Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo argomento tratta il supporto di Microsoft Entra all'autenticazione basata su certificati (CBA) per i dispositivi macOS e iOS.
Microsoft Entra autenticazione basata su certificati sui dispositivi macOS
I dispositivi che eseguono macOS possono usare CBA per eseguire l'autenticazione con Microsoft Entra ID usando il certificato client X.509. Microsoft Entra CBA è supportato con certificati su dispositivo e chiavi di sicurezza esterne protette da hardware. Su macOS, Microsoft Entra CBA è supportato in tutti i browser e nelle applicazioni proprietarie Microsoft.
Browser supportati da macOS
| Bordo | Cromo | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Accesso al dispositivo macOS con Microsoft Entra CBA
Microsoft Entra CBA attualmente non è supportato per l'autenticazione basata su dispositivo sui computer macOS. Il certificato usato per accedere al dispositivo può essere lo stesso certificato usato per eseguire l'autenticazione per Microsoft Entra ID da un browser o da un'applicazione desktop, ma l'accesso al dispositivo stesso non è ancora supportato per Microsoft Entra ID.
Microsoft Entra autenticazione basata su certificati sui dispositivi iOS
I dispositivi che eseguono iOS possono usare l'autenticazione basata su certificati (CBA) per eseguire l'autenticazione a Microsoft Entra ID usando un certificato client nel dispositivo durante la connessione a:
- Applicazioni per dispositivi mobili di Office, ad esempio Microsoft Outlook e Microsoft Word
- client Exchange ActiveSync (EAS)
Microsoft Entra CBA è supportato per i certificati sui dispositivi nei browser nativi e nelle applicazioni proprietarie di Microsoft su dispositivi iOS.
Prerequisiti
- La versione di iOS deve essere iOS 9 o successiva.
- Microsoft Authenticator o portale aziendale è necessario per le applicazioni proprietarie.
Supporto per i certificati sul dispositivo e l'archiviazione esterna
I certificati sono forniti sul dispositivo. I clienti possono usare Mobile Gestione dispositivi (MDM) per effettuare il provisioning dei certificati nel dispositivo. Poiché iOS non supporta chiavi protette dall'hardware predefinite, i clienti possono usare dispositivi di archiviazione esterni per i certificati.
Piattaforme supportate
- Sono supportati solo i browser nativi
- Le applicazioni che usano le librerie MSAL più recenti o Microsoft Authenticator possono eseguire CBA
- Edge con profilo, quando gli utenti aggiungono un account ed eseguono l'accesso a un profilo che supporta l'autenticazione basata su certificato (CBA)
- Applicazioni di prima parte Microsoft con le librerie MSAL più recenti o Microsoft Authenticator sono in grado di eseguire CBA
Browser
| Bordo | Cromo | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
supporto delle applicazioni per dispositivi mobili Microsoft
| Applicazioni | Supporto tecnico |
|---|---|
| Azure Information Protection app | ✅ |
| Portale Aziendale | ✅ |
| Microsoft Teams | ✅ |
| Office (per dispositivi mobili) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
Supporto per i client di Exchange ActiveSync
In iOS 9 o versioni successive è supportato il client di posta iOS nativo.
Per determinare se l'applicazione di posta elettronica supporta Microsoft Entra CBA, contattare lo sviluppatore dell'applicazione.
Supporto per i certificati nella chiave di sicurezza hardware
È possibile effettuare il provisioning dei certificati in dispositivi esterni come le chiavi di sicurezza hardware insieme a un PIN per proteggere l'accesso alle chiavi private. La soluzione basata su certificati mobili di Microsoft abbinata alle chiavi di sicurezza hardware è un metodo di autenticazione a più fattori semplice, comodo e certificato FIPS resistente al phishing.
Per quanto riguarda iOS 16/iPadOS 16.1, i dispositivi Apple forniscono supporto nativo per i driver per smart card conformi connesse tramite USB-C o Lightning. Ciò significa che i dispositivi Apple in iOS 16/iPadOS 16.1 vedono un dispositivo conforme a USB-C o Lightning connesso CCID come smart card senza l'uso di driver aggiuntivi o app di terze parti. Microsoft Entra CBA funziona con smart card CCID-compliant collegate tramite USB-A, USB-C o Lightning.
Vantaggi dei certificati sulla chiave di sicurezza hardware
Chiavi di sicurezza con certificati:
- Può essere usato in qualsiasi dispositivo e non è necessario eseguire il provisioning di un certificato in ogni dispositivo di cui dispone l'utente
- Sono protetti dall'hardware con un PIN, che li rende resistenti al phishing
- Fornire l'autenticazione a più fattori con un PIN come secondo fattore per accedere alla chiave privata del certificato
- Soddisfare i requisiti del settore per l'autenticazione a più fattori in un dispositivo separato
- Assistenza per garantire la compatibilità futura in cui è possibile archiviare più credenziali, incluse le chiavi FIDO2 (Fast Identity Online 2)
Microsoft Entra CBA su dispositivi mobili iOS con YubiKey
Anche se il driver Smartcard/CCID nativo è disponibile in iOS/iPadOS per smart card conformi a Lightning CCID, il connettore YubiKey 5Ci Lightning non è considerato una smart card connessa su questi dispositivi senza l'uso di middleware PIV (Personal Identity Verification) come Yubico Authenticator.
Prerequisito di registrazione una tantum
- Avere un YubiKey abilitato per PIV con un certificato smart card già installato su di esso.
- Scaricare l'app Yubico Authenticator per iOS nell'iPhone con v14.2 o versione successiva
- Aprire l'app, inserire YubiKey o toccare nfc (Near Field Communication) e seguire la procedura per caricare il certificato nel keychain iOS
Passaggi per testare YubiKey nelle app Microsoft in dispositivi mobili iOS
- Installare l'app Microsoft Authenticator più recente.
- Aprire Outlook e collegare YubiKey.
- Selezionare Aggiungi account e inserire il nome dell'entità utente (UPN).
- Selezionare Continua e il selettore di certificati iOS appare.
- Selezionare il certificato pubblico copiato da YubiKey associato all'account dell'utente.
- Selezionare YubiKey obbligatorio per aprire l'app di autenticazione YubiKey.
- Immettere il PIN per accedere a YubiKey e selezionare il pulsante Indietro nell'angolo superiore sinistro.
L'utente dovrebbe essere autenticato con successo e reindirizzato automaticamente alla pagina iniziale di Outlook.
Risolvere i problemi relativi ai certificati nella chiave di sicurezza hardware
Cosa accade se l'utente dispone di certificati sia nel dispositivo iOS che in YubiKey?
La selezione certificati iOS mostra tutti i certificati nel dispositivo iOS e quelli copiati da YubiKey nel dispositivo iOS. A seconda delle scelte dell'utente del certificato, l'utente può essere portato all'autenticatore YubiKey per immettere un PIN o autenticato direttamente.
Il mio YubiKey è bloccato dopo aver digitato erroneamente il PIN 3 volte. Come si risolve il problema?
- Gli utenti dovrebbero visualizzare una finestra di dialogo che informa che sono stati eseguiti troppi tentativi di PIN. Questa finestra di dialogo viene visualizzata anche durante i tentativi successivi di selezionare Usa certificato o smart card.
- YubiKey Manager può reimpostare il PIN di YubiKey.
Dopo il fallimento del CBA, anche l'opzione CBA nel link "Altri modi per accedere" fallisce. Esiste una soluzione alternativa?
Questo problema si verifica a causa della memorizzazione nella cache dei certificati. Si sta lavorando a un aggiornamento per cancellare la cache. Come soluzione alternativa, selezionare Annulla, riprovare l'accesso e scegliere un nuovo certificato.
Microsoft Entra CBA con YubiKey è fallito. Quali informazioni consentono di eseguire il debug del problema?
- Aprire Microsoft Authenticator'app, selezionare l'icona a tre puntini nell'angolo superiore destro e selezionare Send Feedback.
- Selezionare Hai problemi?.
- Per Selezionare un'opzione selezionare Aggiungi o accedi a un account.
- Descrivere i dettagli da aggiungere.
- Selezionare la freccia di invio nell'angolo superiore destro. Prendere nota del codice fornito nella finestra di dialogo visualizzata.
Come è possibile applicare mfa resistenti al phishing usando una chiave di sicurezza hardware nelle applicazioni basate su browser su dispositivi mobili?
L'autenticazione basata su certificati e la funzionalità di forza dell'autenticazione con accesso condizionale rendono potente per i clienti applicare le esigenze di autenticazione. Edge come profilo (aggiunta di un account) funziona con una chiave di sicurezza hardware come YubiKey e una politica di accesso condizionale con capacità di autenticazione forte può applicare l'autenticazione resistente al phishing con CBA.
Il supporto CBA per YubiKey è disponibile nelle librerie di Libreria di Autenticazione Microsoft (MSAL) più recenti e in qualsiasi applicazione di terze parti che integra la versione più recente di MSAL. Tutte le applicazioni Microsoft di prima parte possono usare il livello di attendibilità dell'autenticazione con Accesso Condizionale e CBA.
Sistemi operativi supportati
| Sistema operativo | Certificato sul dispositivo/PIV derivato | Smart card/Chiavi di sicurezza |
|---|---|---|
| Ios | ✅ | Solo fornitori supportati |
Browser compatibili
| Sistema operativo | Certificato Chrome nel dispositivo | Smart card/chiave di sicurezza chrome | Certificato Safari nel dispositivo | Smart card/chiave di sicurezza di Safari | Certificato Edge nel dispositivo | Scheda intelligente Edge/chiave di sicurezza |
|---|---|---|---|---|---|---|
| Ios | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Fornitori di chiavi di sicurezza
| Fornitore | Ios |
|---|---|
| YubiKey | ✅ |
Passaggi successivi
- Panoramica di Microsoft Entra CBA
- Approfondimento tecnico per Microsoft Entra CBA
- Come configurare Microsoft Entra CBA
- Elenco delle liste di revoca dei certificati di Microsoft Entra CBA
- Microsoft Entra CBA su dispositivi Android
- Accesso con smart card Windows usando Microsoft Entra CBA
- ID utente certificato
- Come eseguire la migrazione di utenti federati
- Domande frequenti
- Elenco delle liste di revoca dei certificati di Microsoft Entra CBA
- Microsoft Entra CBA su dispositivi Android
- Accesso con smart card Windows usando Microsoft Entra CBA
- ID utente certificato
- Come eseguire la migrazione di utenti federati
- Domande frequenti