Zertifikatbasierte Microsoft Entra-Authentifizierung auf Android-Geräten mit iOS oder macOS

In diesem Thema wird die Unterstützung der zertifikatbasierten Authentifizierung (Certificate-Based Authentication, CBA) von Microsoft Entra für macOS- und iOS-Geräte behandelt.

Zertifikatbasierte Microsoft Entra-Authentifizierung auf macOS-Geräten

Geräte mit macOS können CBA verwenden, um sich mit ihrem X.509-Clientzertifikat bei Microsoft Entra ID zu authentifizieren. Microsoft Entra-CBA wird mit Zertifikaten auf dem Gerät und mit externen, durch Hardware geschützten Sicherheitsschlüsseln unterstützt. Unter macOS wird Microsoft Entra-CBA für alle Browser und Microsoft-Erstanbieteranwendungen unterstützt.

Unter macOS unterstützte Browser

Microsoft Edge Chrome Safari Firefox

macOS-Geräteanmeldung mit Microsoft Entra-CBA

Microsoft Entra-CBA wird derzeit nicht für die gerätebasierte Anmeldung bei macOS-Computern unterstützt. Das für die Anmeldung beim Gerät verwendete Zertifikat kann das gleiche Zertifikat sein, das für die Authentifizierung bei Microsoft Entra ID über einen Browser oder über eine Desktopanwendung verwendet wird. Die Geräteanmeldung selbst wird jedoch noch nicht mit Microsoft Entra ID unterstützt. 

Zertifikatbasierte Microsoft Entra-Authentifizierung auf iOS-Geräten

Geräte mit iOS können für die Authentifizierung bei Microsoft Entra ID die zertifikatbasierte Authentifizierung verwenden, indem auf den Geräten beim Herstellen einer Verbindung mit folgenden Anwendungen oder Clients ein Clientzertifikat verwendet wird:

  • Mobile Office-Anwendungen wie Microsoft Outlook und Microsoft Word
  • Exchange ActiveSync-Clients (EAS)

Die zertifikatbasierte Microsoft Entra-Authentifizierung wird für Zertifikate auf dem Gerät in nativen Browsern sowie in Microsoft-Erstanbieteranwendungen auf iOS-Geräten unterstützt.

Voraussetzungen

  • Die Betriebssystemversion muss mindestens iOS 9 sein.
  • Für Office-Anwendungen und Outlook unter iOS ist Microsoft Authenticator erforderlich.

Unterstützung für On-Device-Zertifikate und externen Speicher

On-Device-Zertifikate werden auf dem Gerät bereitgestellt. Kunden können die mobile Geräteverwaltung (Mobile Device Management, MDM) verwenden, um die Zertifikate auf dem Gerät bereitzustellen. Da iOS keine standardmäßig verfügbaren, hardwaregeschützten Schlüssel unterstützt, können Kunden externe Speichergeräte für Zertifikate verwenden.

Unterstützte Plattformen

  • Nur native Browser werden unterstützt
  • Anwendungen mit den aktuellen MSAL-Bibliotheken oder Microsoft Authenticator können die zertifikatbasierte Authentifizierung (CBA) verwenden
  • Edge mit Profil unterstützt die CBA, wenn Benutzer ein Konto hinzufügen und in einem Profil angemeldet sind
  • Microsoft-Erstanbieter-Apps mit den aktuellen MSAL-Bibliotheken oder Microsoft Authenticator können die zertifikatbasierte Authentifizierung (CBA) verwenden

Browsers

Microsoft Edge Chrome Safari Firefox

Unterstützung mobiler Microsoft-Anwendungen

Anwendungen Support
Azure Information Protection-App
Unternehmensportal
Microsoft Teams
Office (Mobil)
OneNote
OneDrive
Outlook
Power BI
Skype for Business
Word/Excel/PowerPoint
Yammer

Unterstützung von Exchange ActiveSync-Clients

Unter iOS 9 oder höher wird der native iOS-E-Mail-Client unterstützt.

Wenden Sie sich an den Entwickler bzw. an die Entwicklerin der Anwendung, um zu erfahren, ob Ihre E-Mail-Anwendung die zertifikatbasierte Microsoft Entra-Authentifizierung unterstützt.

Unterstützung für Zertifikate auf einem Hardwaresicherheitsschlüssel

Zertifikate können auf externen Geräten wie etwa einem Hardwaresicherheitsschlüssel zusammen mit einer PIN bereitgestellt werden, um den Zugriff auf private Schlüssel zu schützen. Die mobile zertifikatbasierte Lösung von Microsoft in Verbindung mit Hardwaresicherheitsschlüsseln ist eine einfache, bequeme, FIPS-zertifizierte (Federal Information Processing Standard), phishing-resistente MFA-Methode.

Wie für iOS 16/iPadOS 16.1 bieten Apple-Geräte native Treiberunterstützung für CCID-konforme Smartcards, die via USB-C oder Lightning verbunden sind. Dies bedeutet, dass Apple-Geräte unter iOS 16/iPadOS 16.1 ein CCID-konformes Gerät, das via USB-C oder Lightning verbunden ist, als Smartcard erkennen, ohne die Verwendung zusätzlicher Treiber oder Drittanbieter-Apps. Microsoft Entra-CBA funktioniert auf diesen via USB-A, USB-C oder Lightning verbundenen CCID-konformen Smartcards.

Vorteile von Zertifikaten auf Hardwaresicherheitsschlüsseln

Sicherheitsschlüssel mit Zertifikaten:

  • Sie können auf jedem Gerät verwendet werden, und es muss kein Zertifikat auf jedem einzelnen Benutzergerät bereitgestellt werden.
  • Sie sind hardwareseitig durch eine PIN geschützt, was sie widerstandsfähiger gegen Phishing macht.
  • Sie stellen eine Multi-Faktor-Authentifizierung mit einer PIN als zweitem Faktor für den Zugriff auf den privaten Schlüssel des Zertifikats bereit.
  • Durch die Installation der Multi-Faktor-Authentifizierung auf einem separaten Gerät wird die entsprechende Branchenanforderung erfüllt
  • Sie sind zukunftssicher, da mehrere Berechtigungsnachweise gespeichert werden können, darunter auch FIDO2-Schlüssel (Fast Identity Online 2).

Microsoft Entra-CBA auf iOS-Mobilgeräten mit YubiKey

Obwohl der native Smartcard/CCID-Treiber unter iOS/iPadOS für CCID-konforme Smartcards verfügbar ist, die via Lightning verbunden sind, wird der YubiKey 5Ci Lightning-Connector ohne die Verwendung von PIV (Personal Identity Verification)-Middleware wie dem Yubico-Authenticator auf diesen Geräten nicht als verbundene Smartcard erkannt.

Voraussetzung für die einmalige Registrierung

  • Sie benötigen einen PIV-fähigen YubiKey, auf dem ein Smartcardzertifikat bereitgestellt ist.
  • Laden Sie die Yubico Authenticator für iOS-App auf Ihr iPhone mit v14.2 oder höher herunter.
  • Öffnen Sie die App, stecken Sie den YubiKey ein oder tippen Sie auf die Nahfeldkommunikation (NFC) und folgen Sie den Schritten, um das Zertifikat in den iOS-Schlüsselbund hochzuladen.

Schritte zum Testen des YubiKey in Microsoft-Apps auf iOS-Mobilgeräten:

  1. Installieren Sie die neueste Microsoft Authenticator-App.
  2. Öffnen Sie Outlook, und stecken Sie Ihren YubiKey ein.
  3. Wählen Sie Konto hinzufügen aus, und geben Sie Ihren Benutzerprinzipalnamen (UPN) ein.
  4. Klicken Sie auf Weiter, und die iOS-Zertifikatauswahl erscheint.
  5. Wählen Sie das öffentliche, vom YubiKey kopierte Zertifikat aus, das mit dem Benutzerkonto verknüpft ist.
  6. Klicken Sie auf YubiKey erforderlich, um die YubiKey Authenticator-App zu öffnen.
  7. Geben Sie die PIN ein, um auf den YubiKey zuzugreifen, und wählen Sie in der oberen linken Ecke die Schaltfläche „Zurück“ aus.

Der Benutzer sollte erfolgreich angemeldet und zur Outlook-Startseite weitergeleitet werden.

Problembehandlung bei Zertifikaten auf Hardwaresicherheitsschlüsseln

Was geschieht, wenn sowohl auf dem iOS-Gerät als auch auf dem YubiKey des Benutzers Zertifikate vorhanden sind?

Die iOS-Zertifikatsauswahl zeigt alle Zertifikate sowohl auf dem iOS-Gerät wie auch diejenigen an, die vom YubiKey auf das iOS-Gerät kopiert wurden. Je nachdem, welches Zertifikat der Benutzer auswählt, wird er entweder zum YubiKey-Authentifikator weitergeleitet, um seine PIN einzugeben, oder direkt authentifiziert.

Mein YubiKey ist nach dreimaliger Falscheingabe der PIN gesperrt. Wie behebe ich das Problem?

  • Die Benutzer sollten in einem Dialogfeld darüber informiert werden, dass zu viele PIN-Eingabeversuche unternommen wurden. Dieses Dialogfeld wird auch bei späteren Versuchen angezeigt, Zertifikat oder Smartcard verwenden auszuwählen.
  • Der YubiKey Manager kann die PIN eines YubiKey zurücksetzen.

Dieses Problem tritt aufgrund der Zwischenspeicherung von Zertifikaten auf. Wir arbeiten an einem Update, um den Cache zu löschen. Klicken Sie als Problemumgehung auf Abbrechen, versuchen Sie die Anmeldung erneut, und wählen Sie ein neues Zertifikat aus.

Microsoft Entra-CBA mit YubiKey ist nicht erfolgreich. Welche Informationen helfen beim Debuggen des Problems?

  1. Öffnen Sie die Microsoft Authenticator-App, klicken Sie auf das Symbol mit den drei Punkten in der oberen rechten Ecke, und wählen Sie Feedback senden aus.
  2. Klicken Sie auf Probleme?.
  3. Wählen Sie unter Option auswählen die Option Konto hinzufügen oder bei Konto anmelden aus.
  4. Beschreiben Sie alle Details, die Sie hinzufügen möchten.
  5. Klicken Sie in der oberen rechten Ecke auf den Pfeil zum Senden. Beachten Sie den Code, der im eingeblendeten Dialogfeld angezeigt wird.

Wie kann ich die phishing-resistente MFA mithilfe eines Hardwaresicherheitsschlüssels in browserbasierten Anwendungen auf Mobilgeräten erzwingen?

Die zertifikatbasierte Authentifizierung und die Funktion für Authentifizierungsstärke beim bedingtem Zugriff bieten Kunden eine leistungsstarke Möglichkeit, Authentifizierungsanforderungen durchzusetzen. Edge als ein Profil (Konto hinzufügen) funktioniert mit einem Hardwaresicherheitsschlüssel wie YubiKey, und eine Richtlinie für bedingten Zugriff mit Authentifizierungsstärke kann die Phishing-resistente Authentifizierung mit CBA erzwingen.

Die CBA-Unterstützung für YubiKey ist in der aktuellen MSAL (Microsoft Authentication Library)-Bibliothek verfügbar, und für jede Drittanbieteranwendung, welche die aktuelle MSAL integriert. Alle Microsoft-Erstanbieteranwendungen können CBA und die Authentifizierungsstärke beim bedingtem Zugriff verwenden.

Unterstützte Betriebssysteme

Betriebssystem On-Device-Zertifikat/Abgeleitete PIV Smartcards/Sicherheitsschlüssel
iOS Nur unterstützte Anbieter

Unterstützte Browser

Betriebssystem Chrome-Zertifikat auf dem Gerät Chrome-Smartcard/Sicherheitsschlüssel Safari-Zertifikat auf dem Gerät Safari-Smartcard/Sicherheitsschlüssel Edge-Zertifikat auf dem Gerät Edge-Smartcard/-Sicherheitsschlüssel
iOS

Sicherheitsschlüsselanbieter

Anbieter iOS
YubiKey

Bekannte Probleme

  • Unter iOS sehen Benutzer*innen mit zertifikatsbasierter Authentifizierung eine „doppelte Aufforderung“, bei der sie die Option zur Verwendung der zertifikatsbasierten Authentifizierung zweimal anklicken müssen.
  • Unter iOS werden Benutzern und Benutzerinnen mit der Microsoft Authenticator-App auch stündliche Anmeldeaufforderung zur Authentifizierung bei CBA angezeigt, wenn eine Richtlinie zur Authentifizierungsstärke CBA erzwingt oder CBA als zweiten Faktor verwendet.
  • Unter iOS landet eine Richtlinie zur Authentifizierungsstärke, die CBA erfordert, und eine MAM-App-Schutzrichtlinie in einer Schleife zwischen Geräteregistrierung und MFA-Erfüllung. Wenn ein Benutzer CBA verwendet, um die MFA-Anforderungen zu erfüllen, wird die MAM-Richtlinie aufgrund des Fehlers unter iOS nicht erfüllt, da der Server den Fehler ausgibt, dass eine Geräteregistrierung erforderlich ist, obwohl das Gerät registriert ist. Dieser inkorrekt auftretende Fehler führt zu einer erneuten Registrierung und die Anforderung bleibt in einer Schleife stecken, in der CBA zur Anmeldung verwendet wird und das Gerät eine Registrierung benötigt.

Nächste Schritte