Autentikasi berbasis sertifikat Microsoft Entra di iOS dan macOS
Topik ini mencakup dukungan autentikasi berbasis sertifikat (CBA) Microsoft Entra untuk perangkat macOS dan iOS.
Autentikasi berbasis sertifikat Microsoft Entra pada perangkat macOS
Perangkat yang menjalankan macOS dapat menggunakan CBA untuk mengautentikasi terhadap ID Microsoft Entra dengan menggunakan sertifikat klien X.509 mereka. Microsoft Entra CBA didukung dengan sertifikat pada perangkat dan kunci keamanan yang dilindungi perangkat keras eksternal. Di macOS, Microsoft Entra CBA didukung di semua browser dan di aplikasi pihak pertama Microsoft.
Browser yang didukung di macOS
| Azure Stack Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Masuk perangkat macOS dengan Microsoft Entra CBA
Microsoft Entra CBA saat ini tidak didukung untuk masuk berbasis perangkat ke mesin macOS. Sertifikat yang digunakan untuk masuk ke perangkat dapat menjadi sertifikat yang sama yang digunakan untuk mengautentikasi ke ID Microsoft Entra dari browser atau aplikasi desktop, tetapi rincian masuk perangkat itu sendiri belum didukung terhadap ID Microsoft Entra.
Autentikasi berbasis sertifikat Microsoft Entra pada perangkat iOS
Perangkat yang menjalankan iOS dapat menggunakan autentikasi berbasis sertifikat (CBA) untuk mengautentikasi ke ID Microsoft Entra menggunakan sertifikat klien di perangkat mereka saat menyambungkan ke:
- Aplikasi seluler Office seperti Microsoft Outlook dan Microsoft Word
- Klien Exchange ActiveSync (EAS)
Microsoft Entra CBA didukung untuk sertifikat di perangkat pada browser asli dan pada aplikasi pihak pertama Microsoft di perangkat iOS.
Prasyarat
- Versi iOS harus iOS 9 atau yang lebih baru.
- Microsoft Authenticator diperlukan untuk aplikasi Office likasi dan Outlook di iOS.
Dukungan untuk sertifikat di perangkat dan penyimpanan eksternal
Sertifikat di perangkat disediakan pada perangkat. Pelanggan dapat menggunakan Mobile Manajemen Perangkat (MDM) untuk menyediakan sertifikat pada perangkat. Karena iOS tidak mendukung kunci yang dilindungi perangkat keras di luar kotak, pelanggan dapat menggunakan perangkat penyimpanan eksternal untuk sertifikat.
Platform yang didukung
- Hanya browser asli yang didukung
- Aplikasi yang menggunakan pustaka MSAL terbaru atau Microsoft Authenticator dapat melakukan CBA
- Edge dengan profil, saat pengguna menambahkan akun dan masuk ke CBA dukungan profil
- Aplikasi pihak pertama Microsoft dengan pustaka MSAL terbaru atau Microsoft Authenticator dapat melakukan CBA
Browser
| Azure Stack Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Dukungan aplikasi seluler Office
| Aplikasi | Dukungan |
|---|---|
| Aplikasi Perlindungan Informasi Azure | ✅ |
| Company Portal | ✅ |
| Microsoft Teams | ✅ |
| Office (mobile) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Dukungan untuk klien Exchange ActiveSync
Di iOS 9 atau versi lebih baru, klien email iOS asli didukung.
Untuk menentukan apakah aplikasi email Anda mendukung Microsoft Entra CBA, hubungi pengembang aplikasi Anda.
Dukungan untuk sertifikat pada kunci keamanan perangkat keras
Sertifikat dapat disediakan di perangkat eksternal seperti kunci keamanan perangkat keras bersama dengan PIN untuk melindungi akses kunci privat. Solusi berbasis sertifikat seluler Microsoft ditambah dengan kunci keamanan perangkat keras adalah metode MFA tahan phishing bersertifikat FIPS (Federal Information Processing Standards) yang sederhana, nyaman.
Sedangkan untuk iOS 16/iPadOS 16.1, perangkat Apple menyediakan dukungan driver asli untuk kartu pintar yang mematuhi CCID yang terhubung dengan USB-C atau Lightning. Ini berarti perangkat Apple di iOS 16/iPadOS 16.1 melihat perangkat yang mematuhi CCID yang terhubung dengan USB-C atau Lightning sebagai kartu pintar tanpa menggunakan driver tambahan atau aplikasi pihak ketiga. Microsoft Entra CBA berfungsi pada kartu pintar yang mematuhi CCID yang terhubung dengan USB-A, USB-C, atau Lightning ini.
Keuntungan sertifikat pada kunci keamanan perangkat keras
Kunci keamanan dengan sertifikat:
- Dapat digunakan pada perangkat apa pun, dan tidak memerlukan sertifikat untuk disediakan di setiap perangkat yang dimiliki pengguna
- Apakah perangkat keras diamankan dengan PIN, yang membuatnya tahan phishing
- Berikan autentikasi multifaktor dengan PIN sebagai faktor kedua untuk mengakses kunci privat sertifikat
- Memenuhi persyaratan industri untuk memiliki MFA pada perangkat terpisah
- Bantuan dalam pemeriksaan di masa mendatang di mana beberapa kredensial dapat disimpan termasuk kunci Fast Identity Online 2 (FIDO2)
Microsoft Entra CBA di iOS mobile dengan YubiKey
Meskipun driver Smartcard/CCID asli tersedia di iOS/iPadOS untuk kartu pintar yang mematuhi CCID yang terhubung dengan Lightning, konektor YubiKey 5Ci Lightning tidak dipandang sebagai kartu pintar yang terhubung pada perangkat ini tanpa menggunakan middleware PIV (Verifikasi Identitas Pribadi) seperti Yubico Authenticator.
Prasyarat pendaftaran satu kali
- Memiliki YubiKey berkemampuan PIV dengan sertifikat kartu pintar yang disediakan di dalamnya
- Unduh aplikasi Yubico Authenticator untuk iOS di i Telepon Anda dengan v14.2 atau yang lebih baru
- Buka aplikasi, sisipkan YubiKey atau ketuk komunikasi bidang dekat (NFC) dan ikuti langkah-langkah untuk mengunggah sertifikat ke rantai kunci iOS
Langkah-langkah untuk menguji YubiKey di aplikasi Microsoft di iOS mobile
- Instal aplikasi Microsoft Authenticator terbaru.
- Buka Outlook dan colokkan YubiKey Anda.
- Pilih Tambahkan akun dan masukkan nama prinsipal pengguna (UPN) Anda.
- Klik Lanjutkan dan pemilih sertifikat iOS muncul.
- Pilih sertifikat publik yang disalin dari YubiKey yang terkait dengan akun pengguna.
- Klik YubiKey yang diperlukan untuk membuka aplikasi pengautentikasi YubiKey.
- Masukkan PIN untuk mengakses YubiKey dan pilih tombol kembali di sudut kiri atas.
Pengguna harus berhasil masuk dan dialihkan ke beranda Outlook.
Memecahkan masalah sertifikat pada kunci keamanan perangkat keras
Apa yang terjadi jika pengguna memiliki sertifikat baik di perangkat iOS maupun YubiKey?
Pemilih sertifikat iOS menunjukkan semua sertifikat pada perangkat iOS dan yang disalin dari YubiKey ke perangkat iOS. Bergantung pada pilihan pengguna sertifikat, mereka dapat dibawa ke pengautentikasi YubiKey untuk memasukkan PIN, atau diautentikasi secara langsung.
YubiKey saya dikunci setelah salah mengetik PIN 3 kali. Bagaimana saya memperbaikinya?
- Pengguna akan melihat dialog yang memberi tahu Anda bahwa terlalu banyak upaya PIN yang telah dilakukan. Dialog ini juga muncul selama upaya berikutnya untuk memilih Gunakan Sertifikat atau kartu pintar.
- Manajer YubiKey dapat mengatur ulang PIN YubiKey.
Setelah CBA gagal, opsi CBA di tautan 'Cara lain untuk masuk' juga gagal. Apakah ada solusinya?
Masalah ini terjadi karena penembolokan sertifikat. Kami sedang mengerjakan pembaruan untuk menghapus cache. Sebagai solusinya, klik Batalkan, coba lagi masuk, dan pilih sertifikat baru.
Microsoft Entra CBA dengan YubiKey gagal. Informasi apa yang akan membantu men-debug masalah?
- Buka aplikasi Microsoft Authenticator, klik ikon tiga titik di sudut kanan atas dan pilih Kirim Umpan Balik.
- Klik Mengalami Masalah?.
- Untuk Pilih opsi, pilih Tambahkan atau masuk ke akun.
- Jelaskan detail apa pun yang ingin Anda tambahkan.
- Klik panah kirim di sudut kanan atas. Perhatikan kode yang disediakan dalam dialog yang muncul.
Bagaimana cara menerapkan MFA tahan phishing menggunakan kunci keamanan perangkat keras pada aplikasi berbasis browser di seluler?
Kemampuan autentikasi berbasis sertifikat dan kekuatan autentikasi Akses Bersyar membuatnya kuat bagi pelanggan untuk menerapkan kebutuhan autentikasi. Azure Stack Edge sebagai profil (tambahkan akun) berfungsi dengan kunci keamanan perangkat keras seperti YubiKey dan kebijakan Akses Bersyarah dengan kemampuan kekuatan autentikasi dapat memberlakukan autentikasi tahan pengelabuan dengan CBA.
Dukungan CBA untuk YubiKey tersedia di pustaka Microsoft Authentication Library (MSAL) terbaru, dan aplikasi pihak ketiga apa pun yang mengintegrasikan MSAL terbaru. Semua aplikasi pihak pertama Microsoft dapat menggunakan kekuatan autentikasi CBA dan Akses Bersyar.
Sistem operasi yang didukung
| Sistem operasi | Sertifikat di perangkat/PIV Turunan | Kartu pintar/Kunci keamanan |
|---|---|---|
| iOS | ✅ | Vendor yang didukung saja |
Browser yang didukung
| Sistem operasi | Sertifikat Chrome di perangkat | Kartu pintar/kunci keamanan Chrome | Sertifikat Safari di perangkat | Kartu pintar/kunci keamanan Safari | Sertifikat Edge di perangkat | Kartu pintar/kunci keamanan Edge |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Penyedia kunci keamanan
| Penyedia | iOS |
|---|---|
| YubiKey | ✅ |
Masalah umum
- Di iOS, pengguna dengan autentikasi berbasis sertifikat akan melihat "permintaan ganda", di mana mereka harus mengklik opsi untuk menggunakan autentikasi berbasis sertifikat dua kali.
- Di iOS, pengguna dengan Aplikasi Microsoft Authenticator juga akan melihat permintaan masuk per jam untuk mengautentikasi dengan CBA jika ada kebijakan Kekuatan Autentikasi yang memberlakukan CBA, atau jika mereka menggunakan CBA sebagai faktor kedua.