Delen via


Verificatie op basis van Microsoft Entra-certificaten op iOS en macOS

In dit onderwerp wordt ondersteuning voor microsoft Entra-verificatie op basis van certificaten (CBA) voor macOS- en iOS-apparaten behandeld.

Verificatie op basis van Microsoft Entra-certificaten op macOS-apparaten

Apparaten met macOS kunnen CBA gebruiken om te verifiëren bij Microsoft Entra ID met behulp van hun X.509-clientcertificaat. Microsoft Entra CBA wordt ondersteund met certificaten op het apparaat en externe beveiligingssleutels die met hardware zijn beveiligd. In macOS wordt Microsoft Entra CBA ondersteund in alle browsers en op microsoft-toepassingen van de eerste partij.

Browsers die worden ondersteund in macOS

Edge Chrome Safari Firefox

aanmelden bij macOS-apparaten met Microsoft Entra CBA

Microsoft Entra CBA wordt momenteel niet ondersteund voor aanmelding op basis van apparaten op macOS-machines. Het certificaat dat wordt gebruikt om u aan te melden bij het apparaat, kan hetzelfde certificaat zijn dat wordt gebruikt voor verificatie bij Microsoft Entra ID vanuit een browser of desktoptoepassing, maar het apparaataanmelding zelf wordt nog niet ondersteund voor Microsoft Entra ID. 

Verificatie op basis van Microsoft Entra-certificaten op iOS-apparaten

Apparaten met iOS kunnen verificatie op basis van certificaten (CBA) gebruiken om te verifiëren bij Microsoft Entra-id met behulp van een clientcertificaat op hun apparaat wanneer u verbinding maakt met:

  • Mobiele Office-toepassingen zoals Microsoft Outlook en Microsoft Word
  • Exchange ActiveSync-clients (EAS)

Microsoft Entra CBA wordt ondersteund voor certificaten op het apparaat in systeemeigen browsers en op microsoft eigen toepassingen op iOS-apparaten.

Vereisten

  • iOS-versie moet iOS 9 of hoger zijn.
  • Microsoft Authenticator is vereist voor Office-app licaties en Outlook op iOS.

Ondersteuning voor certificaten op apparaten en externe opslag

Certificaten op het apparaat worden ingericht op het apparaat. Klanten kunnen Mobile Apparaatbeheer (MDM) gebruiken om de certificaten op het apparaat in te richten. Omdat iOS geen standaard hardwarebeveiligingssleutels ondersteunt, kunnen klanten externe opslagapparaten gebruiken voor certificaten.

Ondersteunde platforms

  • Alleen systeemeigen browsers worden ondersteund
  • Toepassingen die gebruikmaken van de nieuwste MSAL-bibliotheken of Microsoft Authenticator kunnen CBA uitvoeren
  • Edge met profiel wanneer gebruikers een account toevoegen en zijn aangemeld bij een profielondersteuning voor CBA
  • Microsoft first party-apps met de nieuwste MSAL-bibliotheken of Microsoft Authenticator kunnen CBA uitvoeren

Browsers

Edge Chrome Safari Firefox

Ondersteuning voor mobiele Microsoft-toepassingen

Toepassingen Ondersteuning
Azure Information Protection-app
Bedrijfsportal
Microsoft Teams
Office (mobiel)
OneNote
OneDrive
Outlook
Power BI
Skype voor Bedrijven
Word/Excel/PowerPoint
Yammer

Ondersteuning voor Exchange ActiveSync-clients

In iOS 9 of hoger wordt de systeemeigen iOS-mailclient ondersteund.

Neem contact op met de ontwikkelaar van uw toepassing om te bepalen of uw e-mailtoepassing Ondersteuning biedt voor Microsoft Entra CBA.

Ondersteuning voor certificaten op hardwarebeveiligingssleutel

Certificaten kunnen worden ingericht op externe apparaten, zoals hardwarebeveiligingssleutels, samen met een pincode om toegang tot persoonlijke sleutels te beveiligen. De oplossing op basis van mobiele certificaten van Microsoft in combinatie met de hardwarebeveiligingssleutels is een eenvoudige, handige FIPS-methode (Federal Information Processing Standards) die is gecertificeerd tegen phishing.

Net als voor iOS 16/iPadOS 16.1 bieden Apple-apparaten systeemeigen stuurprogrammaondersteuning voor smartcards die compatibel zijn met USB-C of Lightning. Dit betekent dat Apple-apparaten op iOS 16/iPadOS 16.1 een met USB-C of Lightning verbonden CCID-compatibel apparaat als smartcard zien zonder het gebruik van extra stuurprogramma's of apps van derden. Microsoft Entra CBA werkt op deze USB-A-, USB-C- of Lightning-compatibele smartcards die compatibel zijn met CCID.

Voordelen van certificaten op hardwarebeveiligingssleutel

Beveiligingssleutels met certificaten:

  • Kan worden gebruikt op elk apparaat en hoeft geen certificaat te worden ingericht op elk apparaat dat de gebruiker heeft
  • Zijn met hardware beveiligd met een pincode, waardoor ze phishingbestendig zijn
  • Meervoudige verificatie met een pincode als tweede factor bieden voor toegang tot de persoonlijke sleutel van het certificaat
  • Voldoen aan de industrievereiste om MFA op een afzonderlijk apparaat te hebben
  • Hulp bij toekomstige controle waar meerdere referenties kunnen worden opgeslagen, waaronder Fast Identity Online 2 -sleutels (FIDO2)

Microsoft Entra CBA op iOS Mobile met YubiKey

Hoewel het systeemeigen Smartcard-/CCID-stuurprogramma beschikbaar is op iOS/iPadOS voor Bliksem-compatibele smartcards, wordt de YubiKey 5Ci Lightning-connector niet gezien als een verbonden smartcard op deze apparaten zonder gebruik te maken van PIV -middleware (Persoonlijke identiteitsverificatie), zoals de Yubico Authenticator.

Vereisten voor eenmalige registratie

  • Een YubiKey met PIV-functionaliteit hebben met een smartcardcertificaat dat erop is ingericht
  • Download de Yubico Authenticator voor iOS-app op uw iPhone met v14.2 of hoger
  • Open de app, voeg de YubiKey in of tik op NEAR Field Communication (NFC) en volg de stappen om het certificaat te uploaden naar de iOS-sleutelhanger

Stappen voor het testen van YubiKey in Microsoft-apps op iOS Mobile

  1. Installeer de nieuwste Microsoft Authenticator-app.
  2. Open Outlook en sluit uw YubiKey aan.
  3. Selecteer Account toevoegen en voer uw UPN (User Principal Name) in.
  4. Klik op Doorgaan en de iOS-certificaatkiezer wordt weergegeven.
  5. Selecteer het openbare certificaat dat is gekopieerd uit YubiKey die is gekoppeld aan het account van de gebruiker.
  6. Klik op YubiKey vereist om de YubiKey authenticator-app te openen.
  7. Voer de pincode in om toegang te krijgen tot YubiKey en selecteer de knop Vorige in de linkerbovenhoek.

De gebruiker moet zijn aangemeld en omgeleid naar de startpagina van Outlook.

Problemen met certificaten op hardwarebeveiligingssleutel oplossen

Wat gebeurt er als de gebruiker certificaten heeft op zowel het iOS-apparaat als YubiKey?

De iOS-certificaatkiezer toont alle certificaten op zowel het iOS-apparaat als de certificaten die zijn gekopieerd van YubiKey naar een iOS-apparaat. Afhankelijk van de gekozen certificaatgebruiker, kunnen ze naar YubiKey-verificator worden gebracht om een pincode in te voeren of rechtstreeks geverifieerd.

Mijn YubiKey is vergrendeld na het onjuist typen van pincode 3 keer. Hoe los ik dit op?

  • Gebruikers moeten een dialoogvenster zien met de mededeling dat er te veel pincodepogingen zijn uitgevoerd. Dit dialoogvenster wordt ook weergegeven tijdens volgende pogingen om Certificaat of smartcard gebruiken te selecteren.
  • YubiKey Manager kan de pincode van een YubiKey opnieuw instellen.

Dit probleem treedt op vanwege het opslaan van certificaten in cache. We werken aan een update om de cache te wissen. Als tijdelijke oplossing klikt u op Annuleren, probeert u zich opnieuw aan te melden en kiest u een nieuw certificaat.

Microsoft Entra CBA met YubiKey mislukt. Welke informatie kan helpen bij het opsporen van het probleem?

  1. Open de Microsoft Authenticator-app, klik op het pictogram met drie puntjes in de rechterbovenhoek en selecteer Feedback verzenden.
  2. Klik op Problemen?
  3. Als u een optie selecteert, selecteert u Toevoegen of aanmelden bij een account.
  4. Beschrijf de details die u wilt toevoegen.
  5. Klik op de pijl verzenden in de rechterbovenhoek. Noteer de code in het dialoogvenster dat wordt weergegeven.

Hoe kan ik phishingbestendige MFA afdwingen met behulp van een hardwarebeveiligingssleutel op browsertoepassingen op mobiele apparaten?

Verificatie op basis van certificaten en de sterkte van voorwaardelijke toegang maakt het krachtig voor klanten om verificatiebehoeften af te dwingen. Edge als profiel (een account toevoegen) werkt met een hardwarebeveiligingssleutel, zoals YubiKey en beleid voor voorwaardelijke toegang met verificatiesterkte, kan phishingbestendige verificatie afdwingen met CBA.

CBA-ondersteuning voor YubiKey is beschikbaar in de nieuwste MSAL-bibliotheken (Microsoft Authentication Library) en elke toepassing van derden die de nieuwste MSAL integreert. Alle eigen Microsoft-toepassingen kunnen CBA- en voorwaardelijke toegangsverificatiesterkte gebruiken.

Ondersteunde besturingssystemen

Besturingssysteem Certificaat op apparaat/afgeleide PIV Smartcards/beveiligingssleutels
iOS Alleen ondersteunde leveranciers

Ondersteunde browsers

Besturingssysteem Chrome-certificaat op apparaat Chrome smartcard/beveiligingssleutel Safari-certificaat op apparaat Safari-smartcard/beveiligingssleutel Edge-certificaat op apparaat Edge smartcard/beveiligingssleutel
iOS

Providers van beveiligingssleutels

Provider iOS
YubiKey

Bekende problemen

  • In iOS zien gebruikers met verificatie op basis van certificaten een 'dubbele prompt', waar ze twee keer op de optie moeten klikken om verificatie op basis van certificaten te gebruiken.
  • In iOS zien gebruikers met de Microsoft Authenticator-app ook een uurlijkse aanmeldingsprompt om te verifiëren bij CBA als er een verificatiesterktebeleid is dat CBA afdwingt of als ze CBA als tweede factor gebruiken.
  • In iOS komt een verificatiesterktebeleid waarvoor CBA en een MAM-app-beveiligingsbeleid vereist, in een lus terecht tussen apparaatregistratie en MFA-tevredenheid. Vanwege de fout in iOS, wanneer een gebruiker CBA gebruikt om te voldoen aan de MFA-vereiste, wordt het MAM-beleid niet tevreden gesteld met de fout die wordt gegenereerd door de server die zegt dat apparaatregistratie is vereist, ook al is het apparaat geregistreerd. Deze onjuiste fout veroorzaakt opnieuw registreren en de aanvraag loopt vast in de lus van het gebruik van CBA om zich aan te melden en apparaat moet worden geregistreerd.

Volgende stappen