Autenticação baseada em certificado do Microsoft Entra em dispositivos Android

  • Artigo

A autenticação baseada em certificado do Microsoft Entra tem suporte em certificados provisionados no dispositivo, bem como com chaves de segurança externas, como YubiKeys.

Pré-requisitos

  • A versão do Android deve ser Android 5.0 (Lollipop) ou posterior.
  • Os aplicativos originais da Microsoft com as bibliotecas MSAL mais recentes ou o Microsoft Authenticator podem fazer o CBA.
  • Aplicativos de terceiros que usam as bibliotecas MSAL mais recentes ou estão integrados ao Microsoft Authenticator podem fazer o CBA.

CBA com certificados no dispositivo

Os clientes podem usar o MDM (Gerenciamento de Dispositivo Móvel) de sua escolha para provisionar os certificados no dispositivo. Os usuários finais devem primeiro registrar seus dispositivos no MDM e obter o certificado provisionado no dispositivo. Depois que o certificado é provisionado no dispositivo, os usuários podem se autenticar usando o CBA.

Etapas para testar o YubiKey em aplicativos Microsoft no Android:

  1. Abra o Outlook.
  2. Selecione Adicionar conta e insira seu nome UPN.
  3. Clique em Continuar.
  4. Selecione Usar Certificado ou cartão inteligente.
  5. Selecione Certificado no dispositivo na caixa de diálogo**.**
  6. O seletor de certificados será exibido.
  7. Selecione o certificado associado à conta do usuário. Clique em Continuar.
  8. O usuário terá permissão para acessar o recurso do Outlook se a autenticação for bem-sucedida.

CBA com certificados na chave de segurança do hardware

Certificados podem ser provisionados em dispositivos externos, como chaves de segurança de hardware, juntamente com um PIN para proteger o acesso à chave privada. O Microsoft Entra ID dá suporte à CBA com YubiKey.

Vantagens de certificados na chave de segurança de hardware

Chaves de segurança com certificados:

  • Tenha a natureza de roaming de uma chave de segurança, que permite que os usuários usem o mesmo certificado em diferentes dispositivos.
  • São protegidos por hardware com um PIN, o que os torna resistentes a phishing.
  • Forneça autenticação multifatorial com um PIN como segundo fator para acessar a chave privada do certificado.
  • Atender à exigência da indústria de ter a MFA em um dispositivo separado.
  • Ajuda na compatibilidade futura, pois várias credenciais podem ser armazenadas, incluindo chaves FIDO2 (Fast Identity Online 2).

CBA do Microsoft Entra em dispositivos Android com YubiKey

O Android precisa de um aplicativo de middleware para dar suporte a cartões inteligentes ou chaves de segurança com certificados. Para oferecer suporte ao YubiKeys com a CBA do Microsoft Entra, o SDK do Android do YubiKey foi integrado ao código do corretor da Microsoft, que pode ser aproveitado por meio da mais recente Biblioteca de Autenticação da Microsoft (MSAL).

Como a CBA do Microsoft Entra com YubiKey no celular Android é ativado usando a MSAL mais recente, o aplicativo YubiKey Authenticator não é necessário para o suporte ao Android.

Etapas para testar o YubiKey em aplicativos Microsoft no Android:

  1. Instale o Microsoft Authenticator.
  2. Se seu YubiKey tiver USB-C, abra o Outlook e conecte no seu YubiKey.
  3. Selecione Adicionar conta e insira seu nome UPN.
  4. Clique em Continuare, quando solicitado, solicite permissão para acessar seu YubiKey, clique em OK.
  5. Selecione Usar Certificado ou cartão inteligente.
  6. Se você estiver usando um Yubikey habilitado para NFC, mantenha o Yubikey na parte de trás do dispositivo.
  7. Um seletor de certificado personalizado será exibido.
  8. Selecione o certificado associado à conta do usuário e clique em Continuar.
  9. Insira o PIN para acessar o YubiKey e selecione Desbloquear.
  10. Se você estiver usando um Yubikey com NFC, segure o Yubikey na parte de trás do telefone novamente para validar o PIN.
  11. Depois que a autenticação for bem-sucedida, você poderá acessar o Outlook.

Observação

Para um fluxo de CBA suave, conecte o YubiKey assim que o aplicativo for aberto e aceite a caixa de diálogo de consentimento do YubiKey antes de selecionar o link Usar Certificado ou cartão inteligente. Se você quiser experimentar apenas uma única conexão, considere fazer com que os usuários conectem o YubiKey usando USB em vez do NFC, o que só precisa ser feito uma vez no início do logon.

Suporte aos clientes do Exchange ActiveSync

Há suporte para determinados aplicativos do Exchange ActiveSync no Android 5.0 (Lollipop) ou superior. Para determinar se o aplicativo de email dá suporte à CBA do Microsoft Entra, entre em contato com o desenvolvedor do aplicativo.

Casos de uso com suporte do Entra

Suporte a aplicativos móveis da Microsoft

Aplicativos Suporte
Aplicativo de Proteção de Informações do Azure
Portal da Empresa
Microsoft Teams
Office (móvel)
OneNote
OneDrive
Outlook
Power BI
Skype for Business
Word/Excel/PowerPoint
Yammer
Navegador Edge com logon de perfil
Tela Inicial Gerenciada

Navegadores

Sistema operacional Certificado do Chrome no dispositivo Cartão inteligente/chave de segurança do Chrome Certificado Safari no dispositivo Cartão inteligente/chave de segurança do Safari Certificado do Edge no dispositivo Cartão inteligente de borda/chave de segurança
Android N/D N/D

Observação

Embora o Edge como navegador não dê suporte, o Edge como perfil (para logon de conta) é um aplicativo MSAL com suporte para CBA no Android.

Sistemas operacionais

Sistema operacional Certificado no dispositivo/PIV derivado Cartões inteligentes/Chaves de segurança
Android Somente fornecedores com suporte

Provedores de chave de segurança

Provedor Android
YubiKey

Solucionar problemas de certificados na chave de segurança de hardware

O que acontecerá se o usuário tiver certificados no dispositivo Android e no YubiKey?

  • Se o usuário tiver certificados no dispositivo Android e no YubiKey e o YubiKey for conectado antes do usuário clicar em Usar Certificado ou cartão inteligente, o usuário verá os certificados no YubiKey.
  • Se o YubiKey não estiver conectado antes de o usuário clicar em Usar Certificado ou cartão inteligente, o usuário será solicitado a selecionar entre certificados no dispositivo ou no cartão inteligente físico. Se o usuário escolher Certificado no dispositivo, serão mostrados ao usuário os certificados no dispositivo. Se o usuário escolher Certificados no cartão inteligente físico, conecte ou segure o YubiKey na parte de trás e o usuário verá os certificados no YubiKey.

O YubiKey é bloqueado após o PIN ser digitado incorretamente três vezes. Como corrigi-la?

  • Os usuários devem ver uma caixa de diálogo informando que foram feitas muitas tentativas de inserir o PIN. Essa caixa de diálogo também aparece durante as tentativas posteriores de selecionar Usar Certificado ou cartão inteligente.
  • Os usuários devem entrar em contato com o administrador para redefinir um PIN do YubiKey.

Instalei o Microsoft Authenticator, mas ainda não vejo uma opção para fazer a autenticação baseada em certificado com o YubiKey.

Antes de instalar o Microsoft Authenticator, desinstale o Portal da Empresa e instale-o após a instalação do Microsoft Authenticator.

A CBA do Microsoft Entra dá suporte ao YubiKey via NFC?

A CBA do Entra tem suporte para o uso da YubiKey com USB e NFC.

Após a CBA falhar, clicar na opção de CBA novamente no link "Outras maneiras de entrar" na página de erro falha.

Esse problema ocorre devido ao cache de certificado. Como solução alternativa, clicar em cancelar e reiniciar o fluxo de logon permitirá que o usuário escolha um novo certificado e faça logon com êxito.

A CBA do Microsoft Entra com o YubiKey está passando por falhas. Quais informações ajudariam a depurar o problema?

  1. Abra o aplicativo Microsoft Authenticator, clique no ícone de três pontos no canto superior direito e selecione Enviar Comentários.
  2. Clique em Está com problemas?.
  3. Para Selecione uma opção, selecione Adicionar ou entrar em uma conta.
  4. Descreva os detalhes que você deseja adicionar.
  5. Clique na seta de envio no canto superior direito. Tome nota do código fornecido na caixa de diálogo exibida.

Próximas etapas