con el desarrollador de su aplicación.

Compatibilidad con certificados en la clave de seguridad de hardware

Los certificados se pueden aprovisionar en dispositivos externos, como claves de seguridad de hardware, junto con un PIN para proteger el acceso a la clave privada. La solución basada en certificados móviles de Microsoft, junto con las claves de seguridad de hardware, es un método MFA sencillo, práctico y certificado FIPS (Estándar federal de procesamiento de información).

En cuanto a iOS 16/iPadOS 16.1, los dispositivos Apple proporcionan compatibilidad con controladores nativos para tarjetas inteligentes compatibles con USB-C o Lightning conectado CCID. Esto significa que los dispositivos Apple en iOS 16/iPadOS 16.1 ven un dispositivo compatible con CCID conectado a USB-C o Lightning como una tarjeta inteligente sin el uso de controladores adicionales o aplicaciones de terceros. LA CBA de Microsoft Entra ID funciona en estas tarjetas inteligentes compatibles con CCID conectadas a USB-A, USB-C o Lightning.

Ventajas de los certificados en la clave de seguridad de hardware

Las claves de seguridad con certificados:

  • Se puede usar en cualquier dispositivo y no es necesario que se aprovisione un certificado en todos los dispositivos que el usuario tenga
  • Son hardware protegido con un PIN, lo que las hace resistentes a la suplantación de identidad (phishing)
  • Proporcionan autenticación multifactor con un PIN como segundo factor para acceder a la clave privada del certificado.
  • satisfacen el requisito del sector de tener MFA en un dispositivo independiente
  • Ayudan en futuras pruebas en las que se pueden almacenar varias credenciales, incluidas las claves de Fast Identity Online 2 (FIDO2)

La CBA de Microsoft Entra en dispositivos móviles iOS con YubiKey

Aunque el controlador Smartcard/CCID nativo está disponible en iOS/iPadOS para tarjetas inteligentes compatibles con CCID conectadas a Lightning, el conector YubiKey 5Ci Lightning no se ve como una tarjeta inteligente conectada en estos dispositivos sin el uso del middleware PIV (Personal Identity Verification) como Yubico Authenticator.

Requisito previo de registro único

  • Tener un YubiKey habilitado para PIV con un certificado de tarjeta inteligente aprovisionado en él
  • Descargue la aplicación Yubico Authenticator para iOS en su iPhone con v14.2 o posterior.
  • Abra la aplicación, inserte YubiKey o pulse sobre la comunicación de campo cercano (NFC) y siga los pasos para cargar el certificado en la cadena de claves de iOS

Pasos para probar YubiKey en aplicaciones de Microsoft en dispositivos móviles de iOS

  1. Instale la aplicación Microsoft Authenticator más reciente.
  2. Abra Outlook y conecte su YubiKey.
  3. Seleccione Agregar cuenta y escriba el nombre principal de usuario (UPN).
  4. Haga clic en Continuar y aparecerá el selector de certificados de iOS.
  5. Seleccione el certificado público copiado de YubiKey asociado a la cuenta del usuario.
  6. Haga clic en YubiKey necesario para abrir la aplicación autenticador YubiKey.
  7. Introduzca el PIN para acceder a YubiKey y seleccione el botón Atrás en la esquina superior izquierda.

El usuario debe iniciar sesión correctamente y redirigirse a la página principal de Outlook.

Solucionar problemas de los certificados en la clave de seguridad de hardware

¿Qué ocurre si el usuario tiene certificados tanto en el dispositivo iOS como en YubiKey?

El selector de certificados de iOS muestra todos los certificados tanto en el dispositivo iOS como en los copiados de YubiKey en el dispositivo iOS. En función de la selección del usuario del certificado, se le puede llevar al autenticador de YubiKey para escribir un PIN o autenticarse directamente.

Mi YubiKey se bloquea después de escribir incorrectamente el PIN 3 veces. ¿Cómo puedo corregirlo?

  • Los usuarios deben ver un cuadro de diálogo que le informa de que se han realizado demasiados intentos de PIN. Este cuadro de diálogo también aparece durante los intentos posteriores de seleccionar Usar certificado o tarjeta inteligente.
  • El administrador de YubiKey puede restablecer el PIN de YubiKey.

Este problema se produce debido al almacenamiento en caché de certificados. Estamos trabajando en una actualización para borrar la memoria caché. Como solución alternativa, haga clic en Cancelar, vuelva a intentar iniciar sesión y elija un nuevo certificado.

La CBA de Microsoft Entra con YubiKey está fallando. ¿Qué información podría ayudar a depurar el problema?

  1. Abra la aplicación Microsoft Authenticator, haga clic en el icono de tres puntos en la esquina superior derecha y seleccione Enviar comentarios.
  2. Haga clic en ¿Sigue teniendo problemas?
  3. En Seleccionar una opción, seleccione Agregar o iniciar sesión en una cuenta.
  4. Describa los detalles que quiera agregar.
  5. Haga clic en la flecha de envío en la esquina superior derecha. Anote el código proporcionado en el cuadro de diálogo que aparece.

¿Cómo puedo aplicar MFA resistente a la suplantación de identidad mediante una clave de seguridad de hardware en aplicaciones basadas en exploradores en dispositivos móviles?

La autenticación basada en certificados y la funcionalidad de seguridad de autenticación de acceso condicional hacen que sea eficaz para que los clientes apliquen las necesidades de autenticación. Edge como perfil (agregar una cuenta) funciona con una clave de seguridad de hardware como YubiKey y una directiva de acceso condicional con la funcionalidad de seguridad de autenticación puede aplicar la autenticación resistente a la suplantación de identidad (phishing) con CBA.

La compatibilidad de CBA con YubiKey está disponible en las bibliotecas más recientes de la Biblioteca de autenticación de Microsoft (MSAL) y cualquier aplicación de terceros que integre la versión más reciente de MSAL. Todas las aplicaciones de propiedad de Microsoft pueden usar la seguridad de autenticación de acceso condicional y CBA.

Sistemas operativos admitidos

Sistema operativo Certificado en el dispositivo o PIV derivado Tarjetas inteligentes/claves de seguridad
iOS Solo proveedores admitidos

Exploradores compatibles

Sistema operativo Certificado de Chrome en el dispositivo Tarjeta inteligente cromo/clave de seguridad Certificado de Safari en el dispositivo Tarjeta inteligente de Safari/clave de seguridad Certificado de Edge en el dispositivo Tarjeta inteligente perimetral/clave de seguridad
iOS

Proveedores de claves de seguridad

Proveedor iOS
YubiKey

Problemas conocidos

  • En iOS, los usuarios con autenticación basada en certificados verán un mensaje doble, en el que deben hacer clic en la opción para usar dos veces la autenticación basada en certificados.
  • En iOS, los usuarios que tengan la aplicación Microsoft Authenticator también verán la solicitud de inicio de sesión por hora para autenticarse con CBA si hubiera una directiva de seguridad de autenticación que aplique CBA o si usan CBA como segundo factor.

Pasos siguientes