Android cihazlarda Microsoft Entra sertifika tabanlı kimlik doğrulaması

Microsoft Entra Sertifika tabanlı kimlik doğrulaması, cihazda sağlanan sertifikalarla ve YubiKeys gibi dış güvenlik anahtarlarıyla desteklenir.

Önkoşullar

• Android sürümü Android 5.0 (Lollipop) veya üzeri olmalıdır.
• En son MSAL kitaplıklarına veya Microsoft Authenticator'a sahip Microsoft birinci taraf uygulamaları CBA yapabilir.
• En son MSAL kitaplıklarını kullanan veya Microsoft Authenticator ile tümleşik üçüncü taraf uygulamalar CBA yapabilir.

Cihaz içi sertifikalarla CBA

Müşteriler, cihazdaki sertifikaları sağlamak için Mobil Cihaz Yönetimi (MDM) tercihlerini kullanabilir. Son kullanıcıların önce cihazlarını MDM'ye kaydetmesi ve cihazda sağlanan sertifikayı alması gerekir. Sertifika cihazda sağlandıktan sonra kullanıcılar CBA kullanarak kimlik doğrulaması yapabilir.

Android'de Microsoft uygulamalarında YubiKey'i test etme adımları:

1. Outlook'u açın.
2. Hesap ekle seçin ve kullanıcı birincil adınızı (UPN) girin.
3. Devam'e tıklayın.
4. Sertifika veya akıllı kart kullanseçin.
5. İletişim kutusunda, cihaz 'deki Sertifikası'nı seçin.
6. Sertifika seçici görüntülenir.
7. Kullanıcının hesabıyla ilişkili sertifikayı seçin. Devam'e tıklayın.
8. Kimlik doğrulaması başarılı olursa kullanıcının Outlook kaynağına erişmesine izin verilir.

Donanım güvenlik anahtarında sertifikalarla CBA

Sertifikalar, özel anahtar erişimini korumak için bir PIN ile birlikte donanım güvenlik anahtarları gibi dış cihazlarda sağlanabilir. Microsoft Entra ID, YubiKey ile CBA'yi destekler.

Donanım güvenlik anahtarındaki sertifikaların avantajları

Sertifikalara sahip güvenlik anahtarları:

• Kullanıcıların farklı cihazlarda aynı sertifikayı kullanmasına olanak tanıyan bir güvenlik anahtarının dolaşım niteliğine sahip olun.
• Donanım güvenliği bir PIN ile sağlanır ve bu da kimlik avına karşı dayanıklı olmalarını sağlar.
• Sertifikanın özel anahtarına erişmek için ikinci faktör olarak bir PIN ile çok faktörlü kimlik doğrulaması sağlayın.
• Sanayi gereksinimini karşılayarak MFA'nın ayrı bir cihazda bulunmasını sağlar.
• Geleceğe yönelik dayanıklılık için, Fast Identity Online 2 (FIDO2) anahtarları da dahil olmak üzere birden fazla kimlik bilgisinin depolanabilmesi konusunda yardım.

YubiKey kullanarak Android mobil cihazlarda Microsoft Entra CBA

Android'in sertifikalarla akıllı kartı veya güvenlik anahtarlarını destekleyebilmesi için bir ara yazılım uygulamasına ihtiyacı vardır. YubiKeys'i Microsoft Entra CBA ile desteklemek için, YubiKey Android SDK'sı en son Microsoft Kimlik Doğrulama Kitaplığı (MSAL) aracılığıyla yararlanabileceğiniz Microsoft aracı koduyla tümleştirilmiştir.

Android mobil cihazlarda YubiKey ile Microsoft Entra CBA en son MSAL kullanılarak etkinleştirildiğinden, Android desteği için YubiKey Authenticator uygulaması gerekli değildir.

Android'de Microsoft uygulamalarında YubiKey'i test etme adımları:

1. Microsoft Authenticator'ı yükleyin.
2. YubiKey'inizde USB-C varsa Outlook'u açın ve YubiKey'inizi takın.
3. Hesap ekle seçin ve kullanıcı birincil adınızı (UPN) girin.
4. Devam Et'e tıklayın ve YubiKey'inize erişim izni istendiğinde Tamamöğesine tıklayın.
5. Sertifika veya akıllı kart kullanseçin.
6. NFC özellikli bir Yubikey kullanıyorsanız, Cihazın arkasında Yubikey tuşunu basılı tutun.
7. Özel bir sertifika seçici görüntülenir.
8. Kullanıcının hesabıyla ilişkilendirilmiş sertifikayı seçin ve Devam Et'e tıklayın.
9. YubiKey'e erişmek için PIN'i girin ve Kilidini Aç'ıseçin.
10. NFC ile bir Yubikey kullanıyorsanız PIN'i doğrulamak için Yubikey'i tekrar telefonun arkasına tutun.
11. Kimlik doğrulaması başarılı olduktan sonra Outlook'a erişebilirsiniz.

Not

Sorunsuz bir CBA akışı için, uygulama açılır açılmaz YubiKey'i takın ve Sertifika veya akıllı kart kullanbağlantıyı seçmeden önce YubiKey'den onay iletişim kutusunu kabul edin. Yalnızca tek bir bağlantı deneyimi yaşamak istiyorsanız, kullanıcıların NFC yerine USB kullanarak YubiKey'i takmasını isteyebilirsiniz. Bu, oturum açma işleminin başlangıcında yalnızca bir kez yapılması gerekir.

Exchange ActiveSync istemcileri için destek

Android 5.0 (Lollipop) veya sonraki sürümlerde bazı Exchange ActiveSync uygulamaları desteklenir. E-posta uygulamanızın Microsoft Entra CBA'yı desteklenip desteklemediğini belirlemek için uygulama geliştiricinize başvurun.

Desteklenen Microsoft Entra kullanım örnekleri

Microsoft mobil uygulama desteği

Uygulamalar	Destek
Azure Information Protection uygulaması	✅
Şirket Portalı	✅
Microsoft Ekipleri	✅
Office (mobil)	✅
OneNote	✅
OneDrive	✅
Outlook	✅
Power BI	✅
Skype Kurumsal	✅
Word / Excel / PowerPoint	✅
Yammer	✅
Profil oturum açma ile Edge tarayıcısı	✅
Yönetimli Ana Ekran	✅

Tarayıcı

İşletim Sistemi	Cihazdaki Chrome sertifikası	Chrome akıllı kart/güvenlik anahtarı	Cihazda Safari sertifikası	Safari akıllı kartı/güvenlik anahtarı	Cihazdaki Edge sertifikası	Edge akıllı kartı/güvenlik anahtarı
Android	✅	❌	Uygulanamaz / Mevcut Değil	Uygulanamaz / Mevcut Değil	✅	❌

Not

Tarayıcı olarak Edge desteklenmese de, profil olarak Edge (hesap oturum açma için) Android'de CBA'yı destekleyen bir MSAL uygulamasıdır.

İşletim sistemleri

İşletim Sistemi	Cihaz Üzerinde Sertifika/Türetilmiş PIV	Akıllı kartlar/Güvenlik anahtarları
Android	✅	Yalnızca desteklenen satıcılar

Güvenlik anahtarı sağlayıcıları

Sağlayıcı	Android
YubiKey	✅

Donanım güvenlik anahtarındaki sertifikalarla ilgili sorunları giderme

Kullanıcının hem Android cihazında hem de YubiKey'de sertifikaları varsa ne olur?

• Kullanıcının hem android cihazında hem de YubiKey'de sertifikaları varsa, kullanıcı Sertifika kullan'a veya akıllı karttıklamadan önce YubiKey takılıysa, kullanıcıya YubiKey'de sertifikalar gösterilir.
• Kullanıcı Sertifika veya akıllı kart kullanseçeneğine tıklamadan önce YubiKey takılı değilse, kullanıcıdan cihazdaki veya fiziksel akıllı karttaki sertifikalar arasında seçim yapması istenir. Kullanıcı cihazdaSertifika'yı seçerse, kullanıcıya cihazdaki sertifikalar gösterilir. Kullanıcı fiziksel akıllı karttaSertifikalar'ı seçerse, YubiKey'i arkaya takın veya basılı tutun; kullanıcıya Sertifikaları YubiKey'de gösterilir.

Pin'i üç kez yanlış yazdıktan sonra YubiKey'im kilitlendi. Nasıl düzeltebilirim?

• Kullanıcıların çok fazla PIN girişiminde bulunulduğunu bildiren bir iletişim kutusu görmeleri gerekir. Bu iletişim kutusu, sonraki Sertifika kullan veya akıllı kartseçme girişimleri sırasında da açılır.
• Kullanıcıların bir YubiKey PIN'ini sıfırlamak için yöneticiye başvurması gerekir.

Microsoft authenticator'ı yükledim ancak yine de YubiKey ile Sertifika tabanlı kimlik doğrulaması yapma seçeneğini görmüyorum.

Microsoft Authenticator'ı yüklemeden önce, Şirket Portalı'yı kaldırın ve Microsoft Authenticator yüklendikten sonra yükleyin.

Microsoft Entra CBA, NFC aracılığıyla YubiKey'i destekliyor mu?

Microsoft Entra CBA, USB ve NFC ile YubiKey'in kullanılmasını destekler.

CBA başarısız olduğunda, hata sayfasındaki 'Oturum açmanın diğer yolları' bağlantısında CBA seçeneğine yeniden tıklanması başarısız olur.

Bu sorun, sertifika önbelleğe alma nedeniyle ortaya çıkar. Geçici bir çözüm olarak, iptal et'e tıklayıp oturum açma akışını yeniden başlatmak kullanıcının yeni bir sertifika seçmesine ve başarıyla oturum açmasına olanak tanır.

YubiKey ile Microsoft Entra CBA başarısız oluyor. Sorunda hata ayıklamaya hangi bilgiler yardımcı olabilir?

1. Microsoft Authenticator uygulamasını açın, sağ üst köşedeki üç nokta simgesine tıklayın ve geri bildirim gönder seçin.
2. Sorun Mu Yaşıyorsunuz? seçeneğine tıklayın.
3. Bir seçenek belirtmek için, Hesap ekle veya oturum aç'ı seçin.
4. Eklemek istediğiniz tüm ayrıntıları açıklayın.
5. Sağ üst köşedeki gönder okuna tıklayın. Görüntülenen iletişim kutusunda sağlanan kodu not edin.

Sonraki adımlar

• Microsoft Entra CBA Genel Bakış
• Microsoft Entra CBA için teknik ayrıntılı bakış
• Microsoft Entra CBA Nasıl Yapılandırılır
• iOS cihazlarda Microsoft Entra CBA
• Microsoft Entra CBA kullanarak Windows Akıllı Kart ile oturum açma
• Sertifika kullanıcı kimlikleri
• Federe kullanıcıları nasıl taşırız?
• SSS