Przeczytaj w języku angielskim

Udostępnij za pośrednictwem

Uwierzytelnianie oparte na certyfikatach firmy Microsoft na urządzeniach z systemem Android

  • Artykuł

Uwierzytelnianie oparte na certyfikatach firmy Microsoft jest obsługiwane przy użyciu certyfikatów dostarczonych na urządzenie oraz z zewnętrznymi kluczami zabezpieczeń, takich jak YubiKeys.

Warunki wstępne

  • Wersja systemu Android musi być systemem Android 5.0 (Lollipop) lub nowszym.
  • Aplikacje firmy Microsoft z najnowszymi bibliotekami MSAL lub Microsoft Authenticator mogą wykonywać cba.
  • Aplikacje innych firm korzystające z najnowszych bibliotek MSAL lub zintegrowane z aplikacją Microsoft Authenticator mogą wykonywać CBA.

CbA z certyfikatami na urządzeniach

Klienci mogą użyć wybranego rozwiązania Do zarządzania urządzeniami przenośnymi (MDM), aby aprowizować certyfikaty na urządzeniu. Użytkownicy końcowi muszą najpierw zarejestrować swoje urządzenia w rozwiązaniu MDM i wdrożyć certyfikat na urządzeniu. Po skonfigurowaniu certyfikatu na urządzeniu, użytkownicy mogą się uwierzytelniać przy użyciu CBA.

Kroki testowania aplikacji YubiKey w aplikacjach firmy Microsoft w systemie Android:

  1. Otwórz program Outlook.
  2. Wybierz pozycję Dodaj konto i wprowadź nazwę główną użytkownika (UPN).
  3. Kliknij pozycję Kontynuuj.
  4. Wybierz pozycję Użyj certyfikatu lub karty inteligentnej.
  5. Wybierz certyfikat na urządzeniu w oknie dialogowym**.**
  6. Zostanie wyświetlony selektor certyfikatów.
  7. Wybierz certyfikat skojarzony z kontem użytkownika. Kliknij pozycję Kontynuuj.
  8. Jeśli uwierzytelnianie zakończy się pomyślnie, użytkownik może uzyskać dostęp do zasobu programu Outlook.

CBA z certyfikatami na kluczu bezpieczeństwa sprzętowego

Certyfikaty można umieszczać na urządzeniach zewnętrznych, takich jak klucze zabezpieczeń sprzętowych, wraz z numerem PIN w celu ochrony dostępu do klucza prywatnego. Microsoft Entra ID obsługuje CBA z YubiKey.

Zalety certyfikatów dotyczących sprzętowego klucza zabezpieczeń

Klucze zabezpieczeń z certyfikatami:

  • Funkcjonalność roamingu klucza zabezpieczeń umożliwia użytkownikom korzystanie z tego samego certyfikatu na różnych urządzeniach.
  • Są zabezpieczone sprzętowo za pomocą numeru PIN, co sprawia, że są odporne na wyłudzanie informacji.
  • Podaj uwierzytelnianie wieloskładnikowe przy użyciu numeru PIN jako drugiego czynnika w celu uzyskania dostępu do klucza prywatnego certyfikatu.
  • Spełnij wymagania branżowe dotyczące uwierzytelniania wieloskładnikowego (MFA) na innym urządzeniu.
  • Pomoc w zapewnieniu przyszłej kompatybilności poprzez możliwość przechowywania wielu poświadczeń, w tym kluczy Fast Identity Online 2 (FIDO2).

Microsoft Entra CBA na urządzeniach mobilnych z systemem Android za pomocą YubiKey

System Android potrzebuje aplikacji oprogramowania pośredniczącego, aby móc obsługiwać karty inteligentne lub klucze zabezpieczeń przy użyciu certyfikatów. Aby obsługiwać platformę YubiKeys za pomocą usługi Microsoft Entra CBA, zestaw SDK systemu Android YubiKey został zintegrowany z kodem brokera firmy Microsoft, który można wykorzystać za pośrednictwem najnowszej biblioteki Microsoft Authentication Library (MSAL).

Ponieważ Microsoft Entra CBA z YubiKey na urządzeniach mobilnych z systemem Android jest włączana za pomocą najnowszej wersji MSAL, aplikacja YubiKey Authenticator nie jest wymagana do obsługi na systemie Android.

Kroki testowania aplikacji YubiKey w aplikacjach firmy Microsoft w systemie Android:

  1. Zainstaluj program Microsoft Authenticator.
  2. Jeśli twój klucz YubiKey ma USB-C, otwórz program Outlook i podłącz go.
  3. Wybierz pozycję Dodaj konto i wprowadź nazwę główną użytkownika (UPN).
  4. Kliknij pozycję Kontynuuji po wyświetleniu monitu o zezwolenie na dostęp do klucza YubiKey kliknij przycisk OK.
  5. Wybierz pozycję Użyj certyfikatu lub karty inteligentnej.
  6. Jeśli używasz Yubikey z włączoną funkcją NFC, przyłóż go do tyłu urządzenia.
  7. Zostanie wyświetlony niestandardowy selektor certyfikatów.
  8. Wybierz certyfikat skojarzony z kontem użytkownika, a następnie kliknij przycisk Kontynuuj.
  9. Wprowadź numer PIN, aby uzyskać dostęp do klucza YubiKey, a następnie wybierz pozycję Odblokuj.
  10. Jeśli używasz Yubikey z NFC, przytrzymaj Yubikey z tyłu telefonu ponownie, aby zweryfikować PIN.
  11. Po pomyślnym uwierzytelnieniu można uzyskać dostęp do programu Outlook.

Uwaga

W celu zapewnienia płynnego działania CBA podłącz YubiKey zaraz po otwarciu aplikacji i zaakceptuj okno dialogowe zgody YubiKey przed wybraniem linku Użyj Certyfikatu lub Karty Inteligentnej. Jeśli chcesz korzystać tylko z jednego połączenia, rozważ podłączanie użytkowników za pomocą portu USB zamiast NFC, które należy wykonać tylko raz na początku logowania.

Obsługa klientów programu Exchange ActiveSync

Obsługiwane są niektóre aplikacje exchange ActiveSync w systemie Android 5.0 (Lollipop) lub nowszym. Aby ustalić, czy aplikacja poczty e-mail obsługuje usługę Microsoft Entra CBA, skontaktuj się z deweloperem aplikacji.

Obsługiwane przypadki użycia firmy Microsoft Entra

Obsługa aplikacji mobilnych firmy Microsoft

Aplikacji Wsparcie
Aplikacja usługi Azure Information Protection
Portal firmy
Microsoft Teams
Office (dla urządzeń przenośnych)
OneNote
OneDrive
Outlook
Power BI
Skype dla firm
Word/Excel/PowerPoint
Yammer
Przeglądarka Edge z logowaniem do profilu
Zarządzany ekran główny

Przeglądarki

System operacyjny Certyfikat przeglądarki Chrome na urządzeniu Karta inteligentna przeglądarki Chrome/klucz zabezpieczeń Certyfikat przeglądarki Safari na urządzeniu Karta inteligentna przeglądarki Safari/klucz zabezpieczeń Certyfikat usługi Edge na urządzeniu Inteligentna karta/klucz zabezpieczeń Edge
Android N/A N/A

Uwaga

Mimo że Edge jako przeglądarka nie jest obsługiwany, Edge jako profil (na potrzeby logowania do konta) to aplikacja MSAL, która obsługuje CBA w systemie Android.

Systemy operacyjne

System operacyjny Certyfikat na urządzeniu/pochodny PIV Karty inteligentne/klucze zabezpieczeń
Android Tylko obsługiwani dostawcy

Dostawcy kluczy zabezpieczeń

Dostawca Android
YubiKey

Rozwiązywanie problemów z certyfikatami na sprzętowym kluczu bezpieczeństwa

Co się stanie, jeśli użytkownik ma certyfikaty zarówno na urządzeniu z systemem Android, jak i yubiKey?

  • Jeśli użytkownik ma certyfikaty zarówno na urządzeniu z systemem Android, jak i na YubiKey, to jeśli YubiKey jest podłączony przed kliknięciem przez użytkownika Użyj certyfikatu lub karty inteligentnej, użytkownikowi zostaną wyświetlone certyfikaty na YubiKey.
  • Jeśli klucz YubiKey nie jest podłączony przed kliknięciem przez użytkownika użyj certyfikatu lub karty inteligentnej, użytkownik zostanie poproszony o wybranie certyfikatów na urządzeniu lub fizycznej karcie inteligentnej. Jeśli użytkownik wybierze opcję certyfikatu na urządzeniu, użytkownik będzie wyświetlał certyfikaty na urządzeniu. Jeśli użytkownik wybierze Certyfikaty na fizycznej karcie inteligentnej, należy podłączyć lub przytrzymać YubiKey z tyłu, a certyfikaty zostaną wyświetlone użytkownikowi w YubiKey.

My YubiKey jest zablokowany po niepoprawnym wpisaniu numeru PIN trzy razy. Jak rozwiązać ten problem?

  • Użytkownicy powinni zobaczyć okno dialogowe z informacją o tym, że podjęto zbyt wiele prób numeru PIN. To okno dialogowe jest również wyświetlane podczas kolejnych prób wybrania Użyj certyfikatu lub karty inteligentnej.
  • Użytkownicy powinni skontaktować się z administratorem, aby zresetować numer PIN yubiKey.

Zainstalowano narzędzie Microsoft Authenticator, ale nadal nie widzę opcji uwierzytelniania opartego na certyfikatach za pomocą narzędzia YubiKey.

Przed zainstalowaniem aplikacji Microsoft Authenticator odinstaluj aplikację Portal firmy i zainstaluj ją po zainstalowaniu aplikacji Microsoft Authenticator.

Czy firma Microsoft Entra CBA obsługuje yubiKey za pośrednictwem nfc?

Microsoft Entra CBA obsługuje używanie YubiKey z USB i NFC.

Gdy awaria CBA nastąpi, ponowne kliknięcie opcji CBA w linku „Inne sposoby logowania” na stronie błędu również kończy się niepowodzeniem.

Ten problem występuje z powodu buforowania certyfikatów. Aby obejść ten problem, kliknięcie przycisku Anuluj i ponowne uruchomienie przepływu logowania pozwoli użytkownikowi wybrać nowy certyfikat i pomyślnie zalogować się.

Microsoft Entra CBA z YubiKey kończy się niepowodzeniem. Jakie informacje pomogą w debugowaniu problemu?

  1. Otwórz aplikację Microsoft Authenticator, kliknij ikonę trzech kropek w prawym górnym rogu i wybierz pozycję Wyślij opinię.
  2. Kliknij Masz problemy?.
  3. W przypadku Wybierz opcjęwybierz opcję Dodaj lub zaloguj się do konta.
  4. Opisz wszelkie szczegóły, które chcesz dodać.
  5. Kliknij strzałkę wysyłania w prawym górnym rogu. Zanotuj kod podany w wyświetlonym oknie dialogowym.

Następne kroki