iOS ve macOS üzerinde Microsoft Entra sertifika tabanlı kimlik doğrulaması
Bu konu macOS ve iOS cihazları için Microsoft Entra sertifika tabanlı kimlik doğrulaması (CBA) desteğini kapsar.
macOS cihazlarında Microsoft Entra sertifika tabanlı kimlik doğrulaması
macOS çalıştıran cihazlar, CBA kullanarak X.509 istemci sertifikalarını kullanarak Microsoft Entra Id'de kimlik doğrulaması yapabilir. Microsoft Entra CBA, cihazdaki sertifikalar ve harici donanım korumalı güvenlik anahtarları ile desteklenir. macOS'ta, Microsoft Entra CBA tüm tarayıcılarda ve Microsoft birinci taraf uygulamalarında desteklenir.
macOS'ta desteklenen tarayıcılar
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Microsoft Entra CBA ile macOS cihaz oturumu açma
Microsoft Entra CBA bugün macOS makinelerinde cihaz tabanlı oturum açma için desteklenmemektedir. Cihazda oturum açmak için kullanılan sertifika, bir tarayıcı veya masaüstü uygulamasından Microsoft Entra Kimliği'nde kimlik doğrulaması yapmak için kullanılan sertifikayla aynı olabilir, ancak cihaz oturum açma işlemi henüz Microsoft Entra Kimliği'nde desteklenmemektedir.
iOS cihazlarında Microsoft Entra sertifika tabanlı kimlik doğrulaması
iOS çalıştıran cihazlar, şu bağlantılara bağlanırken cihazlarında bir istemci sertifikası kullanarak Microsoft Entra Id'de kimlik doğrulaması yapmak için sertifika tabanlı kimlik doğrulamasını (CBA) kullanabilir:
- Microsoft Outlook ve Microsoft Word gibi Office mobil uygulamaları
- Exchange ActiveSync (EAS) istemcileri
Microsoft Entra CBA, yerel tarayıcılardaki cihazdaki sertifikalar ve iOS cihazlarında Microsoft birinci taraf uygulamaları için desteklenir.
Önkoşullar
- iOS sürümü iOS 9 veya üzeri olmalıdır.
- Office uygulaması ve iOS üzerinde Outlook için Microsoft Authenticator gereklidir.
Cihaz içi sertifikalar ve dış depolama desteği
Cihaz içi sertifikalar cihazda sağlanır. Müşteriler, cihazdaki sertifikaları sağlamak için Mobile Cihaz Yönetimi (MDM) kullanabilir. iOS, donanım korumalı anahtarları kullanıma hazır olarak desteklemediğinden, müşteriler sertifikalar için dış depolama cihazlarını kullanabilir.
Desteklenen platformlar
- Yalnızca yerel tarayıcılar desteklenir
- En son MSAL kitaplıklarını veya Microsoft Authenticator'u kullanan uygulamalar CBA yapabilir
- Profilli uç, kullanıcılar hesap eklediğinde ve bir profilde oturum açtığında CBA desteği
- En son MSAL kitaplıklarına veya Microsoft Authenticator'a sahip Microsoft birinci taraf uygulamaları CBA yapabilir
Tarayıcılar
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Microsoft mobil uygulamaları desteği
| Uygulamalar | Destek |
|---|---|
| Azure Information Protection uygulaması | ✅ |
| Şirket Portalı | ✅ |
| Microsoft Teams | ✅ |
| Office (mobil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype Kurumsal | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Exchange ActiveSync istemcileri için destek
iOS 9 veya sonraki sürümlerde, yerel iOS posta istemcisi desteklenir.
E-posta uygulamanızın Microsoft Entra CBA'yı desteklenip desteklemediğini belirlemek için uygulama geliştiricinize başvurun.
Donanım güvenlik anahtarındaki sertifikalar için destek
Sertifikalar, özel anahtar erişimini korumak için bir PIN ile birlikte donanım güvenlik anahtarları gibi dış cihazlarda sağlanabilir. Microsoft'un donanım güvenlik anahtarlarıyla birlikte sunulan mobil sertifika tabanlı çözümü basit, kullanışlı, FIPS (Federal Bilgi İşleme Standartları) sertifikalı kimlik avına dayanıklı bir MFA yöntemidir.
iOS 16/iPadOS 16.1'e gelince, Apple cihazları USB-C veya Lightning bağlantılı CCID uyumlu akıllı kartlar için yerel sürücü desteği sağlar. Bu, iOS 16/iPadOS 16.1'de Apple cihazlarının ek sürücüler veya üçüncü taraf uygulamaları kullanmadan USB-C veya Lightning bağlantılı CCID uyumlu bir cihazı akıllı kart olarak gördüğü anlamına gelir. Microsoft Entra CBA bu USB-A, USB-C veya Lightning bağlantılı CCID uyumlu akıllı kartlarda çalışır.
Donanım güvenlik anahtarındaki sertifikaların avantajları
Sertifikalara sahip güvenlik anahtarları:
- Herhangi bir cihazda kullanılabilir ve kullanıcının sahip olduğu her cihazda bir sertifika sağlanması gerekmez
- Donanım güvenliği bir PIN ile sağlanır ve bu da kimlik avına dayanıklı olmasını sağlar
- Sertifikanın özel anahtarına erişmek için ikinci faktör olarak PIN ile çok faktörlü kimlik doğrulaması sağlama
- MFA'nın ayrı cihazda olması için sektör gereksinimini karşılama
- Fast Identity Online 2 (FIDO2) anahtarları dahil olmak üzere birden çok kimlik bilgilerinin depolanabileceği gelecekte yazım denetleme konusunda yardım
YubiKey ile iOS mobil cihazlarda Microsoft Entra CBA
Lightning bağlantılı CCID uyumlu akıllı kartlar için iOS/iPadOS'ta yerel Smartcard/CCID sürücüsü kullanılabilse de YubiKey 5Ci Lightning bağlayıcısı, Yubico Authenticator gibi PIV (Kişisel Kimlik Doğrulama) ara yazılımı kullanılmadan bu cihazlarda bağlı akıllı kart olarak görülmez.
Tek seferlik kayıt önkoşulu
- Üzerinde akıllı kart sertifikası sağlanan PIV özellikli bir YubiKey'e sahip olun
- i Telefon v14.2 veya sonraki sürümleriyle iOS için Yubico Authenticator uygulamasını indirin
- Uygulamayı açın, YubiKey'i ekleyin veya yakın alan iletişimine (NFC) dokunun ve sertifikayı iOS anahtar zincirine yüklemek için adımları izleyin
iOS mobil cihazlarda Microsoft uygulamalarında YubiKey'i test etme adımları
- En son Microsoft Authenticator uygulamasını yükleyin.
- Outlook'u açın ve YubiKey'inizi takın.
- Hesap ekle'yi seçin ve kullanıcı asıl adınızı (UPN) girin.
- Devam'a tıklayın ve iOS sertifika seçicisi görüntülenir.
- Kullanıcının hesabıyla ilişkili YubiKey'den kopyalanan genel sertifikayı seçin.
- YubiKey kimlik doğrulayıcı uygulamasını açmak için YubiKey gerekli'ye tıklayın.
- YubiKey'e erişmek için PIN'i girin ve sol üst köşedeki geri düğmesini seçin.
Kullanıcının başarıyla oturum açması ve Outlook giriş sayfasına yeniden yönlendirilmesi gerekir.
Donanım güvenlik anahtarındaki sertifikalarla ilgili sorunları giderme
Kullanıcının hem iOS cihazında hem de YubiKey'de sertifikaları varsa ne olur?
iOS sertifika seçicisi hem iOS cihazındaki tüm sertifikaları hem de YubiKey'den iOS cihazına kopyalanan sertifikaları gösterir. Kullanıcının seçtiği sertifikaya bağlı olarak, PIN girmek için YubiKey kimlik doğrulayıcıya alınabilir veya doğrudan kimlik doğrulaması yapılabilir.
Pin'i 3 kez yanlış yazdıktan sonra YubiKey'im kilitlendi. Nasıl onarabilirim?
- Kullanıcıların çok fazla PIN girişiminde bulunulduğunu bildiren bir iletişim kutusu görmeleri gerekir. Bu iletişim kutusu, sertifikayı veya akıllı kartı kullan'ı seçmeye yönelik sonraki girişimler sırasında da açılır.
- YubiKey Yöneticisi , YubiKey'in PIN'ini sıfırlayabilir.
CBA başarısız olduktan sonra , 'Diğer oturum açma yolları' bağlantısındaki CBA seçeneği de başarısız olur. Geçici bir çözüm var mı?
Bu sorun, sertifika önbelleğe alma nedeniyle ortaya çıkar. Önbelleği temizlemek için bir güncelleştirme üzerinde çalışıyoruz. Geçici bir çözüm olarak İptal'e tıklayın, oturum açmayı yeniden deneyin ve yeni bir sertifika seçin.
YubiKey ile Microsoft Entra CBA başarısız oluyor. Sorunda hata ayıklamaya hangi bilgiler yardımcı olabilir?
- Microsoft Authenticator uygulamasını açın, sağ üst köşedeki üç nokta simgesine tıklayın ve Geri Bildirim Gönder'i seçin.
- Sorun mu yaşıyorsunuz?'a tıklayın.
- Bir seçenek belirtin için Hesap ekle veya oturum aç'ı seçin.
- Eklemek istediğiniz tüm ayrıntıları açıklayın.
- Sağ üst köşedeki gönder okuna tıklayın. Görüntülenen iletişim kutusunda sağlanan kodu not edin.
Mobil cihazlarda tarayıcı tabanlı uygulamalarda donanım güvenlik anahtarı kullanarak kimlik avına dayanıklı MFA'yı nasıl zorlayabilirim?
Sertifika tabanlı kimlik doğrulaması ve Koşullu Erişim kimlik doğrulaması gücü özelliği, müşterilerin kimlik doğrulama gereksinimlerini zorunlu kılmasını kolaylaştırır. Profil olarak edge (hesap ekleme) YubiKey gibi bir donanım güvenlik anahtarıyla çalışır ve kimlik doğrulama gücü özelliğine sahip bir Koşullu Erişim ilkesi CBA ile kimlik avına dayanıklı kimlik doğrulamasını zorunlu kılabilir.
YubiKey için CBA desteği, en son Microsoft Authentication Library (MSAL) kitaplıklarında ve en son MSAL ile tümleşen tüm üçüncü taraf uygulamalarında kullanılabilir. Tüm Microsoft birinci taraf uygulamaları CBA ve Koşullu Erişim kimlik doğrulaması gücünü kullanabilir.
Desteklenen işletim sistemleri
| İşletim sistemi | Cihazda sertifika/Türetilmiş PIV | Akıllı kartlar/Güvenlik anahtarları |
|---|---|---|
| iOS | ✅ | Yalnızca desteklenen satıcılar |
Desteklenen tarayıcılar
| İşletim sistemi | Cihazdaki Chrome sertifikası | Chrome akıllı kart/güvenlik anahtarı | Cihazda Safari sertifikası | Safari akıllı kartı/güvenlik anahtarı | Cihazdaki Edge sertifikası | Edge akıllı kartı/güvenlik anahtarı |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Güvenlik anahtarı sağlayıcıları
| Provider | iOS |
|---|---|
| YubiKey | ✅ |
Bilinen sorunlar
- iOS'ta, sertifika tabanlı kimlik doğrulamasına sahip kullanıcılar sertifika tabanlı kimlik doğrulamasını iki kez kullanma seçeneğine tıklamaları gereken bir "çift istem" görür.
- iOS'ta, Microsoft Authenticator Uygulaması'na sahip kullanıcılar ayrıca CBA'yı zorunlu kılacak bir Kimlik Doğrulama Gücü ilkesi varsa veya ikinci faktör olarak CBA kullanıyorlarsa CBA ile kimlik doğrulaması yapmak için saatlik oturum açma istemi görür.