Authentification basée sur les certificats Microsoft Entra sur les appareils Android
L’authentification basée sur un certificat Microsoft Entra est prise en charge avec des certificats fournis sur l’appareil ainsi qu’avec des clés de sécurité externes comme les YubiKeys.
Prérequis
- La version Android doit être Android 5.0 (Lollipop) ou ultérieure.
- Les applications internes Microsoft avec les dernières bibliothèques MSAL ou Microsoft Authenticator peuvent effectuer l’authentification CBA.
- Les applications tierces utilisant les dernières bibliothèques MSAL ou intégrées avec Microsoft Authenticator peuvent effectuer l’authentification CBA.
Authentification CBA avec des certificats sur l’appareil
Les clients peuvent utiliser leur choix de gestion des périphériques mobiles (GPM) pour approvisionner les certificats sur l’appareil. Les utilisateurs finaux doivent d’abord enregistrer leurs appareils auprès du système de gestion des périphériques mobiles et obtenir le certificat configuré sur l’appareil. Une fois le certificat configuré sur l’appareil, les utilisateurs peuvent s’authentifier via CBA.
Étapes pour tester la YubiKey sur les applications Microsoft sur Android
- Ouvrez Outlook.
- Sélectionnez Ajouter un compte et entrez votre nom d’utilisateur principal (UPN).
- Cliquez sur Continuer.
- Sélectionnez Utiliser un certificat ou une carte à puce.
- Sélectionnez Certificat sur l’appareil dans la boîte de dialogue**.**
- Le sélecteur de certificats s’affiche.
- Sélectionnez le certificat associé au compte de l’utilisateur. Cliquez sur Continuer.
- L’utilisateur sera autorisé à accéder à la ressource Outlook si l’authentification réussit.
CBA avec des certificats sur une clé de sécurité matérielle
Les certificats peuvent être provisionnés sur des dispositifs externes tels que des clés de sécurité matérielles avec un code PIN pour protéger l’accès à la clé privée. Microsoft Entra ID prend en charge l’authentification basée sur les certificats avec YubiKey.
Avantages des certificats sur une clé de sécurité matérielle
Clés de sécurité avec certificats :
- Possèdent la nature itinérante d’une clé de sécurité, qui permet aux utilisateurs d’utiliser le même certificat sur différents appareils.
- Sont des matériels sécurisés avec un code confidentiel, ce qui les rend résistants au hameçonnage.
- Fournissent une authentification multifacteur avec un code PIN comme deuxième facteur pour accéder à la clé privée du certificat.
- Répondent aux exigences du secteur pour que l’authentification multifacteur soit activée sur un appareil distinct.
- Aident pour les vérifications futures où plusieurs informations d’identification peuvent être stockées, y compris les clés FIDO2 (Fast Identity Online 2).
Authentification basée sur les certificats Microsoft Entra sur les mobiles Android avec YubiKey
Android a besoin d’une application d’intergiciel pour pouvoir prendre en charge les cartes à puce ou les clés de sécurité avec des certificats. Pour prendre en charge YubiKeys avec l’authentification basée sur les certificats Microsoft Entra, le Kit de développement logiciel (SDK) Android YubiKey a été intégré au code du répartiteur Microsoft qui peut être exploité par la dernière version de MSAL (Microsoft Authentication Library).
Étant donné que l’authentification basée sur les certificats Microsoft Entra avec YubiKey sur les mobiles Android est activé à l’aide de la dernière version de MSAL, l’application Authenticator de YubiKey n’est pas requise pour la prise en charge d’Android.
Étapes pour tester la YubiKey sur les applications Microsoft sur Android
- Installez Microsoft Authenticator.
- Si votre YubiKey a un connecteur USB-C, ouvrez Outlook et branchez votre YubiKey.
- Sélectionnez Ajouter un compte et entrez votre nom d’utilisateur principal (UPN).
- Cliquez sur Continuer, puis lorsqu’on vous demande l’autorisation d’accéder à votre YubiKey, cliquez sur OK.
- Sélectionnez Utiliser un certificat ou une carte à puce.
- Si vous utilisez une YubiKey compatible avec NFC, maintenez la YubiKey à l’arrière de l’appareil.
- Un sélecteur de certificats personnalisé s’affiche.
- Sélectionnez le certificat associé au compte de l’utilisateur, puis cliquez sur Continuer.
- Entrez le code confidentiel pour accéder à YubiKey, puis sélectionnez Déverrouiller.
- Si vous utilisez une YubiKey avec NFC, maintenez à nouveau la YubiKey à l’arrière du téléphone pour valider le code confidentiel.
- Une fois l’authentification réussie, vous pouvez accéder à Outlook.
Remarque
Pour un flux DBA fluide, branchez YubiKey dès que l’application est ouverte et acceptez la boîte de dialogue de consentement de YubiKey avant de sélectionner le lien Utiliser un certificat ou une carte à puce. Si vous souhaitez n’utiliser qu’une seule connexion, conseillez les utilisateurs de la YubiKey de recourir à la connexion USB au lieu de NFC, car elle n’a besoin d’être effectuée qu’une seule fois au début de la connexion.
Prise en charge pour les clients Exchange ActiveSync
Certaines applications Exchange ActiveSync sur Android 5.0 (Lollipop) ou version ultérieure sont prises en charge. Pour déterminer si votre application de messagerie prend en charge l’authentification basée sur les certificats Microsoft Entra, contactez le développeur de votre application.
Cas d’usage d’Entra pris en charge
Prise en charge de l’application mobile Microsoft
| Applications | Support |
|---|---|
| Application Azure Information Protection | ✅ |
| Portail d'entreprise | ✅ |
| Microsoft Teams | ✅ |
| Office (mobile) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype Entreprise | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| Navigateur Edge avec connexion de profil | ✅ |
| Managed Home Screen | ✅ |
Navigateurs
| Système d’exploitation | Certificat Chrome sur un appareil | Carte à puce/clé de sécurité Chrome | Certificat Safari sur un appareil | Carte à puce/clé de sécurité Safari | Certificat Edge sur un appareil | Carte à puce/clé de sécurité Edge |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | N/A | N/A | ✅ | ❌ |
Remarque
Bien qu’Edge comme navigateur ne soit pas pris en charge, Edge comme profil (pour la connexion au compte) est une application MSAL qui prend en charge l’authentification CBA sur Android.
Systèmes d’exploitation
| Système d’exploitation | Certificat sur l’appareil/PIV dérivé | Cartes à puce/clés de sécurité |
|---|---|---|
| Android | ✅ | Fournisseurs pris en charge uniquement |
Fournisseurs de clés de sécurité
| Fournisseur | Android |
|---|---|
| YubiKey | ✅ |
Résolvez les problèmes de certificats sur une clé de sécurité matérielle.
Que se passe-t-il si l’utilisateur a des certificats à la fois sur l’appareil iOS et sur la YubiKey ?
- Si l’utilisateur dispose de certificats à la fois sur l’appareil Android et sur YubiKey, alors si le YubiKey est branché avant que l’utilisateur clique sur Utiliser un certificat ou une carte à puce, les certificats s’affichent dans YubiKey.
- Si YubiKey n’est pas branché avant que l’utilisateur clique sur Utiliser un certificat ou une carte à puce, l’utilisateur est invité à choisir entre les certificats sur l’appareil ou la carte à puce physique. Si l’utilisateur choisit Certificat sur l’appareil, il verra les certificats présents sur l’appareil. Si l’utilisateur choisit Certificats sur la carte à puce physique, branchez ou maintenez la touche YubiKey à l’arrière, et l’utilisateur verra les certificats dans YubiKey.
Ma YubiKey est verrouillée après avoir mal saisi le code PIN trois fois. Comment la corriger ?
- Les utilisateurs devraient voir une boîte de dialogue les informant que trop de tentatives de saisie de code PIN ont été effectuées. Cette boîte de dialogue apparaît également lors de tentatives successives pour sélectionner Utiliser un certificat ou une carte à puce.
- Les utilisateurs doivent contacter l’administrateur pour réinitialiser un code PIN YubiKey.
J’ai installé Microsoft Authenticator, mais je ne vois toujours pas d’option permettant d’effectuer l’authentification basée sur les certificats avec YubiKey.
Avant d’installer Microsoft Authenticator, désinstallez le Portail d’entreprise et installez-le après l’installation de Microsoft Authenticator.
L’authentification basée sur les certificats Microsoft Entra supporte-t-elle YubiKey via NFC ?
Entra CBA prend en charge l’utilisation de YubiKey avec USB et NFC.
Quand l’authentification CBA échoue, l’action de recliquer sur l’option CBA dans le lien « Autres méthodes de connexion » de la page d’erreurs échoue.
Ce problème se produit en raison de la mise en cache des certificats. Pour contourner ce problème, cliquer sur Annuler et redémarrer le flux de connexion permet à l’utilisateur de choisir un nouveau certificat et de réussir à se connecter.
L’authentification basée sur les certificats Microsoft Entra avec YubiKey échoue. Quelles informations aideraient à déboguer le problème ?
- Ouvrez l’application Microsoft Authenticator, cliquez sur l’icône des trois petits points en haut à droite, puis sélectionnez Envoyer des commentaires.
- Cliquez sur Vous rencontrez des problèmes ?.
- Pour Sélectionner une option, sélectionnez Ajouter ou se connecter à un compte.
- Décrivez tous les détails que vous souhaitez ajouter.
- Cliquez sur la flèche d’envoi en haut à droite. Notez le code fourni dans la boîte de dialogue qui s’affiche.
Étapes suivantes
- Vue d’ensemble de l’authentification basée sur certificat Microsoft Entra
- Immersion technique dans l’authentification basée sur les certificats Microsoft Entra
- Guide pratique pour configurer l’authentification basée sur les certificats de Microsoft Entra
- Authentification basée sur les certificats Microsoft Entra sur les appareils iOS
- Connexion par carte à puce Windows à l’aide de l’authentification basée sur les certificats Microsoft Entra
- ID des utilisateurs du certificat
- Comment migrer des utilisateurs fédérés
- FORUM AUX QUESTIONS