Android 裝置上的 Microsoft Entra 憑證式驗證
Microsoft Entra 憑證型驗證支援在裝置上佈建的憑證,以及 YubiKeys 等外部安全性密鑰。
必要條件
- Android 版本必須是 Android 5.0 (Lollipop) 或更新版本。
- 具有最新 MSAL 連結庫或 Microsoft Authenticator 的 Microsoft 第一方應用程式可以執行 CBA。
- 使用最新的 MSAL 連結庫或與 Microsoft Authenticator 整合的第三方應用程式可以執行 CBA。
具有裝置上憑證的 CBA
客戶可以使用他們選擇的Mobile 裝置管理 (MDM) 在裝置上布建憑證。 終端用戶必須先向 MDM 註冊其裝置,並取得裝置上布建的憑證。 在裝置上布建憑證之後,使用者就可以使用CBA進行驗證。
在 Android 上的 Microsoft 應用程式上測試 YubiKey 的步驟:
- 開啟 Outlook。
- 選取 [ 新增帳戶 ],然後輸入您的用戶主體名稱 (UPN)。
- 按一下 [繼續]。
- 選取 [ 使用憑證或智慧卡]。
- 在 對話框中選取裝置 上的憑證**。**
- 憑證選擇器隨即出現。
- 選取與用戶帳戶相關聯的憑證。 按一下 [繼續]。
- 如果驗證成功,使用者將可存取 Outlook 資源。
具有硬體安全性金鑰憑證的 CBA
憑證可以在外部裝置中佈建,例如硬體安全性密鑰以及 PIN 來保護私鑰存取。 Microsoft Entra ID 支援具有 YubiKey 的 CBA。
硬體安全性金鑰憑證的優點
具有憑證的安全性金鑰:
- 具有安全性密鑰的漫遊本質,可讓使用者在不同的裝置上使用相同的憑證。
- 使用 PIN 進行硬體保護,使其具有網路釣魚防護功能。
- 使用 PIN 提供多重要素驗證作為存取憑證私鑰的第二個因素。
- 滿足在個別裝置上擁有 MFA 的業界需求。
- 未來可儲存多個認證的說明,包括Fast Identity Online 2 (FIDO2) 密鑰。
使用 YubiKey 在 Android 行動裝置上使用 Microsoft Entra CBA
Android 需要中間件應用程式,才能使用憑證支援智慧卡或安全性密鑰。 為了支援 YubiKeys 與 Microsoft Entra CBA,YubiKey Android SDK 已整合到 Microsoft Broker 程式代碼中,可透過最新的 Microsoft 驗證連結庫 (MSAL) 加以運用。
因為 Microsoft Entra CBA 搭配 Android 行動裝置上的 YubiKey 是透過使用最新的 MSAL 來啟用,因此 Android 支援不需要 YubiKey Authenticator 應用程式。
在 Android 上的 Microsoft 應用程式上測試 YubiKey 的步驟:
- 安裝 Microsoft Authenticator。
- 如果您的 YubiKey 具有 USB-C,請開啟 Outlook 並插入您的 YubiKey。
- 選取 [ 新增帳戶 ],然後輸入您的用戶主體名稱 (UPN)。
- 按兩下 [ 繼續],當系統要求您存取 YubiKey 的許可權時,按兩下 [ 確定]。
- 選取 [ 使用憑證或智慧卡]。
- 如果您使用已啟用 NFC 功能的 Yubikey,請將 Yubikey 保留到裝置背面。
- 自定義憑證選擇器隨即出現。
- 選取與使用者帳戶相關聯的憑證,然後按兩下 [繼續]。
- 輸入 PIN 以存取 YubiKey,然後選取 [ 解除鎖定]。
- 如果您使用具有 NFC 的 Yubikey,請再次將 Yubikey 按住手機背面,以驗證 PIN。
- 驗證成功之後,您可以存取 Outlook。
注意
如需順暢的 CBA 流程,請在應用程式開啟后立即插入 YubiKey,然後接受 YubiKey 的同意對話方塊,再選取 [使用憑證或智慧卡] 連結。 如果您想要只體驗單一連線,請考慮讓使用者使用USB而不是NFC來插入YubiKey,這只需要在登入開始時完成一次。
支援 Exchange ActiveSync 用戶端
支援 Android 5.0 (Lollipop) 或更新版本上的某些 Exchange ActiveSync 應用程式。 若要判斷您的電子郵件應用程式是否支援 Microsoft Entra CBA,請連絡您的應用程式開發人員。
支援的 Entra 使用案例
Microsoft 行動應用程式支援
| 應用程式 | 支援 |
|---|---|
| Azure 資訊保護 應用程式 | ✅ |
| 公司入口網站 | ✅ |
| Microsoft Teams | ✅ |
| Office (行動裝置) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| 商務用 Skype | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| 具有配置檔登入的Edge瀏覽器 | ✅ |
| 受控主畫面 | ✅ |
瀏覽器
| 作業系統 | 裝置上的 Chrome 憑證 | Chrome 智慧卡/安全性密鑰 | 裝置上的Safari憑證 | Safari 智慧卡/安全性密鑰 | 裝置上的Edge憑證 | Edge 智慧卡/安全性密鑰 |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | N/A | 無法使用 | ✅ | ❌ |
注意
雖然不支援 Edge 做為瀏覽器,但 Edge 即設定檔(用於帳戶登入)是支援 Android 上 CBA 的 MSAL 應用程式。
作業系統
| 作業系統 | 裝置上的憑證/衍生 PIV | 智慧卡/安全性金鑰 |
|---|---|---|
| Android | ✅ | 僅支持廠商 |
安全性金鑰提供者
| 提供者 | Android |
|---|---|
| YubiKey | ✅ |
針對硬體安全性金鑰上的憑證進行疑難解答
如果使用者在Android裝置和YubiKey上都有憑證,會發生什麼事?
- 如果使用者在 android 裝置和 YubiKey 上都有憑證,則如果使用者按兩下 [使用憑證] 或 [智慧卡] 之前插入 YubiKey,使用者就會在 YubiKey 中顯示憑證。
- 如果使用者按兩下 [使用憑證或智慧卡] 之前未插入 YubiKey,系統會要求使用者在裝置或實體智慧卡上選取憑證。 如果使用者選擇 裝置上的憑證,使用者將會在裝置上顯示憑證。 如果用戶在實體智慧卡上選擇 [憑證],請插入或保留YubiKey到背面,且使用者將會在YubiKey中顯示憑證。
我的 YubiKey 在輸入 PIN 三次后被鎖定。 如何修正?
- 用戶應該會看到對話框,通知您已嘗試太多 PIN。 在後續嘗試選取 [使用憑證或智慧卡] 期間,此對話框也會快顯。
- 用戶應該連絡系統管理員重設YubiKey PIN。
我已安裝 Microsoft 驗證器,但仍看不到使用 YubiKey 執行憑證式驗證的選項。
安裝 Microsoft Authenticator 之前,請先卸載 公司入口網站,並在 Microsoft Authenticator 安裝之後加以安裝。
Microsoft Entra CBA 是否透過 NFC 支援 YubiKey?
Entra CBA 支援搭配USB和 NFC 使用 YubiKey。
CBA 失敗后,在錯誤頁面上的 [其他登入方式] 連結中再次按下 CBA 選項會失敗。
此問題是因為憑證快取所發生。 因應措施是,按兩下 [取消] 並重新啟動登入流程,可讓用戶選擇新的憑證並成功登入。
Microsoft Entra CBA 與 YubiKey 失敗。 哪些資訊有助於對問題進行偵錯?
- 開啟 Microsoft Authenticator 應用程式,按兩下右上角的三個點圖示,然後選取 [ 傳送意見反應]。
- 按兩下 [發生問題嗎?]。
- 針對 [ 選取選項],選取 [新增或登入帳戶]。
- 描述您想要新增的任何詳細數據。
- 按兩下右上角的 [傳送] 箭號。 記下出現的對話框中所提供的程序代碼。