Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом разделе рассматривается поддержка Microsoft Entra для проверки подлинности на основе сертификатов (CBA) на устройствах macOS и iOS.
Microsoft Entra аутентификация на основе сертификатов на устройствах под управлением macOS
Устройства под управлением macOS могут использовать CBA для проверки подлинности с Microsoft Entra ID с использованием клиентского сертификата X.509. Microsoft Entra CBA поддерживается с сертификатами на устройстве и внешними защищенными аппаратными ключами безопасности. В macOS Microsoft Entra CBA поддерживается во всех браузерах и собственных приложениях Майкрософт.
Браузеры, поддерживаемые в macOS
| Microsoft Edge | Хром | Сафари | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Вход в устройство macOS с использованием Microsoft Entra CBA
Microsoft Entra CBA сегодня не поддерживается для устройство-ориентированной аутентификации на компьютерах macOS. Сертификат, используемый для входа на устройство, может быть тем же, что и сертификат, применяемый для аутентификации в Microsoft Entra ID через браузер или настольное приложение, но сама функция входа на устройство пока не поддерживается в Microsoft Entra ID.
Аутентификация на основе сертификатов Microsoft Entra на устройствах iOS
Устройства под управлением iOS могут использовать проверку подлинности на основе сертификатов (CBA) для проверки подлинности для Microsoft Entra ID с помощью сертификата клиента на устройстве при подключении к:
- Мобильные приложения Office, такие как Microsoft Outlook и Microsoft Word
- клиенты Exchange ActiveSync (EAS)
Поддержка Microsoft Entra CBA реализована для сертификатов на устройствах во встроенных браузерах и первосторонних приложениях Майкрософт на устройствах iOS.
Предварительные условия
- Версия iOS должна быть iOS 9 или более поздней.
- для сторонних приложений требуется Microsoft Authenticator или корпоративный портал.
Поддержка сертификатов на устройстве и внешнего хранилища
Сертификаты устанавливаются на устройстве. Клиенты могут использовать Управление мобильными устройствами (MDM) для передачи сертификатов на устройство. Так как iOS не поддерживает аппаратные защищенные ключи из коробки, клиенты могут использовать внешние устройства хранения для сертификатов.
Поддерживаемые платформы
- Поддерживаются только собственные браузеры
- Приложения с использованием последних библиотек MSAL или Microsoft Authenticator могут выполнять CBA
- Edge с профилем, когда пользователи добавляют учетную запись и входят в профиль с поддержкой CBA
- Майкрософт сторонние приложения с последними библиотеками MSAL или Microsoft Authenticator могут выполнять CBA
Браузеры
| Microsoft Edge | Хром | Сафари | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
поддержка мобильных приложений Майкрософт
| Приложения | Поддержка |
|---|---|
| приложение Azure Information Protection | ✅ |
| Портал компании | ✅ |
| Microsoft Teams | ✅ |
| Офис (мобильный) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Поддержка клиентов Exchange ActiveSync
В iOS версии 9 и выше поддерживается собственный почтовый клиент iOS.
Чтобы определить, поддерживает ли ваше почтовое приложение Microsoft Entra CBA, обратитесь к разработчику приложения.
Поддержка сертификатов на аппаратном ключе безопасности
Сертификаты могут быть размещены на внешних устройствах, таких как аппаратные ключи безопасности, вместе с ПИН-кодом для защиты доступа к закрытому ключу. решение Майкрософт на основе мобильных сертификатов в сочетании с аппаратными ключами безопасности — это простой, удобный метод MFA, сертифицированный по стандартам FIPS (Федеральные стандарты обработки информации), устойчивый к фишингу.
Что касается iOS 16/iPadOS 16.1, устройства Apple обеспечивают поддержку собственного драйвера для смарт-карт, совместимых с USB-C или Lightning, совместимых с CCID. Это означает, что устройства Apple на iOS 16/iPadOS 16.1 видят устройство, совместимое с USB-C или Lightning, как смарт-карту без использования дополнительных драйверов или сторонних приложений. Microsoft Entra CBA поддерживает смарт-карты, подключенные через USB-A, USB-C или Lightning и совместимые с CCID.
Преимущества сертификатов на аппаратном ключе безопасности
Ключи безопасности с сертификатами:
- Можно использовать на любом устройстве и не требуется подготавливать сертификат для каждого устройства.
- Устройства защищены аппаратно с помощью ПИН-кода, что делает их защищенными от фишинга.
- Предоставление многофакторной проверки подлинности с помощью ПИН-кода в качестве второго фактора для доступа к закрытому ключу сертификата
- Удовлетворение требований отрасли к многофакторной аутентификации на отдельном устройстве
- Помощь в обеспечении надежности в будущем для хранения нескольких учетных данных, включая ключи Fast Identity Online 2 (FIDO2)
Microsoft Entra CBA на мобильных устройствах iOS с YubiKey
Несмотря на то, что собственный драйвер Smartcard/CCID доступен в iOS/iPadOS для смарт-карт, совместимых с CCID и подключаемых через Lightning, соединитель YubiKey 5Ci Lightning не определяется как подключенная смарт-карта на этих устройствах без использования промежуточного программного обеспечения PIV (проверка личных удостоверений), например, Yubico Authenticator.
Предварительные требования для однократной регистрации
- У вас есть PIV-ключ YubiKey с сертификатом смарт-карты, установленным на нём.
- Скачайте приложение Yubico Authenticator для iOS на iPhone с версией 14.2 или более поздней версии.
- Откройте приложение, вставьте YubiKey или коснитесь поля ближней связи (NFC) и выполните шаги для загрузки сертификата в хранилище ключей iOS.
Действия по тестированию YubiKey на Майкрософт приложениях на мобильных устройствах iOS
- Установите последнее Microsoft Authenticator приложение.
- Откройте Outlook и подключитесь к YubiKey.
- Выберите "Добавить учетную запись " и введите имя участника-пользователя (UPN).
- Выберите Продолжить и появится средство выбора сертификатов iOS.
- Выберите общедоступный сертификат, скопированный из YubiKey, связанный с учетной записью пользователя.
- Выберите YubiKey, требуемый, чтобы открыть приложение для аутентификации YubiKey.
- Введите ПИН-код для доступа к YubiKey и нажмите кнопку "Назад" в левом верхнем углу.
Пользователь должен успешно войти и перенаправляться на домашнюю страницу Outlook.
Устранение неполадок сертификатов на аппаратном ключе безопасности
Что произойдет, если у пользователя есть сертификаты на устройстве iOS и YubiKey?
Средство выбора сертификатов iOS отображает все сертификаты на устройстве iOS и те, которые скопированы из YubiKey на устройство iOS. В зависимости от того, какой сертификат пользователь выбирает, они могут быть перенаправлены в приложение YubiKey Authenticator для ввода ПИН-кода или пройти проверку подлинности напрямую.
My YubiKey заблокирован после неправильного ввода ПИН-кода 3 раза. Как это исправить?
- Пользователи должны увидеть диалоговое окно с сообщением о том, что было выполнено слишком много попыток ПИН-кода. Это диалоговое окно также отображается во время последующих попыток выбора сертификата или смарт-карты.
- Менеджер YubiKey может восстановить PIN-код YubiKey.
После сбоя CBA опция CBA в ссылке "Другие способы входа" также не работает. Существует ли обходное решение?
Эта проблема возникает из-за кэширования сертификатов. Мы работаем над обновлением, чтобы очистить кэш. В качестве обходного решения выберите Отмена, повторите вход и выберите новый сертификат.
Microsoft Entra CBA с YubiKey завершается ошибкой. Какие сведения помогут отладить проблему?
- Откройте приложение Microsoft Authenticator, щелкните значок трех точек в правом верхнем углу и выберите Send Feedback.
- Выберите Есть проблемы?.
- Для выбора параметра нажмите кнопку "Добавить или войти в учетную запись".
- Описать все сведения, которые вы хотите добавить.
- Щелкните стрелку отправки в правом верхнем углу. Обратите внимание на код, указанный в появившемся диалоговом окне.
Как применить фишинго-устойчивый MFA с помощью аппаратного ключа безопасности в приложениях на основе браузера на мобильных устройствах?
Возможности сертификатной аутентификации и способности аутентификации для условного доступа делают их мощными инструментами для клиентов, чтобы применять требования к проверке подлинности. В Edge в режиме профиля (добавление учетной записи) можно использовать аппаратный ключ безопасности, такой как YubiKey, а политика условного доступа с возможностью повышения надежности аутентификации может обеспечивать защиту от фишинга с помощью основанной на аттестации аутентификации (CBA).
Поддержка CBA для YubiKey доступна в последних библиотеках Microsoft Authentication Library (MSAL) и любом стороннем приложении, которое интегрирует последние MSAL. Все Майкрософт сторонние приложения могут использовать возможности проверки подлинности CBA и условного доступа.
Поддерживаемые операционные системы
| Операционная система | Сертификат на устройстве или производный PIV | Смарт-карты и ключи безопасности |
|---|---|---|
| iOS | ✅ | Только поддерживаемые поставщики |
Поддерживаемые браузеры
| Операционная система | Сертификат Chrome на устройстве | Смарт-карта и ключ безопасности Chrome | Сертификат Safari на устройстве | Смарт-карта и ключ безопасности Safari | Сертификат edge-устройства на устройстве | Edge смарт-карта / ключ безопасности |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Поставщики ключей безопасности
| Поставщик | iOS |
|---|---|
| YubiKey | ✅ |
Следующие шаги
- Обзор Microsoft Entra CBA
- Техническое подробное погружение в Microsoft Entra CBA
- How to configure Microsoft Entra CBA
- Список отзыва сертификатов CBA Microsoft Entra
- Microsoft Entra CBA на устройствах Android
- Windows вход с помощью смарт-карты с использованием Microsoft Entra сертификационной аутентификации
- Идентификаторы пользователей сертификата
- Как перенести федеративных пользователей
- Вопросы и ответы
- Список отзыва сертификатов CBA Microsoft Entra
- Microsoft Entra CBA на устройствах Android
- Windows вход с помощью смарт-карты с использованием Microsoft Entra сертификационной аутентификации
- Идентификаторы пользователей сертификата
- Как перенести федеративных пользователей
- Вопросы и ответы