Android 设备上 Microsoft Entra 基于证书的身份验证
Microsoft Entra 基于证书的身份验证支持设备上预配的证书以及外部安全密钥(如 YubiKeys)。
先决条件
- Android 版本必须是 Android 5.0 (Lollipop) 或更高版本。
- 使用最新 MSAL 库的 Microsoft 第一方应用或 Microsoft Authenticator 可以执行 CBA。
- 使用最新的 MSAL 库或与 Microsoft Authenticator 集成的第三方应用程序可以执行 CBA。
使用设备上的证书进行 CBA
客户可以使用所选移动设备管理 (MDM) 在设备上预配证书。 最终用户必须先将设备注册到 MDM 并获取设备上预配的证书。 在设备上预配证书后,用户可以使用 CBA 进行身份验证。
在 Android 上的 Microsoft 应用中测试 YubiKey 的步骤:
- 打开 Outlook。
- 选择“添加帐户”并输入你的用户主体名称 (UPN)。
- 单击“继续” 。
- 选择“使用证书或智能卡”。
- 在对话框中选择“设备上的证书”。****
- 随即显示证书选取器。
- 选择与用户帐户关联的证书。 单击“继续” 。
- 如果身份验证成功,则允许用户访问 Outlook 资源。
使用硬件安全密钥中证书进行 CBA
可以在硬件安全密钥等外部设备中预配证书并使用 PIN 来保护私钥访问。 Microsoft Entra ID 支持使用 YubiKey 进行 CBA。
硬件安全密钥中的证书的优势
带有证书的安全密钥:
- 具有安全密钥的漫游性质,允许用户在不同的设备上使用相同的证书。
- 使用 PIN 保护硬件,使其可防网络钓鱼。
- 提供多重身份验证,使用 PIN 作为访问证书私钥的第二因素。
- 满足在单独的设备上进行 MFA 的行业要求。
- 帮助将来验证可以存储多个凭据的位置,包括 Fast Identity Online 2 (FIDO2) 密钥。
包含 YubiKey 的 Android 移动设备上的 Microsoft Entra CBA
Android 需要中间件应用程序才能使用证书支持智能卡或安全密钥。 为了让 Microsoft Entra CBA 支持 Yubikey,Yubikey Android SDK 已集成到 Microsoft 代理代码中,通过最新的 Microsoft 身份验证库 (MSAL) 可以利用该 SDK。
由于 Android 移动设备上具有 YubiKey 的 Microsoft Entra CBA 是通过最新的 MSAL 启用的,因此不需要 YubiKey Authenticator 应用即可获得 Android 支持。
在 Android 上的 Microsoft 应用中测试 YubiKey 的步骤:
- 安装 Microsoft Authenticator。
- 如果 YubiKey 具有 USB-C,请打开 Outlook 并插入 YubiKey。
- 选择“添加帐户”并输入你的用户主体名称 (UPN)。
- 单击“继续”,当系统要求访问 YubiKey 的权限时,单击“确定”。
- 选择“使用证书或智能卡”。
- 如果使用已启用 NFC 的 Yubikey,请将 Yubikey 靠近设备背面。
- 会显示自定义证书选取器。
- 选择与用户帐户关联的证书,然后单击“继续”。
- 输入 PIN 以访问 YubiKey,然后选择“解锁”。
- 如果正在使用带有 NFC 的 Yubikey,请再次将 Yubikey 靠近手机背面以验证 PIN 码。
- 身份验证成功后,即可访问 Outlook。
注意
为了让 CBA 流平滑,请在应用程序打开后立即插入 YubiKey,并接受 YubiKey 的同意对话框,然后再选择“使用证书或智能卡”链接。 如果只想体验单个连接,请考虑让用户使用 USB 而不是 NFC 插入 YubiKey,只需在登录开始时完成一次即可。
对 Exchange ActiveSync 客户端的支持
支持 Android 5.0 (Lollipop) 或更高版本上的某些 Exchange ActiveSync 应用程序。 要确定电子邮件应用程序是否支持 Microsoft Entra CBA,请联系应用程序开发人员。
支持的 Microsoft Entra 用例
Microsoft 移动应用程序支持
| 应用程序 | 支持 |
|---|---|
| Azure 信息保护应用 | ✅ |
| Company Portal | ✅ |
| Microsoft Teams | ✅ |
| Office(移动) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| 具有配置文件登录的 Edge 浏览器 | ✅ |
| 托管主屏幕 | ✅ |
浏览器
| 操作系统 | 设备端 Chrome 证书 | Chrome 智能卡/安全密钥 | 设备端 Safari 证书 | Safari 智能卡/安全密钥 | 设备端 Edge 证书 | Edge 智能卡/安全密钥 |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | 空值 | 空值 | ✅ | ❌ |
注意
虽然不支持 Edge 作为浏览器,但 Edge 作为配置文件(用于帐户登录)则是支持 Android 上的 CBA 的 MSAL 应用。
操作系统
| 操作系统 | 设备端证书/派生 PIV | 智能卡/安全密钥 |
|---|---|---|
| Android | ✅ | 仅限支持的供应商 |
安全密钥提供商
| 提供程序 | Android |
|---|---|
| YubiKey | ✅ |
排查硬件安全密钥中的证书问题
如果用户在 Android 设备和 YubiKey 上都有证书会出现什么情况?
- 如果用户在 Android 设备和 YubiKey 上都有证书,并且用户先插入 YubiKey 再单击“使用证书或智能卡”,则会在 YubiKey 中向用户显示证书。
- 如果用户单击“使用证书或智能卡”之前未插入 YubiKey,系统会要求用户在设备上的证书或物理智能卡上的证书之间进行选择。 如果用户选择“设备上的证书”,则用户将看到设备上的证书。 如果用户选择“物理智能卡上的证书”,请插入 YubiKey 或将其放到背后,用户将看到 YubiKey 中的证书。
在 3 次键入错误的 PIN 后,我的 YubiKey 被锁定。 如何解决问题?
- 用户应会看到一个对话框,告知尝试输入 PIN 的次数过多。 后续尝试选择“使用证书或智能卡”时也会弹出此对话框。
- 用户应联系管理员重置 YubiKey PIN。
我已安装 Microsoft Authenticator,但还是没有看到使用 YubiKey 执行基于证书的身份验证的选项。
在安装 Microsoft Authenticator 之前,请卸载公司门户,并在安装 Microsoft Authenticator 后安装公司门户。
Microsoft Entra CBA 是否通过 NFC 支持 YubiKey?
Microsoft Entra CBA 支持将 YubiKey 与 USB 和 NFC 配合使用。
CBA 失败后,在错误页上的“其他登录方式”链接中再次单击 CBA 选项将会失败。
此问题的原因与证书缓存有关。 一种解决方法是单击“取消”,重启登录流,然后让用户选择新证书即可成功登录。
使用 YubiKey 的 Microsoft Entra CBA 失败。 哪些信息有助于调试问题?
- 打开 Microsoft Authenticator 应用,单击右上角的三点图标,然后选择“发送反馈”。
- 单击“遇到问题?”。
- 对于“选择一个选项”,请选择“添加或登录帐户”。
- 描述要添加的任何详细信息。
- 单击右上角的发送箭头。 请注意出现的对话框中提供的代码。