Authentification basée sur les certificats Microsoft Entra sur iOS et macOS
Cette rubrique traite de la prise en charge de l’authentification basée sur un certificat (CBA) de Microsoft Entra pour les appareils macOS et iOS.
Authentification basée sur les certificats Microsoft Entra sur les appareils macOS
Les appareils exécutant macOS peuvent utiliser l’authentification basée sur un certificat pour s’authentifier auprès de Microsoft Entra ID à l’aide de leur certificat client X.509. L’authentification basée sur un certificat Microsoft Entra est prise en charge avec des certificats sur l’appareil et des clés de sécurité protégées par le matériel externe. Sur macOS, l’authentification basée sur un certificat Microsoft Entra est prise en charge sur tous les navigateurs et sur les applications internes Microsoft.
Navigateurs pris en charge sur macOS
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Connexion d’appareils macOS avec l’authentification basée sur les certificats Microsoft Entra
L’authentification basée sur un certificat Microsoft Entra actuelle n’est pas prise en charge pour la connexion basée sur l’appareil sur les machines macOS. Le certificat utilisé pour se connecter à l’appareil peut être le même que celui utilisé pour s’authentifier auprès de Microsoft Entra ID à partir d’un navigateur ou d’une application de bureau, mais la connexion de l’appareil elle-même n’est pas encore prise en charge sur Microsoft Entra ID.
Authentification basée sur les certificats Microsoft Entra sur les appareils iOS
Les appareils qui exécutent iOS peuvent utiliser l’authentification basée sur un certificat (CBA) pour s’authentifier auprès de Microsoft Entra ID en utilisant un certificat client sur leur appareil lors de la connexion :
- Des applications mobiles Office, telles que Microsoft Outlook et Microsoft Word ;
- Des clients Exchange ActiveSync (EAS).
L’authentification basée sur les certificats Microsoft Entra est prise en charge pour les certificats sur le périphérique sur les navigateurs natifs et sur les applications Microsoft first-party sur les appareils iOS.
Prérequis
- La version d'iOS doit être iOS 9 ou ultérieure.
- Microsoft Authenticator est requis pour les applications Office et Outlook sur iOS.
Prise en charge des certificats sur appareil et du stockage externe
Les certificats sur l'appareil sont approvisionnés sur l'appareil. Les clients peuvent utiliser Mobile Gestion des appareils (GPM) pour approvisionner les certificats sur l’appareil. Dans la mesure où iOS ne prend pas en charge les clés protégées matérielles prêtes à l’emploi, les clients peuvent utiliser des périphériques de stockage externes pour les certificats.
Plateformes prises en charge
- Seuls les navigateurs natifs sont pris en charge
- Les applications utilisant les dernières bibliothèques MSAL ou Microsoft Authenticator peuvent effectuer l’authentification CBA
- Edge avec profil, lorsque les utilisateurs ajoutent un compte et connecté à un profil prennent en charge l’administrateur de base de données
- Les applications internes Microsoft avec les dernières bibliothèques MSAL ou Microsoft Authenticator peuvent effectuer l’authentification CBA
Browsers
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Prise en charge des applications mobiles Microsoft
| Applications | Support |
|---|---|
| Application Azure Information Protection | ✅ |
| Portail d'entreprise | ✅ |
| Microsoft Teams | ✅ |
| Office (mobile) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype Entreprise | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Prise en charge pour les clients Exchange ActiveSync
Dans iOS 9 ou version ultérieure, le client de messagerie iOS natif est pris en charge.
Pour déterminer si votre application de messagerie prend en charge l’authentification basée sur les certificats Microsoft Entra, contactez le développeur de votre application.
Prise en charge des certificats sur une clé de sécurité matérielle
Les certificats peuvent être provisionnés sur des dispositifs externes tels que des clés de sécurité matérielles avec un code PIN pour protéger l’accès à la clé privée. La solution mobile basée sur des certificats de Microsoft, associée aux clés de sécurité matérielles, est une méthode MFA simple, pratique et certifiée FIPS (Federal Information Processing Standards) qui résiste à l’hameçonnage.
Depuis iOS 16/iPadOS 16.1, les appareils Apple prennent en charge les pilotes natifs pour les cartes à puce compatibles CCID USB-C ou Lightning. Cela signifie que les appareils Apple sur iOS 16/iPadOS 16.1 voient un dispositif compatible CCID USB-C ou Lightning en tant que carte à puce sans avoir à utiliser des pilotes supplémentaires ou des applications tierces. L’authentification basée sur les certificats Microsoft Entra fonctionne sur ces cartes à puce compatibles CCID USB-A, USB-C ou Lightning.
Avantages des certificats sur une clé de sécurité matérielle
Clés de sécurité avec certificats :
- Peuvent être utilisés sur n’importe quel appareil et n’ont pas besoin d’un certificat pour être provisionné sur chaque appareil de l’utilisateur
- Sont sécurisés au niveau matériel avec un code PIN, ce qui les rend résistants au hameçonnage
- Fournissent une authentification multifacteur avec un code PIN comme deuxième facteur pour accéder à la clé privée du certificat
- Répondre aux exigences du secteur pour que l’authentification multifacteur soit activée sur un appareil distinct
- Aident pour les vérifications futures où plusieurs informations d’identification peuvent être stockées, y compris les clés FIDO2 (Fast Identity Online 2)
Authentification basée sur les certificats Microsoft Entra sur iOS mobile avec YubiKey
Même si le pilote Smartcard/CCID natif est disponible sur iOS/iPadOS pour les cartes à puce compatibles CCID Lightning, le connecteur YubiKey 5Ci Lightning n’est pas vu comme une carte à puce connectée sur ces appareils sans avoir à utiliser le middleware PIV (Personal Identity Verification) comme Yubico Authenticator.
Prérequis pour une inscription unique
- Avoir une YubiKey compatible PIV avec un certificat de carte à puce provisionné dessus
- Télécharger l’application Yubico Authenticator for iOS sur votre iPhone avec la version 14.2 ou ultérieure
- Ouvrir l’application, insérer la YubiKey ou appuyer sur NFC (Near Field Communication) et suivre les étapes pour charger le certificat dans le trousseau iOS
Étapes pour tester la YubiKey sur les applications Microsoft sur iOS mobile
- Installez la dernière application Microsoft Authenticator.
- Ouvrez Outlook et branchez votre YubiKey.
- Sélectionnez Ajouter un compte et entrez votre nom d’utilisateur principal (UPN).
- Cliquez sur Continuer pour que le sélecteur de certificats iOS apparaisse.
- Sélectionnez le certificat public copié à partir de la YubiKey associée au compte de l’utilisateur.
- Cliquez sur YubiKey requise pour ouvrir l’application de l’authentificateur YubiKey.
- Entrez le code PIN pour accéder à la YubiKey et sélectionnez le bouton Précédent en haut à gauche.
L’utilisateur doit être connecté et redirigé vers la page d’accueil Outlook.
Résoudre les problèmes de certificats sur une clé de sécurité matérielle
Que se passe-t-il si l’utilisateur a des certificats à la fois sur l’appareil iOS et sur la YubiKey ?
Le sélecteur de certificats iOS affiche tous les certificats qui sont sur l’appareil iOS et ceux qui ont été copiés de la YubiKey dans l’appareil iOS. Selon le certificat choisi par l’utilisateur, il peut être dirigé vers l’authentificateur YubiKey pour entrer le code PIN ou être authentifié directement.
Ma YubiKey est verrouillée après avoir mal saisi le code PIN 3 fois. Comment la corriger ?
- Les utilisateurs devraient voir une boîte de dialogue les informant que trop de tentatives de saisie de code PIN ont été effectuées. Cette boîte de dialogue apparaît également lors de tentatives successives pour sélectionner Utiliser un certificat ou une carte à puce.
- Le YubiKey Manager peut réinitialiser le code PIN d’une YubiKey.
Après l’échec de l’authentification par certificat, l’option d’authentification par certificat dans le lien « Autres façons de se connecter » échoue également. Existe-t-il une solution de contournement ?
Ce problème se produit en raison de la mise en cache des certificats. Nous travaillons sur une mise à jour pour effacer le cache. Pour contourner ce problème, cliquez sur Annuler, réessayez de vous connecter et choisissez un nouveau certificat.
L’authentification basée sur les certificats Microsoft Entra avec YubiKey échoue. Quelles informations aideraient à déboguer le problème ?
- Ouvrez l’application Microsoft Authenticator, cliquez sur l’icône des trois petits points en haut à droite, puis sélectionnez Envoyer des commentaires.
- Cliquez sur Vous rencontrez des problèmes ?.
- Pour Sélectionner une option, sélectionnez Ajouter ou se connecter à un compte.
- Décrivez tous les détails que vous souhaitez ajouter.
- Cliquez sur la flèche d’envoi en haut à droite. Notez le code fourni dans la boîte de dialogue qui s’affiche.
Comment appliquer une MFA résistante au hameçonnage à l’aide d’une clé de sécurité matérielle sur des applications basées sur un navigateur sur mobile ?
L’authentification par certificats et la fonctionnalité de force d’authentification de l’accès conditionnel offrent une solution puissante qui permet aux clients de mettre en application leurs besoins d’authentification. Edge en tant que profil (ajouter un compte) fonctionne avec une clé de sécurité matérielle comme la YubiKey et une stratégie d’accès conditionnel avec une fonctionnalité de force d’authentification peut mettre en application une authentification résistante au hameçonnage avec l’authentification CBA.
L’authentification par certificat pour YubiKey est disponible dans les dernières bibliothèques d’authentification Microsoft (MSAL) et sur toute application tierce qui intègre les dernières MSAL. Toutes les applications internes Microsoft peuvent utiliser l’authentification par certificat et l’authentification par accès conditionnel.
Systèmes d’exploitation pris en charge
| Système d’exploitation | Certificat sur l’appareil/PIV dérivé | Cartes à puce/Clés de sécurité |
|---|---|---|
| iOS | ✅ | Fournisseurs pris en charge uniquement |
Navigateurs pris en charge
| Système d’exploitation | Certificat Chrome sur un appareil | Carte à puce/clé de sécurité Chrome | Certificat Safari sur un appareil | Carte à puce/clé de sécurité Safari | Certificat Edge sur un appareil | Carte à puce Edge/clé de sécurité |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Fournisseurs de clés de sécurité
| Fournisseur | iOS |
|---|---|
| YubiKey | ✅ |
Problèmes connus
- Sur iOS, les utilisateurs disposant d’une authentification basée sur un certificat voient une « double invite », où ils doivent cliquer sur l’option permettant d’utiliser l’authentification basée sur un certificat deux fois.
- Sur iOS, les utilisateurs avec l’application Microsoft Authenticator voient également l’invite de connexion toutes les heures pour s’authentifier auprès de l’administrateur de base de données s’il existe une stratégie de force d’authentification appliquant l’authentification CBA ou s’ils utilisent l’adaptateur de base de données comme deuxième facteur.
Étapes suivantes
- Vue d’ensemble de l’authentification basée sur certificat Microsoft Entra
- Immersion technique dans l’authentification basée sur les certificats Microsoft Entra
- Guide pratique pour configurer l’authentification basée sur les certificats Microsoft Entra
- Authentification basée sur les certificats Microsoft Entra sur les appareils Android
- Connexion par carte à puce Windows à l’aide de la CBA de Microsoft Entra
- ID des utilisateurs du certificat
- Comment migrer des utilisateurs fédérés
- FORUM AUX QUESTIONS