Microsoft Entra tanúsítványalapú hitelesítés iOS és macOS rendszeren
Ez a témakör a Microsoft Entra tanúsítványalapú hitelesítés (CBA) macOS- és iOS-eszközökhöz való támogatását ismerteti.
Microsoft Entra tanúsítványalapú hitelesítés macOS-eszközökön
A macOS rendszerű eszközök A CBA használatával hitelesítést végezhetnek a Microsoft Entra ID-n az X.509-ügyféltanúsítványukkal. A Microsoft Entra CBA-t az eszköz tanúsítványai és külső hardver által védett biztonsági kulcsok támogatják. MacOS rendszeren a Microsoft Entra CBA minden böngészőben és a Microsoft belső alkalmazásokban is támogatott.
MacOS rendszeren támogatott böngészők
Edge | Chrome | Safari | Firefox |
---|---|---|---|
✅ | ✅ | ✅ | ✅ |
macOS-eszközök bejelentkezése a Microsoft Entra CBA-val
A Microsoft Entra CBA ma nem támogatott a macOS-gépekre való eszközalapú bejelentkezéshez. Az eszközre való bejelentkezéshez használt tanúsítvány lehet ugyanaz a tanúsítvány, amellyel egy böngészőből vagy asztali alkalmazásból hitelesítheti a Microsoft Entra-azonosítót, de az eszköz bejelentkezése önmagában még nem támogatott a Microsoft Entra-azonosítóval szemben.
Microsoft Entra tanúsítványalapú hitelesítés iOS-eszközökön
Az iOS-t futtató eszközök tanúsítványalapú hitelesítéssel (CBA) hitelesíthetik magukat a Microsoft Entra ID-hez egy ügyféltanúsítvány használatával az eszközükön, amikor a következőhöz csatlakoznak:
- Office-mobilalkalmazások, például a Microsoft Outlook és a Microsoft Word
- Exchange ActiveSync protokoll (EAS) ügyfelek
A Microsoft Entra CBA támogatja az eszközön lévő tanúsítványokat natív böngészőkben és a Microsoft belső alkalmazásait iOS-eszközökön.
Előfeltételek
- Az iOS-verziónak iOS 9-es vagy újabb verziónak kell lennie.
- A Microsoft Authenticator szükséges az Office-app lications és az iOS Outlook használatához.
Eszköztanúsítványok és külső tárolók támogatása
Az eszköz tanúsítványai ki vannak építve az eszközön. Az ügyfelek a Mobile Eszközkezelés (MDM) használatával építhetik ki a tanúsítványokat az eszközön. Mivel az iOS nem támogatja a hardveres védelem alatt álló kulcsokat, az ügyfelek külső tárolóeszközöket használhatnak a tanúsítványokhoz.
Támogatott platformok
- Csak natív böngészők támogatottak
- A legújabb MSAL-kódtárakat vagy a Microsoft Authenticatort használó alkalmazások cBA-t végezhetnek
- Edge profillal, amikor a felhasználók fiókot adnak hozzá, és bejelentkeztek egy profilba, támogatják a CBA-t
- A Microsoft első féltől származó alkalmazásai a legújabb MSAL-kódtárakkal vagy a Microsoft Authenticator használatával végezhetnek CBA-t
Böngészők
Edge | Chrome | Safari | Firefox |
---|---|---|---|
❌ | ❌ | ✅ | ❌ |
Microsoft mobilalkalmazások támogatása
Alkalmazások | Támogatás |
---|---|
Azure Information Protection-alkalmazás | ✅ |
Vállalati portál | ✅ |
Microsoft Teams | ✅ |
Office (mobil) | ✅ |
OneNote | ✅ |
OneDrive | ✅ |
Outlook | ✅ |
Power BI | ✅ |
Skype Vállalati verzió | ✅ |
Word / Excel / PowerPoint | ✅ |
Yammer | ✅ |
Exchange ActiveSync protokoll ügyfelek támogatása
iOS 9 vagy újabb rendszeren a natív iOS levelezőprogram támogatott.
Annak megállapításához, hogy az e-mail-alkalmazás támogatja-e a Microsoft Entra CBA-t, forduljon az alkalmazás fejlesztőjéhez.
Tanúsítványok támogatása a hardveres biztonsági kulcson
A tanúsítványok kiépíthetők külső eszközökön, például hardveres biztonsági kulcsokon, valamint PIN-kóddal a titkos kulcsok hozzáférésének védelme érdekében. A Microsoft mobiltanúsítvány-alapú megoldása a hardveres biztonsági kulcsokkal párosítva egy egyszerű, kényelmes FIPS (Federal Information Processing Standards) tanúsítvánnyal rendelkező, adathalászatnak ellenálló MFA-módszer.
Az iOS 16/iPadOS 16.1-es verziójához hasonlóan az Apple-eszközök natív illesztőprogram-támogatást nyújtanak az USB-C- vagy Lightning-kompatibilis CCID-kompatibilis intelligens kártyákhoz. Ez azt jelenti, hogy az iOS 16/iPadOS 16.1-es Apple-eszközökön az USB-C- vagy Lightning-kompatibilis CCID-kompatibilis eszköz intelligens kártyaként jelenik meg további illesztőprogramok vagy külső alkalmazások használata nélkül. A Microsoft Entra CBA ezen USB-A, USB-C vagy Lightning csatlakoztatott CCID-kompatibilis intelligens kártyákon működik.
A tanúsítványok előnyei a hardveres biztonsági kulcson
Biztonsági kulcsok tanúsítványokkal:
- Bármilyen eszközön használható, és nincs szükség tanúsítvány kiépítésére minden olyan eszközön, amelyen a felhasználó rendelkezik
- A hardverek pin-kóddal vannak védve, ami adathalászati ellenállóvá teszi őket
- Többtényezős hitelesítés biztosítása PIN-kóddal második tényezőként a tanúsítvány titkos kulcsának eléréséhez
- Az iparági követelménynek való megfelelés, hogy az MFA külön eszközön legyen
- Segítség a későbbi ellenőrzéshez, ahol több hitelesítő adat tárolható, beleértve a Fast Identity Online 2 (FIDO2) kulcsokat
Microsoft Entra CBA iOS-mobilon a YubiKey használatával
Annak ellenére, hogy a natív Smartcard/CCID-illesztőprogram elérhető az iOS/iPadOS for Lightning csatlakoztatott CCID-kompatibilis intelligens kártyákhoz, a YubiKey 5Ci Lightning-összekötő nem tekinthető csatlakoztatott intelligens kártyának ezeken az eszközökön a PIV (Personal Identity Verification) köztes szoftver, például a Yubico Authenticator használata nélkül.
Egyszeri regisztráció előfeltétele
- A PIV-kompatibilis YubiKey használata intelligenskártya-tanúsítvánnyal
- Az iOS-hez készült Yubico Authenticator letöltése iPhone-ra 14.2-s vagy újabb verzióval
- Nyissa meg az alkalmazást, szúrja be a YubiKey-et, vagy koppintson a közelben lévő kommunikációra (NFC), és kövesse a lépéseket a tanúsítvány iOS-kulcskarikára való feltöltéséhez
A YubiKey tesztelésének lépései a Microsoft-alkalmazásokban iOS-mobilon
- Telepítse a legújabb Microsoft Authenticator alkalmazást.
- Nyissa meg az Outlookot, és csatlakoztassa a YubiKey-et.
- Válassza a Fiók hozzáadása lehetőséget, és adja meg a felhasználónevet (UPN).
- Kattintson a Folytatás gombra, és megjelenik az iOS-tanúsítványválasztó.
- Válassza ki a felhasználó fiókjához társított YubiKey-ből másolt nyilvános tanúsítványt.
- Kattintson a YubiKey hitelesítő alkalmazás megnyitásához szükséges YubiKey elemre.
- Adja meg a PIN-kódot a YubiKey eléréséhez, és válassza a bal felső sarokban található vissza gombot.
A felhasználót sikeresen be kell jelentkezni, és át kell irányítani az Outlook kezdőlapjára.
Hardveres biztonsági kulcs tanúsítványainak hibaelhárítása
Mi történik, ha a felhasználó rendelkezik tanúsítvánnyal az iOS-eszközön és a YubiKey-en is?
Az iOS-tanúsítványválasztó megjeleníti mind az iOS-eszközön, mind a YubiKey-ből az iOS-eszközre másolt összes tanúsítványt. A tanúsítványfelhasználó által megadottaktól függően előfordulhat, hogy a YubiKey hitelesítőjébe kerülnek pin-kód megadásához, vagy közvetlenül hitelesítve.
A YubiKey zárolva van, miután 3-szor helytelenül beírta a PIN-kódot. Hogyan kijavítani?
- A felhasználóknak látniuk kell egy párbeszédpanelt, amely tájékoztatja arról, hogy túl sok PIN-kódot kíséreltek meg. Ez a párbeszédpanel a tanúsítvány vagy intelligens kártya használatának későbbi kísérletei során is megjelenik.
- A YubiKey Manager alaphelyzetbe állíthatja a YubiKey PIN-kódját.
A CBA meghiúsulása után az "Egyéb bejelentkezési módok" hivatkozás CBA-lehetősége is meghiúsul. Van megkerülő megoldás?
Ez a probléma a tanúsítvány gyorsítótárazása miatt fordul elő. Dolgozunk egy frissítésen a gyorsítótár törléséhez. Kerülő megoldásként kattintson a Mégse gombra, próbálkozzon újra a bejelentkezéssel, és válasszon egy új tanúsítványt.
A Microsoft Entra CBA és a YubiKey nem működik. Milyen információk segíthetnek a hibakeresésben?
- Nyissa meg a Microsoft Authenticator alkalmazást, kattintson a jobb felső sarokban található három pont ikonra, és válassza a Visszajelzés küldése lehetőséget.
- Kattintson a Probléma?gombra.
- A Kiválasztás beállításnál válassza a Hozzáadás vagy bejelentkezés egy fiókba lehetőséget.
- Ismertesse a hozzáadni kívánt részleteket.
- Kattintson a küldési nyílra a jobb felső sarokban. Jegyezze fel a megjelenő párbeszédpanelen megadott kódot.
Hogyan kényszeríthetem ki az adathalászatnak ellenálló MFA-t a böngészőalapú mobilalkalmazások hardveres biztonsági kulcsával?
A tanúsítványalapú hitelesítés és a feltételes hozzáférés hitelesítésének erőssége lehetővé teszi, hogy az ügyfelek érvényesíthessék a hitelesítési igényeket. Az Edge profilként (fiók hozzáadása) egy olyan hardveres biztonsági kulccsal működik, mint a YubiKey, és egy feltételes hozzáférési szabályzat a hitelesítés erősségével képes kikényszeríteni az adathalászatnak ellenálló hitelesítést a CBA-val.
A YubiKey CBA-támogatása a Legújabb Microsoft Authentication Library (MSAL) kódtárakban, valamint a legújabb MSAL-t integráló külső alkalmazásokban érhető el. A Microsoft minden belső alkalmazása használhatja a CBA és a feltételes hozzáférés hitelesítésének erősségét.
Támogatott operációs rendszerek
Operációs rendszer | Tanúsítvány az eszközön/Származtatott PIV | Intelligens kártyák/Biztonsági kulcsok |
---|---|---|
iOS | ✅ | Csak támogatott szállítók |
Támogatott böngészők
Operációs rendszer | Chrome-tanúsítvány az eszközön | Chrome intelligens kártya/biztonsági kulcs | Safari-tanúsítvány az eszközön | Safari intelligens kártya/biztonsági kulcs | Edge-tanúsítvány az eszközön | Edge intelligens kártya/biztonsági kulcs |
---|---|---|---|---|---|---|
iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Biztonsági kulcsszolgáltatók
Szolgáltató | iOS |
---|---|
YubiKey | ✅ |
Ismert problémák
- Az iOS-en a tanúsítványalapú hitelesítéssel rendelkező felhasználók egy "dupla kérést" fognak látni, ahol a tanúsítványalapú hitelesítés kétszeri használatára kell kattintaniuk.
- Az iOS-en a Microsoft Authenticator alkalmazással rendelkező felhasználók óránkénti bejelentkezési kérést kapnak a CBA-val való hitelesítéshez, ha a hitelesítés erősségi szabályzata kényszeríti a CBA-t, vagy ha a CBA-t használják második tényezőként.
- iOS rendszeren a CBA-t és a MAM alkalmazásvédelmi szabályzatot igénylő hitelesítési erősségi szabályzat az eszközregisztráció és az MFA-elégedettség közötti hurokba kerül. Az iOS hibája miatt, amikor egy felhasználó CBA-t használ az MFA-követelmény teljesítéséhez, a MAM-szabályzat nem felel meg a kiszolgáló által az eszközregisztrációt megkövetelő hibának, annak ellenére, hogy az eszköz regisztrálva van. Ez a helytelen hiba újraregisztrációt okoz, és a kérés a CBA használatával be van ragadt a bejelentkezéshez, és az eszköznek regisztrálnia kell.
Következő lépések
- A Microsoft Entra CBA áttekintése
- Technikai mélyrepülés a Microsoft Entra CBA-hoz
- A Microsoft Entra CBA konfigurálása
- Microsoft Entra CBA Android-eszközökön
- Windows intelligenskártya-bejelentkezés a Microsoft Entra CBA használatával
- Tanúsítványfelhasználói azonosítók
- Összevont felhasználók migrálása
- Gyakori kérdések