Microsoft透過裝置上佈建的憑證和 YubiKeys 等外部安全性密鑰支援 Entra 憑證型驗證。
先決條件
- Android 版本必須是 Android 5.0 (Lollipop) 或更新版本。
- Microsoft 使用最新 MSAL 程式庫或 Microsoft Authenticator 的第一方應用程式可以執行 CBA。
- 使用最新的 MSAL 套件庫或整合了 Microsoft Authenticator 的第三方應用程式可以執行 CBA。
在裝置上使用憑證進行認證的 CBA(憑證基礎驗證)
客戶可以使用他們選擇的行動裝置管理 (MDM) 在裝置上布建憑證。 終端用戶必須先向 MDM 註冊其裝置,並取得裝置上布建的憑證。 在裝置上布建憑證之後,使用者就可以使用CBA進行驗證。
在 Android 上的 Microsoft 應用程式上測試 YubiKey 的步驟:
- 開啟 Outlook。
- 選取 新增帳戶,然後輸入您的用戶主體名稱(UPN)。
- 按一下 繼續。
- 選取 使用憑證或智慧卡。
- 在對話框中選取 裝置上的 [ 憑證]。**
- 憑證選擇器隨即出現。
- 選取與用戶帳戶相關聯的憑證。 按一下 繼續。
- 如果驗證成功,則允許使用者存取 Outlook 資源。
具有硬體安全性金鑰憑證的 CBA
憑證可以在外部裝置中佈建,例如硬體安全性密鑰以及 PIN 來保護私鑰存取。 Microsoft Entra ID 支援使用 YubiKey 的 CBA(憑證基礎認證)。
硬體安全性金鑰憑證的優點
具有憑證的安全性金鑰:
- 具有安全性密鑰的漫遊本質,可讓使用者在不同的裝置上使用相同的憑證。
- 使用 PIN 進行硬體保護,使其具有網路釣魚防護功能。
- 使用 PIN 提供多重要素驗證作為存取憑證私鑰的第二個因素。
- 滿足業界在單獨裝置上使用多重因素身份驗證的需求。
- 支援未來功能,可儲存多個憑證,包括Fast Identity Online 2(FIDO2)密鑰。
在 Android 行動裝置上使用 Microsoft Entra CBA 和 YubiKey
Android 需要中間件應用程式,才能支援帶有憑證的智慧卡或安全密鑰。 為了支援 Microsoft Entra CBA 的 YubiKeys,YubiKey Android SDK 已整合至 Microsoft Broker 的程式碼中,並可透過最新的 Microsoft 驗證庫(MSAL)來加以使用。
由於 Microsoft Entra CBA 在 Android 智慧型手機上可以透過最新的 MSAL 啟用,因此不需要使用 YubiKey Authenticator 應用程式來支援 Android。
在 Android 上的 Microsoft 應用程式上測試 YubiKey 的步驟:
- 安裝 Microsoft Authenticator。
- 如果您的 YubiKey 具有 USB-C,請開啟 Outlook 並插入您的 YubiKey。
- 選取 新增帳戶,然後輸入您的用戶主體名稱(UPN)。
- 按一下 [繼續],當系統要求允許存取您的 YubiKey 時,按一下 [確定]。
- 選取 使用憑證或智慧卡。
- 如果您在使用具備 NFC 功能的 Yubikey,請將 Yubikey 貼近裝置背面。
- 自定義憑證選擇器隨即出現。
- 選取與使用者帳戶相關聯的憑證,然後按 繼續。
- 輸入 PIN 以存取 YubiKey,然後選取 [[解除鎖定]。
- 如果您使用具有 NFC 的 Yubikey,請再次將 Yubikey 按住手機背面,以驗證 PIN。
- 驗證成功之後,您可以存取 Outlook。
注意
如需順暢的 CBA 流程,請在應用程式開啟後立即插入 YubiKey,然後接受 YubiKey 的同意對話框,再選取連結 使用憑證或智慧卡。 如果您想要只體驗單一連線,請考慮讓使用者使用USB而不是NFC來插入YubiKey,這只需要在登入開始時完成一次。
支援 Exchange ActiveSync 用戶端
支援 Android 5.0 (Lollipop) 或更新版本上的某些 Exchange ActiveSync 應用程式。 若要判斷電子郵件應用程式是否支援 Microsoft Entra CBA,請連絡您的應用程式開發人員。
支援的 Microsoft Entra 使用案例
Microsoft行動應用程式支援
| 應用 | 支援 |
|---|---|
| Azure 資訊保護應用程式 | ✅ |
| 公司入口網站 | ✅ |
| Microsoft 團隊 | ✅ |
| Office (行動裝置) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| 展望 | ✅ |
| Power BI | ✅ |
| 商務用 Skype | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| 可登入個人帳戶的Edge瀏覽器 | ✅ |
| 受控主畫面 | ✅ |
注意
在 Kiosk 模式的 Android 裝置上使用 Microsoft Entra 憑證型驗證時 (在共用裝置模式中常見) ,客戶應該允許將 com.android.systemui 列為必要套件,以確保他們看到適當的 UI 來完成驗證。
瀏覽器
| 操作系統 | 裝置上的 Chrome 憑證 | Chrome 智慧卡/安全性密鑰 | 裝置上的Safari憑證 | Safari 智慧卡/安全性密鑰 | 裝置上的Edge憑證 | Edge 智慧卡/安全性密鑰 |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | N/A | N/A | ✅ | ❌ |
注意
雖然 Edge 作為瀏覽器不受支援,但 Edge 作為設定檔(用於帳戶登入)是支援 Android 上 CBA 的 MSAL 應用程式。
操作系統
| 操作系統 | 裝置內的憑證/衍生 PIV | 智慧卡/安全性金鑰 |
|---|---|---|
| Android | ✅ | 僅支援經認可的廠商 |
安全性金鑰提供者
| 供應商 | Android |
|---|---|
| YubiKey | ✅ |
針對硬體安全性金鑰上的憑證進行疑難解答
如果使用者在Android裝置和YubiKey上都有憑證,會發生什麼事?
- 如果使用者在Android裝置和YubiKey上都有憑證,則如果在使用者點選[使用憑證或智慧卡]之前已插入YubiKey,則在YubiKey中顯示的會是YubiKey上的憑證。
- 如果使用者按兩下 [使用憑證] 或 [智慧卡]之前未插入 YubiKey,系統會要求使用者在裝置或實體智慧卡上選取憑證。 如果使用者在裝置 上選擇 [憑證],則會顯示該裝置上的憑證。 如果使用者選擇智慧卡上的 憑證,請將 YubiKey 插入或放在設備背面,然後使用者會看到 YubiKey 中的憑證。
我的 YubiKey 在輸入 PIN 三次後被鎖定。 如何修正此問題?
- 用戶應該會看到一個對話框,告知您已嘗試了過多次的 PIN 碼。 在後續嘗試選取 使用憑證或智慧卡時,此對話方塊也會彈出。
- 用戶應該連絡系統管理員重設YubiKey PIN。
我已安裝Microsoft驗證器,但仍看不到使用 YubiKey 執行憑證式驗證的選項。
在安裝 Microsoft Authenticator 之前,請先卸載公司入口網站,並在Microsoft Authenticator 安裝之後加以安裝。
Microsoft Entra CBA 是否透過 NFC 支援 YubiKey?
Microsoft Entra CBA 支援使用 YubiKey,並搭配 USB 和 NFC。
CBA 失敗后,在錯誤頁面上的 [其他登入方式] 連結中再次按下 CBA 選項會失敗。
此問題由於憑證快取而發生。 因應措施是,按兩下 [取消] 並重新啟動登入流程,可讓用戶選擇新的憑證並成功登入。
Microsoft使用 YubiKey 的 Entra CBA 失敗。 哪些資訊有助於對問題進行偵錯?
- 開啟 Microsoft Authenticator 應用程式,按下右上角的三個點圖示,然後選取 [傳送意見反應] 。
- 點擊 發生問題嗎?。
- 針對 選擇一個選項,選擇 新增或登入帳戶。
- 描述您想要新增的任何詳細數據。
- 按兩下右上角的 [傳送] 箭號。 記下出現的對話框中所提供的程序代碼。