Android 裝置上的 Microsoft Entra 憑證式驗證
Microsoft Entra 憑證式驗證支援在裝置上佈建的憑證以及外部安全性金鑰 (例如 YubiKey)。
必要條件
- Android 版本必須是 Android 5.0 (Lollipop) 或更新版本。
- 使用最新 MSAL 程式庫或 Microsoft Authenticator 的 Microsoft 第一方應用程式可以進行 CBA。
- 使用最新 MSAL 程式庫或與 Microsoft Authenticator 整合的第三方應用程式可以進行 CBA。
使用裝置上憑證的 CBA
客戶可以使用他們選擇的行動裝置管理 (MDM),在裝置上佈建憑證。 終端使用者必須先向 MDM 註冊其裝置,並取得裝置上佈建的憑證。 在裝置上佈建憑證之後,使用者就可以使用 CBA 進行驗證。
在 Android 中的 Microsoft 應用程式上測試 YubiKey 的步驟:
- 開啟 Outlook。
- 選取 [新增帳戶],並輸入您的使用者主體名稱 (UPN)。
- 按一下繼續。
- 選取 [使用憑證或智慧卡]。
- 在對話方塊中選取 [裝置上的憑證]**。**
- 隨即會出現憑證選擇器。
- 選取與使用者帳戶相關聯的憑證。 按一下繼續。
- 如果驗證成功,使用者可存取 Outlook 資源。
具有硬體安全性金鑰上憑證的 CBA
憑證可以佈建於硬體安全性金鑰等外部裝置,並搭配 PIN 來保護私密金鑰存取。 Microsoft Entra ID 支援使用 YubiKey 的 CBA。
硬體安全性金鑰上的憑證優點
具有憑證的安全性金鑰:
- 具備安全性金鑰的漫遊本質,可讓使用者在不同的裝置上使用相同憑證。
- 使用 PIN 保護硬體,以進行網路釣魚防護。
- 使用 PIN 提供多重要素驗證,作為存取憑證私密金鑰的第二個要素。
- 滿足在個別裝置上擁有 MFA 的產業需求。
- 有助於在未來證明可以儲存多個認證,包括 Fast Identity Online 2 (FIDO2) 金鑰。
在 Android 行動裝置上使用 YubiKey 進行 Microsoft Entra CBA
Android 需要中介軟體應用程式,才能使用憑證支援智慧卡或安全性金鑰。 為了支援 YubiKey 與 Microsoft Entra CBA,已將 YubiKey Android SDK 整合到 Microsoft 訊息代理程式的程式碼中,可透過最新的 Microsoft 驗證程式庫 (MSAL) 加以運用。
由於已在 Android 行動裝置上透過使用最新的 MSAL 使用 YubiKey 進行 Microsoft Entra CBA,因此,不一定要有 YubiKey Authenticator 應用程式才能獲得 Android 支援。
在 Android 中的 Microsoft 應用程式上測試 YubiKey 的步驟:
- 安裝 Microsoft Authenticator。
- 如果您的 YubiKey 具有 USB-C,請開啟 Outlook 並插入您的 YubiKey。
- 選取 [新增帳戶],並輸入您的使用者主體名稱 (UPN)。
- 按一下 [繼續],當系統要求存取您 YubiKey 的權限時,按一下 [確定]。
- 選取 [使用憑證或智慧卡]。
- 如果您使用已啟用 NFC 功能的 Yubikey,請握持 Yubikey 靠近裝置背面。
- 自訂憑證選擇器隨即出現。
- 選取與使用者帳戶相關聯的憑證,然後按一下 [繼續]。
- 輸入 PIN 以存取 YubiKey,然後選取 [解除鎖定]。
- 如果您使用具有 NFC 的 Yubikey,請再次握持 Yubikey 靠近手機背面,以驗證 PIN。
- 驗證成功之後,您可以存取 Outlook。
注意
如需順暢的 CBA 流程,在應用程式開啟後立即插入 YubiKey,並在選取 [使用憑證或智慧卡] 連結之前,先接受 YubiKey 的同意對話方塊。 如果您只想要體驗單一連線,請考慮讓使用者使用 USB 來插入 YubiKey,而不是使用 NFC,這只需要在登入開始時完成一次。
Exchange ActiveSync 用戶端的支援
支援 Android 5.0 (Lollipop) 或更新版本上的某些 Exchange ActiveSync 應用程式。 若要判斷您的電子郵件應用程式是否支援 Microsoft Entra CBA,請連絡您的應用程式開發人員。
支援的 Microsoft Entra 使用案例
Microsoft 行動應用程式支援
應用程式 | 支援 |
---|---|
Azure 資訊保護應用程式 | ✅ |
公司入口網站 | ✅ |
Microsoft Teams | ✅ |
Office (行動版) | ✅ |
OneNote | ✅ |
OneDrive | ✅ |
Outlook | ✅ |
Power BI | ✅ |
商務用 Skype | ✅ |
Word / Excel / PowerPoint | ✅ |
Yammer | ✅ |
具有設定檔登入的 Edge 瀏覽器 | ✅ |
受控主畫面 | ✅ |
瀏覽器
作業系統 | 裝置上的 Chrome 憑證 | Chrome 智慧卡/安全性金鑰 | 裝置上的 Safari 憑證 | Safari 智慧卡/安全性金鑰 | 裝置上的 Azure IoT Edge 串流分析憑證 | Edge 智慧卡/安全性金鑰 |
---|---|---|---|---|---|---|
Android | ✅ | ❌ | N/A | 無法使用 | ✅ | ❌ |
注意
雖然不支援 Edge 作為瀏覽器,但 Edge 作為設定檔 (用於帳戶登入) 是在 Android 上支援 CBA 的 MSAL 應用程式。
作業系統
作業系統 | 裝置上的憑證/衍生的 PIV | 智慧卡/安全性金鑰 |
---|---|---|
Android | ✅ | 僅限支援的廠商 |
安全性金鑰提供者
Provider | Android |
---|---|
YubiKey | ✅ |
針對硬體安全性金鑰上的憑證進行疑難排解
如果使用者在 Android 裝置和 YubiKey 上都有憑證,將會發生什麼情況?
- 如果使用者在 Android 裝置和 YubiKey 上都有憑證,那麼,若在使用者按一下 [使用憑證或智慧卡] 之前已插入 YubiKey,則該使用者將在 YubiKey 中看見憑證。
- 如果未在使用者按一下 [使用憑證或智慧卡] 之前插入 YubiKey,系統會要求該使用者在裝置上的憑證或實體智慧卡上的憑證之間進行選擇。 如果使用者選擇 [裝置上的憑證],則會向該使用者顯示裝置上的憑證。 如果使用者選擇 [實體智慧卡上的憑證],則要插入或握持 YubiKey 到背面,系統會向使用者顯示 YubiKey 中的憑證。
我的 YubiKey 在錯誤輸入 PIN 三次後遭到鎖定。 如何修正?
- 使用者應該會看到一個對話方塊,通知您已嘗試輸入太多次 PIN。 在後續嘗試選取 [使用憑證或智慧卡] 時,也會快顯此對話方塊。
- 使用者應該連絡系統管理員重設 YubiKey PIN。
我已安裝 Microsoft Authenticator,但仍看不到使用 YubiKey 進行憑證式驗證的選項。
安裝 Microsoft Authenticator 之前,先解除安裝公司入口網站,然後在 Microsoft Authenticator 安裝之後加以安裝。
Microsoft Entra CBA 是否支援透過 NFC 的 YubiKey?
Microsoft Entra CBA 支援使用 USB 和 NFC 的 YubiKey。
一旦 CBA 失敗,在錯誤分頁上的 [其他登入方式] 連結中再次按一下 CBA 選項將會失敗。
此問題是憑證快取導致的。 因應措施是按一下 [取消] 並重新啟動登入流程,讓使用者選擇新憑證並成功登入。
使用 YubiKey 進行 Microsoft Entra CBA 會失敗。 哪些資訊有助於對問題進行偵錯?
- 開啟 Microsoft Authenticator 應用程式,按一下右上角的三個點圖示,並選取 [傳送意見反應]。
- 按一下 [有任何問題嗎?]。
- 針對 [選取選項],選取 [新增或登入帳戶]。
- 描述您想要新增的任何詳細資料。
- 按一下右上角的傳送箭號。 請記下所出現對話方塊中提供的代碼。