Verificatie op basis van Microsoft Entra-certificaten op Android-apparaten
Verificatie op basis van Microsoft Entra-certificaten wordt ondersteund met certificaten die op het apparaat zijn ingericht en met externe beveiligingssleutels zoals YubiKeys.
Vereisten
- Android-versie moet Android 5.0 (Lollipop) of hoger zijn.
- Microsoft first party-apps met de nieuwste MSAL-bibliotheken of Microsoft Authenticator kunnen CBA uitvoeren.
- Toepassingen van derden die gebruikmaken van de nieuwste MSAL-bibliotheken of geïntegreerd met Microsoft Authenticator, kunnen CBA uitvoeren.
CBA met certificaten op apparaat
Klanten kunnen hun keuze voor Mobile Apparaatbeheer (MDM) gebruiken om de certificaten op het apparaat in te richten. Eindgebruikers moeten hun apparaten eerst registreren bij MDM en het certificaat op het apparaat laten inrichten. Zodra het certificaat op het apparaat is ingericht, kunnen gebruikers zich verifiëren met behulp van CBA.
Stappen voor het testen van YubiKey in Microsoft-apps op Android:
- Open Outlook.
- Selecteer Account toevoegen en voer uw UPN (User Principal Name) in.
- Klik op Doorgaan.
- Selecteer Certificaat of smartcard gebruiken.
- Selecteer Certificaat op het apparaat in het dialoogvenster**.**
- De certificaatkiezer wordt weergegeven.
- Selecteer het certificaat dat is gekoppeld aan het account van de gebruiker. Klik op Doorgaan.
- De gebruiker heeft toegang tot de Outlook-resource als de verificatie is geslaagd.
CBA met certificaten op hardwarebeveiligingssleutel
Certificaten kunnen worden ingericht op externe apparaten, zoals hardwarebeveiligingssleutels, samen met een pincode om toegang tot persoonlijke sleutels te beveiligen. Microsoft Entra ID ondersteunt CBA met YubiKey.
Voordelen van certificaten op hardwarebeveiligingssleutel
Beveiligingssleutels met certificaten:
- De zwervende aard van een beveiligingssleutel hebben, zodat gebruikers hetzelfde certificaat op verschillende apparaten kunnen gebruiken.
- Zijn met hardware beveiligd met een pincode, waardoor ze phishingbestendig zijn.
- Meervoudige verificatie met een pincode als tweede factor bieden voor toegang tot de persoonlijke sleutel van het certificaat.
- Voldoen aan de industrievereiste om MFA op een afzonderlijk apparaat te hebben.
- Hulp bij toekomstige controle waar meerdere referenties kunnen worden opgeslagen, waaronder Fast Identity Online 2 -sleutels (FIDO2).
Microsoft Entra CBA op Android Mobile met YubiKey
Android heeft een middlewaretoepassing nodig om smartcard- of beveiligingssleutels met certificaten te kunnen ondersteunen. Ter ondersteuning van YubiKeys met Microsoft Entra CBA is YubiKey Android SDK geïntegreerd in de Microsoft Broker-code die kan worden gebruikt via de nieuwste Microsoft Authentication Library (MSAL).
Omdat Microsoft Entra CBA met YubiKey op Android Mobile is ingeschakeld met behulp van de nieuwste MSAL, is de YubiKey Authenticator-app niet vereist voor Android-ondersteuning.
Stappen voor het testen van YubiKey in Microsoft-apps op Android:
- Installeer Microsoft Authenticator.
- Als uw YubiKey USB-C heeft, opent u Outlook en sluit u uw YubiKey aan.
- Selecteer Account toevoegen en voer uw UPN (User Principal Name) in.
- Klik op Doorgaan en klik op OK wanneer u om toestemming wordt gevraagd om toegang te krijgen tot uw YubiKey.
- Selecteer Certificaat of smartcard gebruiken.
- Als u een NFC-ingeschakelde Yubikey gebruikt, houdt u de Yubikey op de achterkant van het apparaat.
- Er wordt een aangepaste certificaatkiezer weergegeven.
- Selecteer het certificaat dat is gekoppeld aan het account van de gebruiker en klik op Doorgaan.
- Voer de pincode in om toegang te krijgen tot YubiKey en selecteer Ontgrendelen.
- Als u een Yubikey met NFC gebruikt, houdt u de Yubikey nogmaals op de achterkant van de telefoon om de pincode te valideren.
- Nadat de verificatie is geslaagd, hebt u toegang tot Outlook.
Notitie
Voor een soepele CBA-stroom sluit u YubiKey aan zodra de toepassing is geopend en accepteert u het toestemmingsdialoogvenster van YubiKey voordat u de koppeling Certificaat of smartcard selecteert. Als u slechts één verbinding wilt ervaren, kunt u overwegen om gebruikers de YubiKey aan te sluiten met behulp van USB in plaats van NFC, wat slechts één keer hoeft te worden gedaan aan het begin van de aanmelding.
Ondersteuning voor Exchange ActiveSync-clients
Bepaalde Exchange ActiveSync toepassingen op Android 5.0 (Lollipop) of hoger worden ondersteund. Neem contact op met de ontwikkelaar van uw toepassing om te bepalen of uw e-mailtoepassing Ondersteuning biedt voor Microsoft Entra CBA.
Ondersteunde Entra-gebruiksvoorbeelden
Ondersteuning voor mobiele Microsoft-toepassingen
| Toepassingen | Ondersteuning |
|---|---|
| Azure Information Protection-app | ✅ |
| Bedrijfsportal | ✅ |
| Microsoft Teams | ✅ |
| Office (mobiel) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype voor Bedrijven | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| Edge-browser met profielaanmelding | ✅ |
| Beheerd startscherm | ✅ |
Browsers
| Besturingssysteem | Chrome-certificaat op apparaat | Chrome smartcard/beveiligingssleutel | Safari-certificaat op apparaat | Safari-smartcard/beveiligingssleutel | Edge-certificaat op apparaat | Edge smartcard/beveiligingssleutel |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | N.v.t. | N.v.t. | ✅ | ❌ |
Notitie
Hoewel Edge als browser niet wordt ondersteund, is Edge als profiel (voor accountaanmelding) een MSAL-app die CBA op Android ondersteunt.
Besturingssystemen
| Besturingssysteem | Certificaat op apparaat/afgeleide PIV | Smartcards/beveiligingssleutels |
|---|---|---|
| Android | ✅ | Alleen ondersteunde leveranciers |
Providers van beveiligingssleutels
| Provider | Android |
|---|---|
| Yubikey | ✅ |
Problemen met certificaten op hardwarebeveiligingssleutel oplossen
Wat gebeurt er als de gebruiker certificaten heeft op zowel het Android-apparaat als YubiKey?
- Als de gebruiker certificaten heeft op zowel het Android-apparaat als YubiKey, worden de certificaten weergegeven in de YubiKey voordat de gebruiker klikt op Certificaat of smartcard gebruiken.
- Als de YubiKey niet is aangesloten voordat de gebruiker op Certificaat of smartcard gebruiken klikt, wordt de gebruiker gevraagd om te selecteren tussen certificaten op een apparaat of fysieke smartcard. Als de gebruiker Certificaat op het apparaat kiest, wordt de gebruiker de certificaten op het apparaat weergegeven. Als de gebruiker Certificaten op fysieke smartcard kiest, sluit u de YubiKey aan of houdt u deze op de achterkant en wordt de gebruiker de certificaten weergegeven in de YubiKey.
Mijn YubiKey is vergrendeld na het onjuist typen van pincode drie keer. Hoe los ik dit op?
- Gebruikers moeten een dialoogvenster zien met de mededeling dat er te veel pincodepogingen zijn uitgevoerd. Dit dialoogvenster wordt ook weergegeven tijdens volgende pogingen om Certificaat of smartcard gebruiken te selecteren.
- Gebruikers moeten contact opnemen met de beheerder om een YubiKey-pincode opnieuw in te stellen.
Ik heb Microsoft Authenticator geïnstalleerd, maar ik zie nog steeds geen optie voor verificatie op basis van certificaten met YubiKey.
Voordat u Microsoft Authenticator installeert, verwijdert u Bedrijfsportal en installeert u deze na de installatie van Microsoft Authenticator.
Biedt Microsoft Entra CBA ondersteuning voor YubiKey via NFC?
Entra CBA ondersteunt het gebruik van YubiKey met USB en NFC.
Zodra CBA mislukt, klikt u opnieuw op de CBA-optie in de koppeling 'Andere manieren om u aan te melden' op de foutpagina mislukt.
Dit probleem treedt op vanwege het opslaan van certificaten in cache. Als tijdelijke oplossing kan de gebruiker op Annuleren klikken en de aanmeldingsstroom opnieuw starten, een nieuw certificaat kiezen en zich aanmelden.
Microsoft Entra CBA met YubiKey mislukt. Welke informatie kan helpen bij het opsporen van het probleem?
- Open de Microsoft Authenticator-app, klik op het pictogram met drie puntjes in de rechterbovenhoek en selecteer Feedback verzenden.
- Klik op Problemen?
- Als u een optie selecteert, selecteert u Toevoegen of aanmelden bij een account.
- Beschrijf de details die u wilt toevoegen.
- Klik op de pijl verzenden in de rechterbovenhoek. Noteer de code in het dialoogvenster dat wordt weergegeven.