Поделиться через

Проверка подлинности на основе сертификата Microsoft Entra в iOS и macOS

  • Статья

В этом разделе рассматривается поддержка проверки подлинности на основе сертификатов (CBA) Microsoft Entra для устройств macOS и iOS.

Проверка подлинности на основе сертификата Microsoft Entra на устройствах macOS

Устройства под управлением macOS могут использовать CBA для проверки подлинности с помощью идентификатора Microsoft Entra ID с помощью сертификата клиента X.509. Microsoft Entra CBA поддерживается с сертификатами на устройстве и внешними защищенными аппаратными ключами безопасности. В macOS Microsoft Entra CBA поддерживается во всех браузерах и в приложениях майкрософт для сторонних разработчиков.

Браузеры, поддерживаемые в macOS

Microsoft Edge Chrome Safari Firefox

Вход устройства macOS с помощью Microsoft Entra CBA

Microsoft Entra CBA сегодня не поддерживается для входа на основе устройств на компьютерах macOS. Сертификат, используемый для входа на устройство, может быть тем же сертификатом, который используется для проверки подлинности в идентификаторе Microsoft Entra из браузера или классического приложения, но сам вход устройства еще не поддерживается для идентификатора Microsoft Entra. 

Проверка подлинности на основе сертификата Microsoft Entra на устройствах iOS

Устройства под управлением iOS могут использовать проверку подлинности на основе сертификатов (CBA) для проверки подлинности в идентификаторе Microsoft Entra с помощью сертификата клиента на устройстве при подключении к:

  • мобильным приложениям Office, таким как Microsoft Outlook и Microsoft Word;
  • клиентам Exchange ActiveSync (EAS).

Microsoft Entra CBA поддерживается для сертификатов на устройстве в собственных браузерах и в приложениях майкрософт на устройствах iOS.

Необходимые компоненты

  • Версия iOS должна быть iOS 9 или более поздней.
  • Microsoft Authenticator требуется для Приложение Office ликации и Outlook в iOS.

Поддержка сертификатов на устройстве и внешнего хранилища

Сертификаты на устройстве подготавливаются на устройстве. Клиенты могут использовать мобильные Управление устройствами (MDM) для подготовки сертификатов на устройстве. Так как iOS не поддерживает аппаратные защищенные ключи из коробки, клиенты могут использовать внешние устройства хранения для сертификатов.

Поддерживаемые платформы

  • Поддерживаются только собственные браузеры
  • Приложения, использующие последние библиотеки MSAL или Microsoft Authenticator, могут выполнять CBA
  • Edge с профилем, когда пользователи добавляют учетную запись и вошли в службу поддержки профилей CBA
  • Сторонние приложения Майкрософт с последними библиотеками MSAL или Microsoft Authenticator могут выполнять CBA

Браузеры

Microsoft Edge Chrome Safari Firefox

Поддержка мобильных приложений Microsoft

Приложения Поддержка
Приложение Azure Information Protection
Корпоративный портал
Microsoft Teams
Office (мобильный)
OneNote
OneDrive
Outlook
Power BI
Skype для бизнеса
Word/Excel/PowerPoint
Yammer

Поддержка клиентов Exchange ActiveSync

В iOS версии 9 и выше поддерживается собственный почтовый клиент iOS.

Чтобы определить, поддерживает ли ваше почтовое приложение Microsoft Entra CBA, обратитесь к разработчику приложения.

Поддержка сертификатов на аппаратном ключе безопасности

Сертификаты можно подготовить на внешних устройствах, таких как аппаратные ключи безопасности, а также ПИН-код для защиты доступа к закрытому ключу. Решение на основе мобильных сертификатов Майкрософт, связанное с ключами безопасности оборудования, — это простой, удобный, сертифицированный метод MFA с поддержкой фишинга ( FIPS (федеральные стандарты обработки информации).

Что касается iOS 16/iPadOS 16.1, устройства Apple обеспечивают встроенную поддержку драйверов USB-C или Lightning, совместимых со смарт-карта. Это означает, что устройства Apple на iOS 16/iPadOS 16.1 видят устройство, совместимое с USB-C или Lightning, как смарт-карта без использования дополнительных драйверов или сторонних приложений. Microsoft Entra CBA работает на этих смарт-карта usb-A, USB-C или Lightning, совместимых с CCID.

Преимущества сертификатов на аппаратном ключе безопасности

Ключи безопасности с сертификатами:

  • Можно использовать на любом устройстве и не требуется подготавливать сертификат на каждом устройстве, у пользователя
  • Защищены оборудованием с помощью ПИН-кода, что делает их фишинг устойчивыми к фишингу
  • Предоставление многофакторной проверки подлинности с помощью ПИН-кода в качестве второго фактора для доступа к закрытому ключу сертификата
  • Соответствие требованиям отрасли к многофакторной идентификации на отдельном устройстве
  • Справка в будущем, где можно хранить несколько учетных данных, включая ключи Fast Identity Online 2 (FIDO2)

Microsoft Entra CBA на мобильных устройствах iOS с YubiKey

Несмотря на то, что собственный драйвер Smart карта/CCID доступен на устройствах iOS/iPadOS для smart карта, совместимых с CCID, соединитель YubiKey 5Ci Lightning не рассматривается как подключенный смарт-карта на этих устройствах без использования по промежуточного слоя PIV (проверка личных удостоверений), например Yubico Authenticator.

Предварительные требования для однократной регистрации

  • У вас есть PIV-включенный YubiKey с смарт-сертификатом карта подготовленным на нем сертификатом
  • Скачайте приложение Yubico Authenticator для iOS Телефон с версией 14.2 или более поздней версии
  • Откройте приложение, вставьте YubiKey или коснитесь рядом с полем связи (NFC) и выполните действия по отправке сертификата в iOS связка ключей

Действия по тестированию YubiKey в приложениях Майкрософт на мобильных устройствах iOS

  1. Установите последнее приложение Microsoft Authenticator.
  2. Откройте Outlook и подключитесь к yubiKey.
  3. Выберите "Добавить учетную запись " и введите имя участника-пользователя (UPN).
  4. Нажмите кнопку " Продолжить " и появится средство выбора сертификатов iOS.
  5. Выберите общедоступный сертификат, скопированный из YubiKey, связанный с учетной записью пользователя.
  6. Щелкните YubiKey, необходимый для открытия приложения YubiKey authenticator.
  7. Введите ПИН-код для доступа к YubiKey и нажмите кнопку "Назад" в левом верхнем углу.

Пользователь должен успешно войти и перенаправиться на домашнюю страницу Outlook.

Устранение неполадок сертификатов с ключом безопасности оборудования

Что произойдет, если у пользователя есть сертификаты на устройстве iOS и YubiKey?

Средство выбора сертификатов iOS отображает все сертификаты на устройстве iOS и те, которые скопированы из YubiKey на устройство iOS. В зависимости от выбора пользователя сертификата они могут быть доставлены в yubiKey authenticator, чтобы ввести ПИН-код или напрямую пройти проверку подлинности.

My YubiKey заблокирован после неправильного ввода ПИН-кода 3 раза. Как это исправить?

  • Пользователи должны увидеть диалоговое окно с сообщением о том, что было выполнено слишком много попыток ПИН-кода. Это диалоговое окно также появится во время последующих попыток выбрать "Использовать сертификат" или смарт-карта.
  • YubiKey Manager может сбросить ПИН-код YubiKey.

Эта проблема возникает из-за кэширования сертификатов. Мы работаем над обновлением, чтобы очистить кэш. В качестве обходного решения нажмите кнопку "Отмена", повторите вход и выберите новый сертификат.

Microsoft Entra CBA с YubiKey завершается ошибкой. Какие сведения помогут отладить проблему?

  1. Откройте приложение Microsoft Authenticator, щелкните значок трех точек в правом верхнем углу и выберите "Отправить отзыв".
  2. Нажмите кнопку "Возникли проблемы?".
  3. Для выбора параметра нажмите кнопку "Добавить или войти в учетную запись".
  4. Описать все сведения, которые вы хотите добавить.
  5. Щелкните стрелку отправки в правом верхнем углу. Обратите внимание на код, указанный в появившемся диалоговом окне.

Как применить фишинго-устойчивый MFA с помощью аппаратного ключа безопасности в приложениях на основе браузера на мобильных устройствах?

Возможности проверки подлинности на основе сертификатов и надежности проверки подлинности условного доступа позволяют клиентам применять требования к проверке подлинности. Edge в качестве профиля (добавление учетной записи) работает с аппаратным ключом безопасности, таким как YubiKey, и политикой условного доступа с возможностью обеспечения надежности проверки подлинности может применять фишинговую проверку подлинности с помощью CBA.

Поддержка CBA для YubiKey доступна в последних библиотеках Библиотеки проверки подлинности Майкрософт (MSAL) и любом стороннем приложении, которое интегрирует последнюю версию MSAL. Все сторонние приложения Майкрософт могут использовать возможности проверки подлинности CBA и условного доступа.

Поддерживаемые операционные системы

Операционная система Сертификат на устройстве или производный PIV Смарт-карта/ключи безопасности
iOS Только поддерживаемые поставщики

Поддерживаемые браузеры

Операционная система Сертификат Chrome на устройстве Смарт-карта и ключ безопасности Chrome Сертификат Safari на устройстве Smart карта/security key Safari Пограничный сертификат на устройстве Интеллектуальный ключ карта и безопасности edge
iOS

Поставщики ключей безопасности

Provider iOS
YubiKey

Известные проблемы

  • В iOS пользователи с проверкой подлинности на основе сертификатов увидят "двойной запрос", где они должны дважды щелкнуть параметр для использования проверки подлинности на основе сертификатов.
  • В iOS пользователи с приложением Microsoft Authenticator также увидят почасовую запрос на вход для проверки подлинности с помощью CBA, если есть политика обеспечения надежности проверки подлинности, применяющая CBA, или если они используют CBA в качестве второго фактора.

Следующие шаги