Eventi
9 apr, 15 - 10 apr, 12
Code the Future with AI and connect with Java peers and experts at JDConf 2025.
Register NowNota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo argomento illustra il supporto dell'autenticazione basata su certificati (CBA) di Microsoft Entra per i dispositivi macOS e iOS.
I dispositivi che eseguono macOS possono usare CBA per eseguire l'autenticazione con l'ID Microsoft Entra usando il certificato client X.509. Microsoft Entra CBA è supportato con certificati su dispositivo e chiavi di sicurezza esterne protette da hardware. In macOS, Microsoft Entra CBA è supportato in tutti i browser e nelle applicazioni microsoft proprietarie.
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Microsoft Entra CBA non è attualmente supportato per l'accesso basato su dispositivo ai computer macOS. Il certificato usato per accedere al dispositivo può essere lo stesso certificato usato per eseguire l'autenticazione a Microsoft Entra ID da un browser o da un'applicazione desktop, ma l'accesso al dispositivo stesso non è ancora supportato per Microsoft Entra ID.
I dispositivi che eseguono iOS possono usare l'autenticazione basata su certificati (CBA) per eseguire l'autenticazione all'ID Microsoft Entra usando un certificato client nel dispositivo durante la connessione a:
- Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft Word
- Clienti di Exchange ActiveSync (EAS)
Microsoft Entra CBA è supportato per i certificati sul dispositivo nei browser nativi e nelle applicazioni di prima parte di Microsoft sui dispositivi iOS.
- La versione di iOS deve essere iOS 9 o successiva.
- Microsoft Authenticator è necessario per le applicazioni di Office e Outlook su iOS.
I certificati sono forniti sul dispositivo. I clienti possono utilizzare la gestione dei dispositivi mobili (MDM) per configurare i certificati sul dispositivo. Poiché iOS non supporta chiavi protette dall'hardware predefinite, i clienti possono usare dispositivi di archiviazione esterni per i certificati.
- Sono supportati solo i browser nativi
- Le applicazioni che usano le librerie MSAL più recenti o Microsoft Authenticator possono eseguire CBA
- Edge con profilo, quando gli utenti aggiungono un account ed eseguono l'accesso a un profilo che supporta l'autenticazione basata su certificato (CBA)
- Le app proprietarie Microsoft con le librerie MSAL più recenti o Microsoft Authenticator sono in grado di eseguire CBA.
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
| Applicazioni | Supporto tecnico |
|---|---|
| App di protezione delle informazioni di Azure | ✅ |
| Portale della società | ✅ |
| Microsoft Teams | ✅ |
| Office (per dispositivi mobili) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
In iOS 9 o versioni successive è supportato il client di posta iOS nativo.
Per determinare se l'applicazione di posta elettronica supporta Microsoft Entra CBA, contattare lo sviluppatore dell'applicazione.
È possibile effettuare il provisioning dei certificati in dispositivi esterni come le chiavi di sicurezza hardware insieme a un PIN per proteggere l'accesso alle chiavi private. La soluzione basata su certificati mobili di Microsoft abbinata alle chiavi di sicurezza hardware è un metodo MFA semplice, pratico e resistente al phishing certificato FIPS (Federal Information Processing Standards).
Per quanto riguarda iOS 16/iPadOS 16.1, i dispositivi Apple forniscono supporto nativo per i driver per smart card conformi connesse tramite USB-C o Lightning. Ciò significa che i dispositivi Apple in iOS 16/iPadOS 16.1 vedono un dispositivo conforme a USB-C o Lightning connesso CCID come smart card senza l'uso di driver aggiuntivi o app di terze parti. Microsoft Entra CBA funziona su queste smart card compatibili con USB-A, USB-C o Lightning connesse a CCID.
Chiavi di sicurezza con certificati:
- Può essere usato in qualsiasi dispositivo e non è necessario eseguire il provisioning di un certificato in ogni dispositivo di cui dispone l'utente
- Sono protetti dall'hardware con un PIN, che li rende resistenti al phishing
- Fornire l'autenticazione a più fattori con un PIN come secondo fattore per accedere alla chiave privata del certificato
- Soddisfare i requisiti del settore per l'autenticazione a più fattori in un dispositivo separato
- Assistenza per garantire la compatibilità futura in cui è possibile archiviare più credenziali, incluse le chiavi FIDO2 (Fast Identity Online 2)
Anche se il driver Smartcard/CCID nativo è disponibile in iOS/iPadOS per smart card conformi a Lightning CCID, il connettore YubiKey 5Ci Lightning non è considerato una smart card connessa su questi dispositivi senza l'uso di middleware PIV (Personal Identity Verification) come Yubico Authenticator.
- Avere un YubiKey abilitato per PIV con un certificato smart card già installato su di esso.
- Scaricare l'app Yubico Authenticator per iOS nell'iPhone con v14.2 o versione successiva
- Aprire l'app, inserire YubiKey o toccare nfc (Near Field Communication) e seguire la procedura per caricare il certificato nel keychain iOS
- Installare l'app Microsoft Authenticator più recente.
- Aprire Outlook e collegare YubiKey.
- Selezionare Aggiungi account e inserire il nome dell'entità utente (UPN).
- Selezionare Continua e il selettore di certificati iOS appare.
- Selezionare il certificato pubblico copiato da YubiKey associato all'account dell'utente.
- Selezionare YubiKey obbligatorio per aprire l'app di autenticazione YubiKey.
- Immettere il PIN per accedere a YubiKey e selezionare il pulsante Indietro nell'angolo superiore sinistro.
L'utente deve essere connesso con successo e reindirizzato alla home page di Outlook.
La selezione certificati iOS mostra tutti i certificati nel dispositivo iOS e quelli copiati da YubiKey nel dispositivo iOS. A seconda delle scelte dell'utente del certificato, l'utente può essere portato all'autenticatore YubiKey per immettere un PIN o autenticato direttamente.
Il mio YubiKey è bloccato dopo aver digitato erroneamente il PIN 3 volte. Come si risolve il problema?
- Gli utenti dovrebbero visualizzare una finestra di dialogo che informa che sono stati eseguiti troppi tentativi di PIN. Questa finestra di dialogo viene visualizzata anche durante i tentativi successivi di selezionare Usa certificato o smart card.
- YubiKey Manager può reimpostare il PIN di YubiKey.
Dopo il fallimento del CBA, anche l'opzione CBA nel link "Altri modi per accedere" fallisce. Esiste una soluzione alternativa?
Questo problema si verifica a causa della memorizzazione nella cache dei certificati. Si sta lavorando a un aggiornamento per cancellare la cache. Come soluzione alternativa, selezionare Annulla, riprovare l'accesso e scegliere un nuovo certificato.
Microsoft Entra CBA con YubiKey non funziona. Quali informazioni consentono di eseguire il debug del problema?
- Aprire l'app Microsoft Authenticator, selezionare l'icona a tre puntini nell'angolo superiore destro e selezionare Invia commenti e suggerimenti.
- Selezionare Hai problemi?.
- Per Selezionare un'opzione selezionare Aggiungi o accedi a un account.
- Descrivere i dettagli da aggiungere.
- Selezionare la freccia di invio nell'angolo superiore destro. Prendere nota del codice fornito nella finestra di dialogo visualizzata.
Come è possibile applicare mfa resistenti al phishing usando una chiave di sicurezza hardware nelle applicazioni basate su browser su dispositivi mobili?
L'autenticazione basata su certificati e la funzionalità di forza dell'autenticazione con accesso condizionale rendono potente per i clienti applicare le esigenze di autenticazione. Edge come profilo (aggiunta di un account) funziona con una chiave di sicurezza hardware come YubiKey e una politica di accesso condizionale con capacità di autenticazione forte può applicare l'autenticazione resistente al phishing con CBA.
Il supporto CBA per YubiKey è disponibile nelle librerie di Microsoft Authentication Library (MSAL) più recenti e in qualsiasi applicazione di terze parti che integra la versione più recente di MSAL. Tutte le applicazioni proprietarie Microsoft possono usare l'autenticazione basata su certificato (CBA) e il livello di autenticazione per l'accesso condizionale.
| Sistema operativo | Certificato sul dispositivo/PIV derivato | Smart card/Chiavi di sicurezza |
|---|---|---|
| iOS | ✅ | Solo fornitori supportati |
| Sistema operativo | Certificato Chrome nel dispositivo | Smart card/chiave di sicurezza chrome | Certificato Safari nel dispositivo | Smart card/chiave di sicurezza di Safari | Certificato Edge nel dispositivo | Scheda intelligente Edge/chiave di sicurezza |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
| Fornitore | iOS |
|---|---|
| YubiKey | ✅ |
- In iOS, gli utenti con autenticazione basata su certificati visualizzeranno un "doppio prompt", in cui devono selezionare l'opzione per usare l'autenticazione basata su certificati due volte.
- In iOS, gli utenti con l'app Microsoft Authenticator visualizzeranno anche una richiesta di accesso oraria per l'autenticazione con LBA se sono presenti criteri di livello di autenticazione che applicano LBA o se usano LBA come secondo fattore.
- Su iOS, una policy di forza dell'autenticazione che richiede l'autenticazione CBA e una policy di protezione delle app MAM finirà in un ciclo tra la registrazione del dispositivo e la conformità MFA. A causa del bug in iOS, quando un utente usa CBA per soddisfare i requisiti MFA, il criterio MAM non è soddisfatto dell'errore generato dal server che indica che è necessaria la registrazione del dispositivo, anche se il dispositivo è registrato. Questo errore non corretto causa la nuova registrazione e la richiesta è bloccata nel ciclo di utilizzo di CBA per accedere e il dispositivo richiede la registrazione. A causa dei problemi sopra menzionati, CBA come secondo fattore è bloccato su iOS e verrà sbloccato non appena le correzioni saranno effettuate.
- Panoramica di Microsoft Entra CBA
- Approfondimento tecnico su Microsoft Entra CBA
- Come configurare Microsoft Entra CBA
- Microsoft Entra CBA su dispositivi Android
- Accesso tramite smart card di Windows con Microsoft Entra CBA
- ID utente certificato
- Come eseguire la migrazione di utenti federati
- Domande frequenti