iOS 和macOS上的 Microsoft Entra 憑證型驗證
本主題涵蓋 macOS 和 iOS 裝置的 Microsoft Entra 憑證型驗證 (CBA) 支援。
macOS 裝置上的 Microsoft Entra 憑證式驗證
執行 macOS 的裝置可以使用 CBA,透過其 X.509 用戶端憑證,針對 Microsoft Entra 標識符進行驗證。 Microsoft Entra CBA 支援裝置上的憑證和外部受硬體保護的安全性密鑰。 在macOS上,所有瀏覽器和 Microsoft 第一方應用程式都支援 Microsoft Entra CBA。
macOS 上支援的瀏覽器
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
使用 Microsoft Entra CBA 登入 macOS 裝置
目前不支援以裝置為基礎的 macOS 電腦登入 Microsoft Entra CBA。 用來登入裝置的憑證可以是用來從瀏覽器或傳統型應用程式向 Microsoft Entra 識別符進行驗證的相同憑證,但裝置登入本身尚不支援 Microsoft Entra ID。
iOS 裝置上的 Microsoft Entra 憑證型驗證
執行 iOS 的裝置可以使用憑證式驗證 (CBA) 在連線至下列專案時,使用裝置上的用戶端憑證向 Microsoft Entra 標識碼進行驗證:
- Office 行動應用程式,例如 Microsoft Outlook 與 Microsoft Word
- Exchange ActiveSync (EAS) 用戶端
原生瀏覽器和iOS裝置上 Microsoft 第一方應用程式的憑證支援 Microsoft Entra CBA。
必要條件
- iOS 版本必須是 iOS 9 或更新版本。
- Office 應用程式 lications 和 iOS 版 Outlook 需要 Microsoft Authenticator。
支持裝置上的憑證和外部記憶體
裝置上的憑證會布建在裝置上。 客戶可以使用行動裝置 裝置管理 (MDM) 在裝置上布建憑證。 由於 iOS 不支援現成的硬體保護金鑰,因此客戶可以使用外部儲存設備進行憑證。
支援的平台
- 僅支援原生瀏覽器
- 使用最新 MSAL 連結庫或 Microsoft Authenticator 的應用程式可以執行 CBA
- 具有配置檔的Edge,當使用者新增帳戶並登入配置檔時,支援CBA
- 具有最新 MSAL 連結庫或 Microsoft Authenticator 的 Microsoft 第一方應用程式可以執行 CBA
瀏覽器
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Microsoft 行動應用程式支援
| 應用程式 | 支援 |
|---|---|
| Azure 資訊保護應用程式 | ✅ |
| 公司入口網站 | ✅ |
| Microsoft Teams | ✅ |
| Office (行動版) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| 商務用 Skype | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Exchange ActiveSync 用戶端的支援
iOS 9 或更新版本支援原生 iOS 郵件用戶端。
若要判斷您的電子郵件應用程式是否支援 Microsoft Entra CBA,請連絡您的應用程式開發人員。
支援硬體安全性金鑰上的憑證
憑證可以在外部裝置中佈建,例如硬體安全性密鑰以及 PIN 來保護私鑰存取。 Microsoft 的行動憑證型解決方案加上硬體安全性密鑰是一種簡單、方便、FIPS(聯邦資訊處理標準)認證的網路釣魚防護 MFA 方法。
至於 iOS 16/iPadOS 16.1,Apple 裝置提供 USB-C 或閃電連線 CCID 相容智慧卡的原生驅動程序支援。 這表示 iOS 16/iPadOS 16.1 上的 Apple 裝置會在不使用其他驅動程式或第三方應用程式的情況下,將 USB-C 或閃電連線的 CCID 相容裝置視為智慧卡。 Microsoft Entra CBA 適用於這些 USB-A、USB-C 或閃電連接的 CCID 相容智慧卡。
硬體安全性金鑰憑證的優點
具有憑證的安全性金鑰:
- 可用於任何裝置,而且不需要在用戶擁有的每個裝置上布建憑證
- 使用 PIN 保護硬體,使其具有網路釣魚防護
- 使用 PIN 提供多重要素驗證作為存取憑證私鑰的第二個因素
- 滿足在個別裝置上擁有 MFA 的業界需求
- 協助日後證明可儲存多個認證,包括快速身分識別在線 2 (FIDO2) 密鑰
使用 YubiKey 在 iOS 行動裝置版上的 Microsoft Entra CBA
即使 iOS/iPadOS 上提供原生智慧卡/CCID 驅動程式,但 YubiKey 5Ci 閃電連接器不會被視為這些裝置上的連線智慧卡,而不需要使用 PIV(個人身分識別驗證)中間件,例如 Yubico Authenticator。
一次性註冊必要條件
- 具有已啟用 PIV 功能的 YubiKey,並布建了智慧卡憑證
- 使用 v14.2 或更新版本下載 iOS 應用程式的 Yubico Authenticator for iOS 應用程式 電話
- 開啟應用程式、插入 YubiKey 或點選近距離通信 (NFC),並遵循步驟將憑證上傳至 iOS 金鑰鏈
在 iOS 行動裝置上測試 Microsoft 應用程式上的 YubiKey 的步驟
- 安裝最新的 Microsoft Authenticator 應用程式。
- 開啟 Outlook 並插入您的 YubiKey。
- 選取 [ 新增帳戶 ],然後輸入您的用戶主體名稱 (UPN)。
- 按兩下 [ 繼續 ],iOS 憑證選擇器隨即出現。
- 選取從與用戶帳戶相關聯的 YubiKey 複製的公開憑證。
- 按兩下 [YubiKey] 以開啟 YubiKey 驗證器應用程式。
- 輸入 PIN 以存取 YubiKey,然後選取左上角的 [上一頁] 按鈕。
用戶應該已成功登入並重新導向至 Outlook 首頁。
針對硬體安全性金鑰上的憑證進行疑難解答
如果使用者在 iOS 裝置和 YubiKey 上都有憑證,會發生什麼事?
iOS 憑證選擇器會顯示 iOS 裝置上的所有憑證,以及從 YubiKey 複製到 iOS 裝置的所有憑證。 視憑證用戶挑選而定,他們可能會被帶到 YubiKey 驗證器以輸入 PIN 或直接驗證。
我的 YubiKey 在輸入 PIN 3 次後遭到鎖定。 如何修正?
- 用戶應該會看到對話框,通知您已嘗試太多 PIN。 在後續嘗試選取 [使用憑證或智慧卡] 期間,此對話框也會快顯。
- YubiKey 管理員 可以重設 YubiKey 的 PIN。
CBA 失敗之後,[其他登入方式] 連結中的 CBA 選項也會失敗。 是否有因應措施?
此問題是因為憑證快取所發生。 我們正在處理更新以清除快取。 因應措施是按兩下 [ 取消]、重試登入,然後選擇新的憑證。
Microsoft Entra CBA 與 YubiKey 失敗。 哪些資訊有助於對問題進行偵錯?
- 開啟 Microsoft Authenticator 應用程式,按兩下右上角的三個點圖示,然後選取 [ 傳送意見反應]。
- 按兩下 [發生問題嗎?]。
- 針對 [ 選取選項],選取 [新增或登入帳戶]。
- 描述您想要新增的任何詳細數據。
- 按兩下右上角的 [傳送] 箭號。 記下出現的對話框中所提供的程序代碼。
如何在行動裝置上的瀏覽器型應用程式上使用硬體安全性密鑰來強制執行網路釣魚防護 MFA?
憑證式驗證和條件式存取驗證強度功能可讓客戶強制執行驗證需求。 Edge 即配置檔(新增帳戶)適用於硬體安全性密鑰,例如 YubiKey 和具有驗證強度功能的條件式存取原則,可強制執行使用 CBA 的網路釣魚防護驗證。
YubiKey 的 CBA 支援可在最新的 Microsoft 驗證連結庫 (MSAL) 連結庫中取得,以及任何整合最新 MSAL 的第三方應用程式。 所有 Microsoft 第一方應用程式都可以使用 CBA 和條件式存取驗證強度。
受支援的作業系統
| 作業系統 | 裝置上的憑證/衍生 PIV | 智慧卡/安全性金鑰 |
|---|---|---|
| iOS | ✅ | 僅支持廠商 |
支援的瀏覽器
| 作業系統 | 裝置上的 Chrome 憑證 | Chrome 智慧卡/安全性密鑰 | 裝置上的Safari憑證 | Safari 智慧卡/安全性密鑰 | 裝置上的Edge憑證 | Edge 智慧卡/安全性密鑰 |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
安全性金鑰提供者
| 提供者 | iOS |
|---|---|
| YubiKey | ✅ |
已知問題
- 在 iOS 上,具有憑證式驗證的使用者會看到「雙重提示」,其中他們必須按兩下選項以使用憑證式驗證兩次。
- 在 iOS 上,若有強制執行 CBA 的驗證強度原則,或是使用 CBA 作為第二個因素,則具有 Microsoft Authenticator 應用程式的使用者也會看到每小時登入提示來向 CBA 進行驗證。