Autenticazione basata su certificati Microsoft Entra in iOS e macOS

  • Articolo

Questo argomento illustra il supporto dell'autenticazione basata su certificati (CBA) di Microsoft Entra per i dispositivi macOS e iOS.

Autenticazione basata su certificato Microsoft Entra nei dispositivi macOS

I dispositivi che eseguono macOS possono usare CBA per eseguire l'autenticazione con l'ID Microsoft Entra usando il certificato client X.509. Microsoft Entra CBA è supportato con certificati su dispositivo e chiavi di sicurezza esterne protette da hardware. In macOS, Microsoft Entra CBA è supportato in tutti i browser e nelle applicazioni microsoft proprietarie.

Browser supportati in macOS

Edge Chrome Safari Firefox

Accesso del dispositivo macOS con Microsoft Entra CBA

Microsoft Entra CBA non è attualmente supportato per l'accesso basato su dispositivo ai computer macOS. Il certificato usato per accedere al dispositivo può essere lo stesso certificato usato per eseguire l'autenticazione a Microsoft Entra ID da un browser o da un'applicazione desktop, ma l'accesso al dispositivo stesso non è ancora supportato per Microsoft Entra ID. 

Autenticazione basata su certificati Microsoft Entra nei dispositivi iOS

I dispositivi che eseguono iOS possono usare l'autenticazione basata su certificati (CBA) per eseguire l'autenticazione all'ID Microsoft Entra usando un certificato client nel dispositivo durante la connessione a:

  • Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft Word
  • Client Exchange ActiveSync (EAS)

Microsoft Entra CBA è supportato per i certificati sul dispositivo nei browser nativi e nelle applicazioni microsoft proprietarie nei dispositivi iOS.

Prerequisiti

  • La versione di iOS deve essere iOS 9 o successiva.
  • Microsoft Authenticator è necessario per le app Office licazioni e Outlook in iOS.

Supporto per i certificati sul dispositivo e l'archiviazione esterna

Il provisioning dei certificati sul dispositivo viene effettuato nel dispositivo. I clienti possono usare Mobile Gestione dispositivi (MDM) per effettuare il provisioning dei certificati nel dispositivo. Poiché iOS non supporta chiavi protette dall'hardware predefinite, i clienti possono usare dispositivi di archiviazione esterni per i certificati.

Piattaforme supportate

  • Sono supportati solo i browser nativi
  • Le applicazioni che usano le librerie MSAL più recenti o Microsoft Authenticator possono eseguire CBA
  • Edge con profilo, quando gli utenti aggiungono un account e hanno eseguito l'accesso a un'autorità di certificazione del supporto profili
  • Le app proprietarie Microsoft con le librerie MSAL più recenti o Microsoft Authenticator possono eseguire CBA

Browser

Edge Chrome Safari Firefox

Supporto delle applicazioni per dispositivi mobili Microsoft

Applicazioni Supporto tecnico
App Azure Information Protection
Portale della società
Microsoft Teams
Office (mobile)
OneNote
OneDrive
Outlook
Power BI
Skype for Business
Word / Excel / PowerPoint
Yammer

Supporto per i client Exchange ActiveSync

In iOS 9 o versioni successive è supportato il client di posta iOS nativo.

Per determinare se l'applicazione di posta elettronica supporta Microsoft Entra CBA, contattare lo sviluppatore dell'applicazione.

Supporto per i certificati nella chiave di sicurezza hardware

È possibile effettuare il provisioning dei certificati in dispositivi esterni come le chiavi di sicurezza hardware insieme a un PIN per proteggere l'accesso alle chiavi private. La soluzione basata su certificati mobili microsoft abbinata alle chiavi di sicurezza hardware è un metodo MFA semplice, pratico e pratico(Federal Information Processing Standards).

Per quanto riguarda iOS 16/iPadOS 16.1, i dispositivi Apple forniscono supporto per driver nativi per smart card conformi a USB-C o Lightning. Ciò significa che i dispositivi Apple in iOS 16/iPadOS 16.1 vedono un dispositivo conforme a USB-C o Lightning connesso CCID come smart card senza l'uso di driver aggiuntivi o app di terze parti. Microsoft Entra CBA funziona su queste smart card compatibili con USB-A, USB-C o Lightning connesse a CCID.

Vantaggi dei certificati sulla chiave di sicurezza hardware

Chiavi di sicurezza con certificati:

  • Può essere usato in qualsiasi dispositivo e non è necessario eseguire il provisioning di un certificato in ogni dispositivo di cui dispone l'utente
  • Sono protetti dall'hardware con un PIN, che li rende resistenti al phishing
  • Fornire l'autenticazione a più fattori con un PIN come secondo fattore per accedere alla chiave privata del certificato
  • Soddisfare i requisiti del settore per l'autenticazione a più fattori in un dispositivo separato
  • Assistenza per la correzione futura in cui è possibile archiviare più credenziali, incluse le chiavi FIDO2 (Fast Identity Online 2)

Microsoft Entra CBA su dispositivi mobili iOS con YubiKey

Anche se il driver Smartcard/CCID nativo è disponibile in iOS/iPadOS per smart card conformi a Lightning CCID, il connettore YubiKey 5Ci Lightning non è considerato una smart card connessa su questi dispositivi senza l'uso di middleware PIV (Personal Identity Verification) come Yubico Authenticator.

Prerequisito di registrazione una tantum

  • Avere un YubiKey abilitato per PIV con un certificato smart card di cui è stato effettuato il provisioning
  • Scaricare l'app Yubico Authenticator per iOS in i Telefono con v14.2 o versione successiva
  • Aprire l'app, inserire YubiKey o toccare nfc (Near Field Communication) e seguire la procedura per caricare il certificato nel keychain iOS

Passaggi per testare YubiKey nelle app Microsoft per dispositivi mobili iOS

  1. Installare l'app Microsoft Authenticator più recente.
  2. Aprire Outlook e collegare YubiKey.
  3. Selezionare Aggiungi account e immettere il nome dell'entità utente (UPN).
  4. Fare clic su Continua e viene visualizzata la selezione certificati iOS.
  5. Selezionare il certificato pubblico copiato da YubiKey associato all'account dell'utente.
  6. Fare clic su YubiKey obbligatorio per aprire l'app di autenticazione YubiKey.
  7. Immettere il PIN per accedere a YubiKey e selezionare il pulsante Indietro nell'angolo superiore sinistro.

L'utente deve essere connesso e reindirizzato alla home page di Outlook.

Risolvere i problemi relativi ai certificati nella chiave di sicurezza hardware

Cosa accade se l'utente dispone di certificati sia nel dispositivo iOS che in YubiKey?

La selezione certificati iOS mostra tutti i certificati nel dispositivo iOS e quelli copiati da YubiKey nel dispositivo iOS. A seconda delle scelte dell'utente del certificato, l'utente può essere portato all'autenticatore YubiKey per immettere un PIN o autenticato direttamente.

YubiKey è bloccato dopo aver digitato correttamente il PIN 3 volte. Come si risolve il problema?

  • Gli utenti dovrebbero visualizzare una finestra di dialogo che informa che sono stati eseguiti troppi tentativi di PIN. Questa finestra di dialogo viene visualizzata anche durante i tentativi successivi di selezionare Usa certificato o smart card.
  • YubiKey Manager può reimpostare il PIN di YubiKey.

Questo problema si verifica a causa della memorizzazione nella cache dei certificati. Si sta lavorando a un aggiornamento per cancellare la cache. Come soluzione alternativa, fare clic su Annulla, riprovare ad accedere e scegliere un nuovo certificato.

Microsoft Entra CBA con YubiKey ha esito negativo. Quali informazioni consentono di eseguire il debug del problema?

  1. Aprire l'app Microsoft Authenticator, fare clic sull'icona a tre puntini nell'angolo in alto a destra e selezionare Invia commenti e suggerimenti.
  2. Fare clic su Problemi?
  3. Per Selezionare un'opzione selezionare Aggiungi o accedi a un account.
  4. Descrivere i dettagli da aggiungere.
  5. Fare clic sulla freccia di invio nell'angolo superiore destro. Prendere nota del codice fornito nella finestra di dialogo visualizzata.

Come è possibile applicare mfa resistenti al phishing usando una chiave di sicurezza hardware nelle applicazioni basate su browser su dispositivi mobili?

L'autenticazione basata su certificati e la funzionalità di attendibilità dell'autenticazione dell'accesso condizionale rendono più efficace per i clienti applicare le esigenze di autenticazione. Edge come profilo (aggiunta di un account) funziona con una chiave di sicurezza hardware come YubiKey e un criterio di accesso condizionale con funzionalità di attendibilità dell'autenticazione può applicare l'autenticazione resistente al phishing con LBA.

Il supporto CBA per YubiKey è disponibile nelle librerie di Microsoft Authentication Library (MSAL) più recenti e in qualsiasi applicazione di terze parti che integra la versione più recente di MSAL. Tutte le applicazioni proprietarie Microsoft possono usare LBA e il livello di autenticazione dell'accesso condizionale.

Sistemi operativi supportati

Sistema operativo Certificato sul dispositivo/PIV derivato Smart card/Chiavi di sicurezza
iOS Solo fornitori supportati

Browser supportati

Sistema operativo Certificato Chrome nel dispositivo Smart card/chiave di sicurezza chrome Certificato Safari nel dispositivo Smart card/chiave di sicurezza di Safari Certificato Edge nel dispositivo Smart card edge/chiave di sicurezza
iOS

Provider di chiavi di sicurezza

Provider iOS
YubiKey

Problemi noti

  • In iOS, gli utenti con autenticazione basata su certificati visualizzeranno un "doppio prompt", in cui devono fare clic sull'opzione per usare l'autenticazione basata su certificati due volte.
  • In iOS, gli utenti con l'app Microsoft Authenticator visualizzeranno anche una richiesta di accesso oraria per l'autenticazione con LBA se sono presenti criteri di livello di autenticazione che applicano LBA o se usano LBA come secondo fattore.

Passaggi successivi