Autenticazione basata su certificato Di Microsoft Entra nei dispositivi Android
L'autenticazione basata su certificati Microsoft Entra è supportata con i certificati di cui è stato effettuato il provisioning nel dispositivo e con chiavi di sicurezza esterne come YubiKeys.
Prerequisiti
- La versione di Android deve essere Android 5.0 (Lollipop) o versione successiva.
- Le app proprietarie Microsoft con le librerie MSAL più recenti o Microsoft Authenticator possono eseguire CBA.
- Le applicazioni di terze parti che usano le librerie MSAL più recenti o integrate con Microsoft Authenticator possono eseguire CBA.
CBA con certificati sul dispositivo
I clienti possono usare la propria scelta di Mobile Gestione dispositivi (MDM) per effettuare il provisioning dei certificati nel dispositivo. Gli utenti finali devono prima registrare i propri dispositivi con MDM e ottenere il certificato di cui è stato effettuato il provisioning nel dispositivo. Dopo aver eseguito il provisioning del certificato nel dispositivo, gli utenti possono eseguire l'autenticazione tramite CBA.
Passaggi per testare YubiKey nelle app Microsoft in Android:
- Aprire Outlook.
- Selezionare Aggiungi account e immettere il nome dell'entità utente (UPN).
- Fare clic su Continua.
- Selezionare Usa certificato o smart card.
- Selezionare Certificato nel dispositivo nella finestra di dialogo**.**
- Verrà visualizzata la selezione certificati.
- Selezionare il certificato associato all'account dell'utente. Fare clic su Continua.
- L'utente potrà accedere alla risorsa di Outlook se l'autenticazione ha esito positivo.
CBA con certificati nella chiave di sicurezza hardware
È possibile effettuare il provisioning dei certificati in dispositivi esterni come le chiavi di sicurezza hardware insieme a un PIN per proteggere l'accesso alle chiavi private. Microsoft Entra ID supporta CBA con YubiKey.
Vantaggi dei certificati sulla chiave di sicurezza hardware
Chiavi di sicurezza con certificati:
- Avere la natura mobile di una chiave di sicurezza, che consente agli utenti di usare lo stesso certificato in dispositivi diversi.
- Sono protetti dall'hardware con un PIN, che li rende resistenti al phishing.
- Fornire l'autenticazione a più fattori con un PIN come secondo fattore per accedere alla chiave privata del certificato.
- Soddisfare i requisiti del settore per l'autenticazione a più fattori in un dispositivo separato.
- Assistenza per la correzione futura in cui è possibile archiviare più credenziali, incluse le chiavi FIDO2 (Fast Identity Online 2).
Microsoft Entra CBA su dispositivi mobili Android con YubiKey
Android richiede un'applicazione middleware per poter supportare smart card o chiavi di sicurezza con certificati. Per supportare YubiKeys con Microsoft Entra CBA, YubiKey Android SDK è stato integrato nel codice del broker Microsoft che può essere sfruttato tramite la versione più recente di Microsoft Authentication Library (MSAL).
Poiché Microsoft Entra CBA con YubiKey su dispositivi mobili Android è abilitato usando la versione più recente di MSAL, l'app YubiKey Authenticator non è necessaria per il supporto android.
Passaggi per testare YubiKey nelle app Microsoft in Android:
- Installare Microsoft Authenticator.
- Se yubiKey ha USB-C, aprire Outlook e collegare YubiKey.
- Selezionare Aggiungi account e immettere il nome dell'entità utente (UPN).
- Fare clic su Continua e, quando viene richiesta l'autorizzazione per accedere a YubiKey, fare clic su OK.
- Selezionare Usa certificato o smart card.
- Se usi una Yubikey abilitata per NFC, tieni la Yubikey sul retro del dispositivo.
- Viene visualizzata una selezione certificati personalizzata.
- Selezionare il certificato associato all'account dell'utente e fare clic su Continua.
- Immettere il PIN per accedere a YubiKey e selezionare Sblocca.
- Se usi yubikey con NFC, tieni di nuovo la Yubikey sul retro del telefono per convalidare il PIN.
- Al termine dell'autenticazione, è possibile accedere a Outlook.
Nota
Per un flusso CBA uniforme, collegare YubiKey non appena l'applicazione viene aperta e accettare la finestra di dialogo di consenso da YubiKey prima di selezionare il collegamento Usa certificato o smart card. Se vuoi sperimentare solo una singola connessione, prendi in considerazione la possibilità di collegare gli utenti a YubiKey usando USB invece di NFC, che deve essere eseguita una sola volta all'inizio dell'accesso.
Supporto per i client Exchange ActiveSync
Alcune applicazioni Exchange ActiveSync sono supportate in Android 5.0 (Lollipop) o versioni successive. Per determinare se l'applicazione di posta elettronica supporta Microsoft Entra CBA, contattare lo sviluppatore dell'applicazione.
Casi d'uso di Entra supportati
Supporto delle applicazioni per dispositivi mobili Microsoft
| Applicazioni | Supporto tecnico |
|---|---|
| App Azure Information Protection | ✅ |
| Portale della società | ✅ |
| Microsoft Teams | ✅ |
| Office (mobile) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| Browser Edge con account di accesso al profilo | ✅ |
| Schermata iniziale gestita | ✅ |
Browser
| Sistema operativo | Certificato Chrome nel dispositivo | Smart card/chiave di sicurezza chrome | Certificato Safari nel dispositivo | Smart card/chiave di sicurezza di Safari | Certificato Edge nel dispositivo | Smart card edge/chiave di sicurezza |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | N/D | N/A | ✅ | ❌ |
Nota
Anche se Edge come browser non è supportato, Edge come profilo (per l'account di accesso) è un'app MSAL che supporta CBA in Android.
Sistemi operativi
| Sistema operativo | Certificato sul dispositivo/PIV derivato | Smart card/Chiavi di sicurezza |
|---|---|---|
| Android | ✅ | Solo fornitori supportati |
Provider di chiavi di sicurezza
| Provider | Android |
|---|---|
| YubiKey | ✅ |
Risolvere i problemi relativi ai certificati nella chiave di sicurezza hardware
Cosa succede se l'utente dispone di certificati sia nel dispositivo Android che in YubiKey?
- Se l'utente dispone di certificati sia nel dispositivo Android che in YubiKey, se YubiKey è collegato prima che l'utente faccia clic su Usa certificato o smart card, l'utente visualizzerà i certificati in YubiKey.
- Se YubiKey non è collegato prima che l'utente faccia clic su Usa certificato o smart card, all'utente verrà chiesto di selezionare tra i certificati nel dispositivo o la smart card fisica. Se l'utente sceglie Certificato nel dispositivo, l'utente visualizzerà i certificati nel dispositivo. Se l'utente sceglie Certificati su smart card fisica, collega o tieni premuto YubiKey sul retro e l'utente visualizzerà i certificati in YubiKey.
YubiKey è bloccato dopo la digitazione errata del PIN tre volte. Come si risolve il problema?
- Gli utenti dovrebbero visualizzare una finestra di dialogo che informa che sono stati eseguiti troppi tentativi di PIN. Questa finestra di dialogo viene visualizzata anche durante i tentativi successivi di selezionare Usa certificato o smart card.
- Gli utenti devono contattare l'amministratore per reimpostare un PIN YubiKey.
L'autenticatore Microsoft è stato installato, ma non è ancora disponibile un'opzione per eseguire l'autenticazione basata su certificati con YubiKey.
Prima di installare Microsoft Authenticator, disinstallare Portale aziendale e installarlo dopo l'installazione di Microsoft Authenticator.
Microsoft Entra CBA supporta YubiKey tramite NFC?
Entra CBA supporta l'uso di YubiKey con USB e NFC.
Quando L'autorità di certificazione ha esito negativo, fare di nuovo clic sull'opzione CBA nel collegamento "Altri modi per accedere" nella pagina di errore ha esito negativo.
Questo problema si verifica a causa della memorizzazione nella cache dei certificati. Come soluzione alternativa, fare clic su Annulla e riavviare il flusso di accesso consentirà all'utente di scegliere un nuovo certificato e di accedere correttamente.
Microsoft Entra CBA con YubiKey ha esito negativo. Quali informazioni consentono di eseguire il debug del problema?
- Aprire l'app Microsoft Authenticator, fare clic sull'icona a tre puntini nell'angolo in alto a destra e selezionare Invia commenti e suggerimenti.
- Fare clic su Problemi?
- Per Selezionare un'opzione selezionare Aggiungi o accedi a un account.
- Descrivere i dettagli da aggiungere.
- Fare clic sulla freccia di invio nell'angolo superiore destro. Prendere nota del codice fornito nella finestra di dialogo visualizzata.
Passaggi successivi
- Panoramica di Microsoft Entra CBA
- Approfondimento tecnico per Microsoft Entra CBA
- Come configurare Microsoft Entra CBA
- Microsoft Entra CBA nei dispositivi iOS
- Accesso a Smart Card di Windows con Microsoft Entra CBA
- ID utente certificato
- Come eseguire la migrazione di utenti federati
- Domande frequenti