Проверка подлинности на основе сертификата Microsoft Entra на устройствах Android
Проверка подлинности на основе сертификатов Microsoft Entra поддерживается с сертификатами, подготовленными на устройстве, а также с внешними ключами безопасности, такими как YubiKeys.
Необходимые компоненты
- Версия Android должна быть Android 5.0 (Lollipop) или более поздней.
- Сторонние приложения Майкрософт с последними библиотеками MSAL или Microsoft Authenticator могут выполнять CBA.
- Сторонние приложения, использующие последние библиотеки MSAL или интегрированные с Microsoft Authenticator, могут выполнять CBA.
CBA с сертификатами на устройстве
Клиенты могут использовать свой выбор мобильных Управление устройствами (MDM) для подготовки сертификатов на устройстве. Конечные пользователи должны сначала зарегистрировать свои устройства в MDM и получить сертификат, подготовленный на устройстве. После подготовки сертификата на устройстве пользователи могут пройти проверку подлинности с помощью CBA.
Действия по тестированию YubiKey в приложениях Майкрософт на Android:
- Откройте Outlook.
- Выберите "Добавить учетную запись " и введите имя участника-пользователя (UPN).
- Нажмите кнопку Продолжить.
- Выберите "Использовать сертификат" или "Смарт-карта".
- Выберите сертификат на устройстве в диалоговом окне**.**
- Откроется средство выбора сертификатов.
- Выберите сертификат, связанный с учетной записью пользователя. Нажмите кнопку Продолжить.
- Пользователю будет разрешен доступ к ресурсу Outlook, если проверка подлинности выполнена успешно.
CBA с сертификатами на аппаратном ключе безопасности
Сертификаты можно подготовить на внешних устройствах, таких как аппаратные ключи безопасности, а также ПИН-код для защиты доступа к закрытому ключу. Идентификатор Microsoft Entra поддерживает CBA с YubiKey.
Преимущества сертификатов на аппаратном ключе безопасности
Ключи безопасности с сертификатами:
- Имеется перемещаемый характер ключа безопасности, который позволяет пользователям использовать один и тот же сертификат на разных устройствах.
- Защищены оборудованием с помощью ПИН-кода, что делает их фишинг устойчивыми.
- Предоставьте многофакторную проверку подлинности с ПИН-кодом в качестве второго фактора для доступа к закрытому ключу сертификата.
- Удовлетворяет требованиям отрасли, чтобы иметь MFA на отдельном устройстве.
- Помощь в будущем в проверке правописания, в которой можно хранить несколько учетных данных, включая ключи Fast Identity Online 2 (FIDO2).
Microsoft Entra CBA на мобильных устройствах Android с YubiKey
Android требует приложения промежуточного слоя, чтобы иметь возможность поддерживать смарт-карты или ключи безопасности с сертификатами. Для поддержки YubiKeys с Microsoft Entra CBA пакет SDK для YubiKey Android интегрирован в код брокера Майкрософт, который можно использовать с помощью последней библиотеки проверки подлинности Майкрософт (MSAL).
Так как Microsoft Entra CBA с YubiKey на мобильных устройствах Android включен с помощью последней версии MSAL, приложение YubiKey Authenticator не требуется для поддержки Android.
Действия по тестированию YubiKey в приложениях Майкрософт на Android:
- Установите Microsoft Authenticator.
- Если в YubiKey есть USB-C, откройте Outlook и подключитесь к YubiKey.
- Выберите "Добавить учетную запись " и введите имя участника-пользователя (UPN).
- Нажмите кнопку "Продолжить" и при запросе разрешения на доступ к YubiKey нажмите кнопку "ОК".
- Выберите "Использовать сертификат" или "Смарт-карта".
- Если вы используете Yubikey с поддержкой NFC, удерживайте Yubikey на задней части устройства.
- Появится пользовательский средство выбора сертификатов.
- Выберите сертификат, связанный с учетной записью пользователя, и нажмите кнопку "Продолжить".
- Введите ПИН-код для доступа к YubiKey и нажмите кнопку "Разблокировать".
- Если вы используете Yubikey с NFC, удерживайте Yubikey на задней части телефона еще раз, чтобы проверить ПИН-код.
- После успешной проверки подлинности вы можете получить доступ к Outlook.
Примечание.
Для плавного потока CBA подключитесь к YubiKey сразу после открытия приложения и примите диалоговое окно согласия из YubiKey, прежде чем выбрать ссылку Use Certificate или smart card. Если вы хотите использовать только одно подключение, рассмотрите возможность подключения пользователей к YubiKey с помощью USB вместо NFC, которое необходимо сделать только один раз в начале входа.
Поддержка клиентов Exchange ActiveSync
Поддерживаются некоторые приложения Exchange ActiveSync, работающие на Android 5.0 (Lollipop) или более поздней версии. Чтобы определить, поддерживает ли ваше почтовое приложение Microsoft Entra CBA, обратитесь к разработчику приложения.
Поддерживаемые варианты использования Microsoft Entra
Поддержка мобильных приложений Майкрософт
| Приложения | Поддержка |
|---|---|
| Приложение Azure Information Protection | ✅ |
| Корпоративный портал | ✅ |
| Microsoft Teams | ✅ |
| Office (мобильный) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype для бизнеса | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| Браузер Edge с именем входа в профиль | ✅ |
| Управляемый главный экран | ✅ |
Браузеры
| Операционная система | Сертификат Chrome на устройстве | Смарт-карта и ключ безопасности Chrome | Сертификат Safari на устройстве | Смарт-карта и ключ безопасности Safari | Пограничный сертификат на устройстве | Пограничный смарт-карта или ключ безопасности |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | Неприменимо | Неприменимо | ✅ | ❌ |
Примечание.
Хотя Edge в качестве браузера не поддерживается, Edge в качестве профиля (для входа в учетную запись) — это приложение MSAL, которое поддерживает CBA в Android.
Операционные системы
| Операционная система | Сертификат на устройстве или производный PIV | Смарт-карты и ключи безопасности |
|---|---|---|
| Android | ✅ | Только поддерживаемые поставщики |
Поставщики ключей безопасности
| Provider | Android |
|---|---|
| YubiKey | ✅ |
Устранение неполадок сертификатов с ключом безопасности оборудования
Что произойдет, если у пользователя есть сертификаты на устройстве Android и YubiKey?
- Если у пользователя есть сертификаты на устройстве Android и YubiKey, то если yubiKey подключен, прежде чем пользователь нажимает кнопку "Использовать сертификат" или смарт-карточку, пользователь будет отображать сертификаты в YubiKey.
- Если yubiKey не подключен, прежде чем пользователь щелкает сертификат или смарт-карту, пользователю будет предложено выбрать между сертификатами на устройстве или физической смарт-карте. Если пользователь выбирает сертификат на устройстве, он будет отображать сертификаты на устройстве. Если пользователь выбирает сертификаты на физической смарт-карте, подключите или удерживайте YubiKey на задней стороне, а пользователь будет отображать сертификаты в YubiKey.
My YubiKey заблокирован после неправильного ввода ПИН-кода три раза. Как это исправить?
- Пользователи должны увидеть диалоговое окно с сообщением о том, что было выполнено слишком много попыток ПИН-кода. Это диалоговое окно также отображается во время последующих попыток выбора сертификата или смарт-карты.
- Пользователи должны обратиться к администратору, чтобы сбросить ПИН-код YubiKey.
Я установил Microsoft Authenticator, но по-прежнему не вижу возможности проверки подлинности на основе сертификатов с помощью YubiKey.
Перед установкой Microsoft Authenticator удалите Корпоративный портал и установите его после установки Microsoft Authenticator.
Поддерживает ли Microsoft Entra CBA YubiKey через NFC?
Microsoft Entra CBA поддерживает использование YubiKey с USB и NFC.
После сбоя CBA снова щелкните параметр CBA в ссылке "Другие способы входа" на странице ошибок.
Эта проблема возникает из-за кэширования сертификатов. В качестве обходного решения нажмите кнопку "Отмена" и перезапуск потока входа позволит пользователю выбрать новый сертификат и успешно войти.
Microsoft Entra CBA с YubiKey завершается ошибкой. Какие сведения помогут отладить проблему?
- Откройте приложение Microsoft Authenticator, щелкните значок трех точек в правом верхнем углу и выберите "Отправить отзыв".
- Нажмите кнопку "Возникли проблемы?".
- Для выбора параметра нажмите кнопку "Добавить или войти в учетную запись".
- Описать все сведения, которые вы хотите добавить.
- Щелкните стрелку отправки в правом верхнем углу. Обратите внимание на код, указанный в появившемся диалоговом окне.
Следующие шаги
- Обзор Microsoft Entra CBA
- Техническое глубокое погружение для Microsoft Entra CBA
- Настройка Microsoft Entra CBA
- Microsoft Entra CBA на устройствах iOS
- Вход в Систему Windows SmartCard с помощью Microsoft Entra CBA
- Идентификаторы пользователей сертификата
- Перенос федеративных пользователей
- Вопросы и ответы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по