Autenticação baseada em certificado Microsoft Entra em dispositivos Android

  • Artigo

A autenticação baseada em Certificado Microsoft Entra é suportada com certificados provisionados no dispositivo, bem como com chaves de segurança externas, como YubiKeys.

Pré-requisitos

  • A versão Android deve ser Android 5.0 (Lollipop) ou posterior.
  • Os aplicativos primários da Microsoft com bibliotecas MSAL mais recentes ou o Microsoft Authenticator podem fazer CBA.
  • Aplicativos de terceiros que usam bibliotecas MSAL mais recentes ou integrados com o Microsoft Authenticator podem fazer CBA.

ACB com certificados no dispositivo

Os clientes podem usar sua escolha de Gerenciamento de Dispositivo Móvel (MDM) para provisionar os certificados no dispositivo. Os usuários finais devem primeiro registrar seus dispositivos com MDM e obter o certificado provisionado no dispositivo. Depois que o certificado é provisionado no dispositivo, os usuários podem se autenticar usando o CBA.

Passos para testar YubiKey em aplicativos da Microsoft no Android:

  1. Abra o Outlook.
  2. Selecione Adicionar conta e insira seu nome principal de usuário (UPN).
  3. Clique em Continue (Continuar).
  4. Selecione Usar certificado ou cartão inteligente.
  5. Selecione Certificado no dispositivo na caixa de diálogo**.**
  6. O seletor de certificados aparecerá.
  7. Selecione o certificado associado à conta do usuário. Clique em Continue (Continuar).
  8. O usuário terá permissão para acessar o recurso do Outlook se a autenticação for bem-sucedida.

CBA com certificados sobre chave de segurança de hardware

Os certificados podem ser provisionados em dispositivos externos, como chaves de segurança de hardware, juntamente com um PIN para proteger o acesso à chave privada. Microsoft Entra ID suporta CBA com YubiKey.

Vantagens dos certificados na chave de segurança de hardware

Chaves de segurança com certificados:

  • Têm a natureza de roaming de uma chave de segurança, que permite que os usuários usem o mesmo certificado em dispositivos diferentes.
  • São protegidos por hardware com um PIN, o que os torna resistentes a phishing.
  • Forneça autenticação multifator com um PIN como segundo fator para acessar a chave privada do certificado.
  • Satisfazer o requisito da indústria de ter MFA em dispositivo separado.
  • Ajuda na preparação futura onde várias credenciais podem ser armazenadas, incluindo chaves Fast Identity Online 2 (FIDO2).

Microsoft Entra CBA no celular Android com YubiKey

O Android precisa de um aplicativo middleware para ser capaz de suportar cartões inteligentes ou chaves de segurança com certificados. Para suportar YubiKeys com o Microsoft Entra CBA, YubiKey Android SDK foi integrado no código do corretor da Microsoft que pode ser aproveitado através da mais recente Microsoft Authentication Library (MSAL).

Como o Microsoft Entra CBA com YubiKey em dispositivos móveis Android é habilitado usando o MSAL mais recente, o aplicativo YubiKey Authenticator não é necessário para suporte Android.

Passos para testar YubiKey em aplicativos da Microsoft no Android:

  1. Instale o Microsoft Authenticator.
  2. Se o seu YubiKey tem USB-C, abra o Outlook e conecte o seu YubiKey.
  3. Selecione Adicionar conta e insira seu nome principal de usuário (UPN).
  4. Clique em Continuar e, quando lhe for pedida permissão para aceder à sua YubiKey, clique em OK.
  5. Selecione Usar certificado ou cartão inteligente.
  6. Se você estiver usando um Yubikey habilitado para NFC, segure o Yubikey na parte traseira do dispositivo.
  7. Um seletor de certificado personalizado é exibido.
  8. Selecione o certificado associado à conta do usuário e clique em Continuar.
  9. Digite o PIN para acessar YubiKey e selecione Desbloquear.
  10. Se você estiver usando um Yubikey com NFC, segure o Yubikey na parte de trás do telefone novamente para validar o PIN.
  11. Depois que a autenticação for bem-sucedida, você poderá acessar o Outlook.

Nota

Para um fluxo CBA suave, conecte YubiKey assim que o aplicativo for aberto e aceite a caixa de diálogo de consentimento do YubiKey antes de selecionar o link Usar certificado ou cartão inteligente. Se você quiser experimentar apenas uma única conexão, considere fazer com que os usuários conectem a YubiKey usando USB em vez de NFC, o que só precisa ser feito uma vez no início do login.

Suporte para clientes Exchange ActiveSync

Determinados aplicativos do Exchange ActiveSync no Android 5.0 (Lollipop) ou posterior são suportados. Para determinar se seu aplicativo de email suporta o Microsoft Entra CBA, entre em contato com o desenvolvedor do aplicativo.

Casos de uso do Entra suportados

Suporte a aplicativos móveis da Microsoft

Aplicações Suporte
Aplicativo Azure Information Protection
Portal da Empresa
Microsoft Teams
Escritório (móvel)
OneNote
OneDrive
Outlook
Power BI
Skype para Empresas
Word / Excel / PowerPoint
Yammer
Navegador Edge com login de perfil
Ecrã inicial gerido

Browsers

Sistema operativo Certificado do Chrome no dispositivo Cartão inteligente do Chrome/chave de segurança Certificado do Safari no dispositivo Cartão inteligente do Safari/chave de segurança Certificado de borda no dispositivo Cartão inteligente de borda/chave de segurança
Android N/A N/A

Nota

Embora o Edge como navegador não seja suportado, o Edge como um perfil (para login de conta) é um aplicativo MSAL que suporta CBA no Android.

Sistemas operativos

Sistema operativo Certificado no dispositivo/PIV derivado Cartões inteligentes/chaves de segurança
Android Apenas fornecedores suportados

Fornecedores de chaves de segurança

Provider Android
YubiKey

Solucionar problemas de certificados na chave de segurança de hardware

O que acontecerá se o usuário tiver certificados tanto no dispositivo Android quanto no YubiKey?

  • Se o usuário tiver certificados tanto no dispositivo Android quanto no YubiKey, se o YubiKey estiver conectado antes que o usuário clique em Usar certificado ou cartão inteligente, o usuário verá os certificados no YubiKey.
  • Se o YubiKey não estiver conectado antes que o usuário clique em Usar certificado ou cartão inteligente, o usuário será solicitado a selecionar entre certificados no dispositivo ou cartão inteligente físico. Se o usuário escolher Certificado no dispositivo, o usuário verá os certificados no dispositivo. Se o usuário escolher Certificados no cartão inteligente físico, conecte ou segure a YubiKey na parte de trás, e o usuário verá os certificados na YubiKey.

Meu YubiKey está bloqueado depois de digitar PIN incorretamente três vezes. Como faço para corrigi-lo?

  • Os usuários devem ver uma caixa de diálogo informando que muitas tentativas de PIN foram feitas. Esta caixa de diálogo também aparece durante as tentativas subsequentes de selecionar Usar certificado ou cartão inteligente.
  • Os usuários devem entrar em contato com o administrador para redefinir um PIN YubiKey.

Eu instalei o autenticador da Microsoft, mas ainda não vejo uma opção para fazer a autenticação baseada em certificado com YubiKey.

Antes de instalar o Microsoft Authenticator, desinstale o Portal da Empresa e instale-o após a instalação do Microsoft Authenticator.

O Microsoft Entra CBA suporta YubiKey via NFC?

O Entra CBA suporta o uso de YubiKey com USB e NFC.

Quando a ACB falhar, clicar novamente na opção ACB na ligação «Outras formas de iniciar sessão» na página de erro falha.

Esse problema acontece devido ao cache de certificado. Como solução alternativa, clicar em cancelar e reiniciar o fluxo de login permitirá que o usuário escolha um novo certificado e faça login com êxito.

Microsoft Entra CBA com YubiKey está falhando. Que informações ajudariam a depurar o problema?

  1. Abra o aplicativo Microsoft Authenticator, clique no ícone de três pontos no canto superior direito e selecione Enviar comentários.
  2. Clique em Está com problemas?.
  3. Em Selecione uma opção, selecione Adicionar ou inicie sessão numa conta.
  4. Descreva todos os detalhes que deseja adicionar.
  5. Clique na seta de envio no canto superior direito. Observe o código fornecido na caixa de diálogo exibida.

Próximos passos