Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu konu macOS ve iOS cihazları için Microsoft Entra sertifika tabanlı kimlik doğrulaması (CBA) desteğini kapsar.
macOS cihazlarında Microsoft Entra sertifika tabanlı kimlik doğrulaması
macOS çalıştıran cihazlar, CBA kullanarak X.509 istemci sertifikalarını kullanarak Microsoft Entra Id'de kimlik doğrulaması yapabilir. Microsoft Entra CBA, cihazdaki sertifikalar ve harici donanım korumalı güvenlik anahtarları ile desteklenir. macOS'ta, Microsoft Entra CBA tüm tarayıcılarda ve Microsoft birinci taraf uygulamalarında desteklenir.
macOS'ta desteklenen tarayıcılar
| Kenar | Krom | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Microsoft Entra CBA ile macOS cihaz oturum açılması
Microsoft Entra CBA bugün macOS makinelerinde cihaz tabanlı oturum açma için desteklenmemektedir. Cihazda oturum açmak için kullanılan sertifika, bir tarayıcı veya masaüstü uygulamasından Microsoft Entra Kimliği'nde kimlik doğrulaması yapmak için kullanılan sertifikayla aynı olabilir, ancak cihaz oturum açma işlemi henüz Microsoft Entra Kimliği'nde desteklenmemektedir.
iOS cihazlarında Microsoft Entra sertifika tabanlı kimlik doğrulaması
iOS çalıştıran cihazlar, şu bağlantılara bağlanırken cihazlarında bir istemci sertifikası kullanarak Microsoft Entra Id'de kimlik doğrulaması yapmak için sertifika tabanlı kimlik doğrulamasını (CBA) kullanabilir:
- Microsoft Outlook ve Microsoft Word gibi Office mobil uygulamaları
- Exchange ActiveSync (EAS) istemcileri
Microsoft Entra CBA, cihaz üzerindeki sertifikalar için yerel tarayıcılar ve iOS cihazlarda Microsoft ilk taraf uygulamaları tarafından desteklenir.
Önkoşullar
- iOS sürümü iOS 9 veya üzeri olmalıdır.
- Office uygulaması ve iOS üzerinde Outlook için Microsoft Authenticator gereklidir.
Cihaz içi sertifikalar ve dış depolama desteği
Cihaz içi sertifikalar cihazda sağlanır. Müşteriler, cihazdaki sertifikaları sağlamak için Mobile Cihaz Yönetimi (MDM) kullanabilir. iOS, donanım korumalı anahtarları kullanıma hazır olarak desteklemediğinden, müşteriler sertifikalar için dış depolama cihazlarını kullanabilir.
Desteklenen platformlar
- Yalnızca yerel tarayıcılar desteklenir
- En son MSAL kitaplıklarını veya Microsoft Authenticator'u kullanan uygulamalar CBA yapabilir
- Profil destekleyen Edge, kullanıcılar hesap eklediğinde ve bir profilde oturum açtığında CBA desteği sunar.
- En son MSAL kitaplıklarına veya Microsoft Authenticator'a sahip Microsoft birinci taraf uygulamaları CBA (Sertifika Tabanlı Kimlik Doğrulama) yapabilir.
Tarayıcılar
| Kenar | Krom | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Microsoft mobil uygulamaları desteği
| Uygulamalar | Destek |
|---|---|
| Azure Information Protection uygulaması | ✅ |
| Şirket Portalı | ✅ |
| Microsoft Ekipleri | ✅ |
| Office (mobil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype İş İçin | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Exchange ActiveSync istemcileri için destek
iOS 9 veya sonraki sürümlerde, yerel iOS posta istemcisi desteklenir.
E-posta uygulamanızın Microsoft Entra CBA'yı desteklenip desteklemediğini belirlemek için uygulama geliştiricinize başvurun.
Donanım güvenlik anahtarındaki sertifikalar için destek
Sertifikalar, özel anahtar erişimini korumak için bir PIN ile birlikte donanım güvenlik anahtarları gibi dış cihazlarda sağlanabilir. Microsoft'un donanım güvenlik anahtarlarıyla birlikte sunulan mobil sertifika tabanlı çözümü basit, kullanışlı, FIPS (Federal Bilgi İşleme Standartları) sertifikalı kimlik avına dayanıklı bir MFA yöntemidir.
iOS 16/iPadOS 16.1'e gelince, Apple cihazları USB-C veya Lightning bağlantılı CCID uyumlu akıllı kartlar için yerel sürücü desteği sağlar. Bu, iOS 16/iPadOS 16.1'de Apple cihazlarının ek sürücüler veya üçüncü taraf uygulamaları kullanmadan USB-C veya Lightning bağlantılı CCID uyumlu bir cihazı akıllı kart olarak gördüğü anlamına gelir. Microsoft Entra CBA bu USB-A, USB-C veya Lightning bağlantılı CCID uyumlu akıllı kartlarda çalışır.
Donanım güvenlik anahtarındaki sertifikaların avantajları
Sertifikalara sahip güvenlik anahtarları:
- Herhangi bir cihazda kullanılabilir ve kullanıcının sahip olduğu her cihazda bir sertifika sağlanması gerekmez
- Donanım güvenliği bir PIN ile sağlanır ve bu da kimlik avına dayanıklı olmasını sağlar
- Sertifikanın özel anahtarına erişmek için ikinci faktör olarak PIN ile çok faktörlü kimlik doğrulaması sağlama
- MFA'nın ayrı cihazda olması için sektör gereksinimini karşılama
- Geleceğe hazırlık sağlamaya yardımcı olarak, Fast Identity Online 2 (FIDO2) anahtarları da dahil olmak üzere birden çok kimlik bilgisinin depolanabileceği bir sistem oluşturun.
iOS mobil cihazlarda YubiKey ile Microsoft Entra CBA
Lightning bağlantılı CCID uyumlu akıllı kartlar için iOS/iPadOS'ta yerel Smartcard/CCID sürücüsü kullanılabilse de YubiKey 5Ci Lightning bağlayıcısı, Yubico Authenticator gibi PIV (Kişisel Kimlik Doğrulama) ara yazılımı kullanılmadan bu cihazlarda bağlı akıllı kart olarak görülmez.
Tek seferlik kayıt önkoşulu
- Üzerinde akıllı kart sertifikası sağlanan PIV özellikli bir YubiKey'e sahip olun
- iPhone'unuzda v14.2 veya üzeri yüklü iOS için Yubico Authenticator uygulamasını indirin
- Uygulamayı açın, YubiKey'i ekleyin veya yakın alan iletişimine (NFC) dokunun ve sertifikayı iOS anahtar zincirine yüklemek için adımları izleyin
iOS mobil cihazlarda Microsoft uygulamalarında YubiKey'i test etme adımları
- En son Microsoft Authenticator uygulamasını yükleyin.
- Outlook'u açın ve YubiKey'inizi takın.
- Hesap ekle'yi seçin ve kullanıcı asıl adınızı (UPN) girin.
- Devam'ı seçtiğinizde iOS sertifika seçicisi görüntülenir.
- Kullanıcının hesabıyla ilişkili YubiKey'den kopyalanan genel sertifikayı seçin.
- YubiKey'i seçin, YubiKey doğrulayıcı uygulamasını açmak için gereklidir.
- YubiKey'e erişmek için PIN'i girin ve sol üst köşedeki geri düğmesini seçin.
Kullanıcının başarıyla oturum açması ve Outlook giriş sayfasına yeniden yönlendirilmesi gerekir.
Donanım güvenlik anahtarındaki sertifikalarla ilgili sorunları giderme
Kullanıcının hem iOS cihazında hem de YubiKey'de sertifikaları varsa ne olur?
iOS sertifika seçicisi hem iOS cihazındaki tüm sertifikaları hem de YubiKey'den iOS cihazına kopyalanan sertifikaları gösterir. Kullanıcının seçtiği sertifikaya bağlı olarak, PIN girmek için YubiKey kimlik doğrulayıcıya alınabilir veya doğrudan kimlik doğrulaması yapılabilir.
Pin'i 3 kez yanlış yazdıktan sonra YubiKey'im kilitlendi. Nasıl onarabilirim?
- Kullanıcıların çok fazla PIN girişiminde bulunulduğunu bildiren bir iletişim kutusu görmeleri gerekir. Bu iletişim kutusu, Sertifikayı veya akıllı kartı kullan'ı seçmeye yönelik sonraki girişimler sırasında da açılır.
- YubiKey Yöneticisi , YubiKey'in PIN'ini sıfırlayabilir.
CBA başarısız olduktan sonra , 'Diğer oturum açma yolları' bağlantısındaki CBA seçeneği de başarısız olur. Geçici bir çözüm var mı?
Bu sorun, sertifika önbelleğe alma nedeniyle ortaya çıkar. Önbelleği temizlemek için bir güncelleştirme üzerinde çalışıyoruz. Geçici bir çözüm olarak İptalseçeneğini belirleyin, oturum açmayı yeniden deneyin ve yeni bir sertifika seçin.
YubiKey ile Microsoft Entra CBA başarısız oluyor. Sorunda hata ayıklamaya hangi bilgiler yardımcı olabilir?
- Microsoft Authenticator uygulamasını açın, sağ üst köşedeki üç nokta simgesini seçin ve geri bildirim gönder
seçin. - Sorun Mu Yaşıyorsunuz?Seçin.
- Bir seçenek belirtmek içinHesap ekleyin veya oturum açın'ı seçin.
- Eklemek istediğiniz tüm ayrıntıları açıklayın.
- Sağ üst köşedeki gönder okunu seçin. Görüntülenen iletişim kutusunda sağlanan kodu not edin.
Mobil cihazlarda tarayıcı tabanlı uygulamalarda donanım güvenlik anahtarı kullanarak kimlik avına karşı dayanıklı MFA'yı nasıl etkinleştirebilirim?
Sertifika tabanlı kimlik doğrulaması ve Koşullu Erişim kimlik doğrulaması gücü özelliği, müşterilerin kimlik doğrulama gereksinimlerini zorunlu kılmasını kolaylaştırır. Edge'de bir profil (hesap ekle) olarak çalışmak, YubiKey gibi bir donanım güvenlik anahtarıyla uyumludur ve kimlik doğrulama gücü özelliği içeren bir Koşullu Erişim ilkesiyle CBA üzerinden kimlik avına dayanıklı kimlik doğrulaması zorunlu kılınabilir.
YubiKey için CBA desteği, en son Microsoft Authentication Library (MSAL) kitaplıklarında ve en son MSAL ile tümleşen tüm üçüncü taraf uygulamalarında kullanılabilir. Tüm Microsoft birinci taraf uygulamaları CBA ve Koşullu Erişim kimlik doğrulaması gücünü kullanabilir.
Desteklenen işletim sistemleri
| İşletim sistemi | Cihaz Üzerinde Sertifika/Türetilmiş PIV | Akıllı kartlar/Güvenlik anahtarları |
|---|---|---|
| Ios | ✅ | Yalnızca desteklenen satıcılar |
Desteklenen tarayıcılar
| İşletim sistemi | Cihazdaki Chrome sertifikası | Chrome akıllı kart/güvenlik anahtarı | Cihazda Safari sertifikası | Safari akıllı kartı/güvenlik anahtarı | Cihazdaki Edge sertifikası | Edge akıllı kartı/güvenlik anahtarı |
|---|---|---|---|---|---|---|
| Ios | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Güvenlik anahtarı sağlayıcıları
| Sağlayıcı | Ios |
|---|---|
| YubiKey | ✅ |
Bilinen sorunlar
- iOS'ta, sertifika tabanlı kimlik doğrulamasına sahip kullanıcılar bir "çift istem" görür ve burada sertifika tabanlı kimlik doğrulamasını iki kez kullanma seçeneğini belirlemeleri gerekir.
- iOS'ta, Microsoft Authenticator Uygulaması'na sahip kullanıcılar ayrıca CBA'yı zorunlu kılacak bir Kimlik Doğrulama Gücü ilkesi varsa veya ikinci faktör olarak CBA kullanıyorlarsa CBA ile kimlik doğrulaması yapmak için saatlik oturum açma istemi görür.
- iOS'ta, Sertifika Tabanlı Kimlik Doğrulama (CBA) gerektiren bir kimlik doğrulama gücü politikası ve bir MAM uygulama koruma ilkesi, cihaz kaydı ile MFA gereksinimlerinin karşılanması arasında bir döngüye neden olur. iOS'taki hata nedeniyle, bir kullanıcı MFA gereksinimini karşılamak için CBA'yı kullandığında, cihaz zaten kayıtlı olmasına rağmen, MAM ilkesi cihaz kaydının gerekli olduğunu söyleyen sunucu hatası nedeniyle karşılanmamaktadır. Bu hata yeniden kayıt gerektirir ve istek, oturum açmak için CBA kullanma döngüsünde sıkışıyor, cihaz ise kayıt gerektiriyor. Yukarıdaki sorunlara bağlı olarak, ikinci bir faktör olarak CBA iOS'ta engellendi ve düzeltmeler yapılır yapılmaz engeli kaldırılacak.
Sonraki adımlar
- Microsoft Entra CBA'ya genel bakış
- Microsoft Entra CBA için teknik ayrıntılı bakış
- Microsoft Entra CBA'yi yapılandırma
- Android cihazlarda Microsoft Entra CBA
- Microsoft Entra CBA kullanarak Windows akıllı kart ile oturum açma
- Sertifika kullanıcı kimlikleri
- Federasyon kullanıcılarının nasıl taşınacağı
- SSS