Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Autentikasi berbasis Sertifikat Microsoft Entra didukung dengan sertifikat yang disediakan di perangkat dan dengan kunci keamanan eksternal seperti YubiKeys.
Prasyarat
- Versi Android harus Android 5.0 (Lollipop) atau yang lebih baru.
- Aplikasi resmi Microsoft dengan pustaka MSAL terbaru atau Microsoft Authenticator dapat melakukan CBA.
- Aplikasi pihak ketiga yang menggunakan pustaka MSAL terbaru atau terintegrasi dengan Microsoft Authenticator dapat melakukan CBA.
Autentikasi berbasis sertifikat (CBA) dengan sertifikat pada perangkat
Pelanggan dapat menggunakan pilihan Manajemen Perangkat Seluler (MDM) mereka untuk menyediakan sertifikat pada perangkat. Pengguna akhir harus terlebih dahulu mendaftarkan perangkat mereka dengan MDM dan mendapatkan sertifikat yang disediakan di perangkat. Setelah sertifikat disediakan di perangkat, pengguna dapat mengautentikasi menggunakan CBA.
Langkah-langkah untuk menguji YubiKey di aplikasi Microsoft di Android:
- Buka Outlook.
- Pilih Tambahkan akun dan masukkan nama prinsipal pengguna (UPN) Anda.
- Klik Lanjutkan.
- Pilih Gunakan Sertifikat atau kartu pintar.
- Pilih Sertifikat pada perangkat dalam dialog**.**
- Pemilih sertifikat muncul.
- Pilih sertifikat yang terkait dengan akun pengguna. Klik Lanjutkan.
- Pengguna diizinkan untuk mengakses sumber daya Outlook jika autentikasi berhasil.
CBA dengan sertifikat pada kunci keamanan perangkat keras
Sertifikat dapat disediakan di perangkat eksternal seperti kunci keamanan perangkat keras bersama dengan PIN untuk melindungi akses kunci privat. Microsoft Entra ID mendukung CBA (Certificate-Based Authentication) dengan YubiKey.
Keuntungan sertifikat pada kunci keamanan perangkat keras
Kunci keamanan dengan sertifikat:
- Memiliki sifat roaming dari kunci keamanan, yang memungkinkan pengguna untuk menggunakan sertifikat yang sama pada perangkat yang berbeda.
- Perangkat keras diamankan dengan PIN, yang membuatnya terlindungi dari phishing.
- Berikan autentikasi multifaktor dengan PIN sebagai faktor kedua untuk mengakses kunci privat sertifikat.
- Memenuhi persyaratan industri untuk memiliki MFA pada perangkat terpisah.
- Bantuan dalam pemeriksaan di masa mendatang di mana beberapa kredensial dapat disimpan termasuk kunci Fast Identity Online 2 (FIDO2).
Microsoft Entra CBA di ponsel Android dengan YubiKey
Android memerlukan aplikasi middleware untuk dapat mendukung kartu pintar atau kunci keamanan dengan sertifikat. Untuk mendukung YubiKeys dengan Microsoft Entra CBA, YubiKey Android SDK telah diintegrasikan ke dalam kode broker Microsoft yang dapat dimanfaat melalui Microsoft Authentication Library (MSAL) terbaru.
Karena Microsoft Entra CBA dengan YubiKey di ponsel Android diaktifkan dengan menggunakan MSAL terbaru, aplikasi YubiKey Authenticator tidak diperlukan untuk dukungan Android.
Langkah-langkah untuk menguji YubiKey di aplikasi Microsoft di Android:
- Instal Microsoft Authenticator.
- Jika YubiKey Anda memiliki USB-C, buka Outlook dan colokkan YubiKey Anda.
- Pilih Tambahkan akun dan masukkan nama prinsipal pengguna (UPN) Anda.
- Klik Lanjutkan, dan saat dimintai izin untuk mengakses YubiKey Anda, klik OK.
- Pilih Gunakan Sertifikat atau kartu pintar.
- Jika Anda menggunakan Yubikey berkemampuan NFC, tahan Yubikey ke bagian belakang perangkat.
- Pemilih sertifikat kustom muncul.
- Pilih sertifikat yang terkait dengan akun pengguna, dan klik Lanjutkan.
- Masukkan PIN untuk mengakses YubiKey dan pilih Buka kunci.
- Jika Anda menggunakan Yubikey dengan NFC, tahan Yubikey ke bagian belakang ponsel lagi untuk memvalidasi PIN.
- Setelah autentikasi berhasil, Anda bisa mengakses Outlook.
Nota
Untuk alur CBA yang lancar, colokkan YubiKey segera setelah aplikasi dibuka dan terima dialog persetujuan dari YubiKey sebelum memilih tautan Gunakan Sertifikat atau kartu pintar. Jika Anda hanya ingin mengalami satu koneksi, pertimbangkan untuk meminta pengguna mencolokkan YubiKey dengan menggunakan USB alih-alih NFC, yang hanya perlu dilakukan sekali pada awal masuk.
Dukungan untuk klien Exchange ActiveSync
Aplikasi Exchange ActiveSync tertentu di Android 5.0 (Lollipop) atau yang lebih baru didukung. Untuk menentukan apakah aplikasi email Anda mendukung Microsoft Entra CBA, hubungi pengembang aplikasi Anda.
Kasus penggunaan Microsoft Entra yang didukung
Dukungan aplikasi seluler Microsoft
| Aplikasi | Dukung |
|---|---|
| Aplikasi Perlindungan Informasi Azure | ✅ |
| Portal Perusahaan | ✅ |
| Microsoft Teams | ✅ |
| Office (seluler) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| Browser Edge dengan login profil | ✅ |
| Layar Beranda yang Diatur | ✅ |
Browser
| Sistem operasi | Sertifikat Chrome di perangkat | Kartu pintar/kunci keamanan Chrome | Sertifikat Safari di perangkat | Kartu pintar/kunci keamanan Safari | Sertifikat Edge di perangkat | Kartu pintar/kunci keamanan Edge |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | Tidak tersedia | Tidak tersedia | ✅ | ❌ |
Nota
Meskipun Edge sebagai browser tidak didukung, Edge sebagai profil (untuk login akun) adalah aplikasi MSAL yang mendukung CBA di Android.
Sistem operasi
| Sistem operasi | Sertifikat di perangkat/PIV Turunan | Kartu pintar/Kunci keamanan |
|---|---|---|
| Android | ✅ | Vendor yang didukung saja |
Penyedia kunci keamanan
| Penyedia | Android |
|---|---|
| YubiKey | ✅ |
Memecahkan masalah sertifikat pada kunci keamanan fisik
Apa yang akan terjadi jika pengguna memiliki sertifikat baik di perangkat Android maupun YubiKey?
- Jika pengguna memiliki sertifikat baik di perangkat android maupun YubiKey, maka jika YubiKey dicolokkan sebelum pengguna mengklik Gunakan Sertifikat atau kartu pintar, pengguna akan ditampilkan sertifikat di YubiKey.
- Jika YubiKey tidak dicolokkan sebelum pengguna mengklik Gunakan Sertifikat atau kartu pintar, pengguna akan diminta untuk memilih antara sertifikat pada perangkat atau kartu pintar fisik. Jika pengguna memilih Sertifikat pada perangkat, pengguna akan ditampilkan sertifikat pada perangkat. Jika pengguna memilih Sertifikat pada kartu pintar fisik, colokkan atau tahan YubiKey ke belakang, dan pengguna akan ditampilkan sertifikat di YubiKey.
YubiKey saya terkunci setelah salah mengetik PIN tiga kali. Bagaimana cara memperbaikinya?
- Pengguna akan melihat dialog yang memberi tahu Anda bahwa terlalu banyak upaya PIN yang telah dilakukan. Dialog ini juga muncul selama upaya berikutnya untuk memilih menggunakan sertifikat atau kartu cerdas.
- Pengguna harus menghubungi admin untuk mengatur ulang PIN YubiKey.
Saya telah menginstal pengautentikasi Microsoft tetapi masih tidak melihat opsi untuk melakukan autentikasi berbasis Sertifikat dengan YubiKey.
Sebelum menginstal Microsoft Authenticator, hapus instalan Portal Perusahaan dan instal kembali setelah Microsoft Authenticator terpasang.
Apakah Microsoft Entra CBA mendukung YubiKey melalui NFC?
Microsoft Entra CBA mendukung penggunaan YubiKey dengan USB dan NFC.
Setelah CBA gagal, mengklik opsi CBA lagi di tautan 'Cara lain untuk masuk' pada halaman kesalahan gagal.
Masalah ini terjadi karena penyimpanan sementara sertifikat. Sebagai solusinya, mengklik batalkan dan memulai ulang alur masuk akan memungkinkan pengguna memilih sertifikat baru dan berhasil masuk.
Microsoft Entra CBA dengan YubiKey mengalami kegagalan. Informasi apa yang akan membantu men-debug masalah?
- Buka aplikasi Microsoft Authenticator, klik ikon tiga titik di sudut kanan atas dan pilih Kirim Umpan Balik.
- Klik Mengalami Masalah?.
- Untuk Pilih opsi, pilih Tambahkan atau masuk ke akun.
- Jelaskan detail apa pun yang ingin Anda tambahkan.
- Klik panah kirim di sudut kanan atas. Perhatikan kode yang disediakan dalam dialog yang muncul.