Zertifikatbasierte Microsoft Entra-Authentifizierung auf Android-Geräten mit iOS oder macOS
In diesem Thema wird die Unterstützung der zertifikatbasierten Authentifizierung (Certificate-Based Authentication, CBA) von Microsoft Entra für macOS- und iOS-Geräte behandelt.
Zertifikatbasierte Microsoft Entra-Authentifizierung auf macOS-Geräten
Geräte mit macOS können CBA verwenden, um sich mit ihrem X.509-Clientzertifikat bei Microsoft Entra ID zu authentifizieren. Microsoft Entra-CBA wird mit Zertifikaten auf dem Gerät und mit externen, durch Hardware geschützten Sicherheitsschlüsseln unterstützt. Unter macOS wird Microsoft Entra-CBA für alle Browser und Microsoft-Erstanbieteranwendungen unterstützt.
Unter macOS unterstützte Browser
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
macOS-Geräteanmeldung mit Microsoft Entra-CBA
Microsoft Entra-CBA wird derzeit nicht für die gerätebasierte Anmeldung bei macOS-Computern unterstützt. Das für die Anmeldung beim Gerät verwendete Zertifikat kann das gleiche Zertifikat sein, das für die Authentifizierung bei Microsoft Entra ID über einen Browser oder über eine Desktopanwendung verwendet wird. Die Geräteanmeldung selbst wird jedoch noch nicht mit Microsoft Entra ID unterstützt.
Zertifikatbasierte Microsoft Entra-Authentifizierung auf iOS-Geräten
Geräte mit iOS können für die Authentifizierung bei Microsoft Entra ID die zertifikatbasierte Authentifizierung verwenden, indem auf den Geräten beim Herstellen einer Verbindung mit folgenden Anwendungen oder Clients ein Clientzertifikat verwendet wird:
- Mobile Office-Anwendungen wie Microsoft Outlook und Microsoft Word
- Exchange ActiveSync-Clients (EAS)
Die zertifikatbasierte Microsoft Entra-Authentifizierung wird für Zertifikate auf dem Gerät in nativen Browsern sowie in Microsoft-Erstanbieteranwendungen auf iOS-Geräten unterstützt.
Voraussetzungen
- Die Betriebssystemversion muss mindestens iOS 9 sein.
- Für Office-Anwendungen und Outlook unter iOS ist Microsoft Authenticator erforderlich.
Unterstützung für On-Device-Zertifikate und externen Speicher
On-Device-Zertifikate werden auf dem Gerät bereitgestellt. Kunden können die mobile Geräteverwaltung (Mobile Device Management, MDM) verwenden, um die Zertifikate auf dem Gerät bereitzustellen. Da iOS keine standardmäßig verfügbaren, hardwaregeschützten Schlüssel unterstützt, können Kunden externe Speichergeräte für Zertifikate verwenden.
Unterstützte Plattformen
- Nur native Browser werden unterstützt
- Anwendungen mit den aktuellen MSAL-Bibliotheken oder Microsoft Authenticator können die zertifikatbasierte Authentifizierung (CBA) verwenden
- Edge mit Profil unterstützt die CBA, wenn Benutzer ein Konto hinzufügen und in einem Profil angemeldet sind
- Microsoft-Erstanbieter-Apps mit den aktuellen MSAL-Bibliotheken oder Microsoft Authenticator können die zertifikatbasierte Authentifizierung (CBA) verwenden
Browsers
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Unterstützung mobiler Microsoft-Anwendungen
| Anwendungen | Support |
|---|---|
| Azure Information Protection-App | ✅ |
| Unternehmensportal | ✅ |
| Microsoft Teams | ✅ |
| Office (Mobil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
Unterstützung von Exchange ActiveSync-Clients
Unter iOS 9 oder höher wird der native iOS-E-Mail-Client unterstützt.
Wenden Sie sich an den Entwickler bzw. an die Entwicklerin der Anwendung, um zu erfahren, ob Ihre E-Mail-Anwendung die zertifikatbasierte Microsoft Entra-Authentifizierung unterstützt.
Unterstützung für Zertifikate auf einem Hardwaresicherheitsschlüssel
Zertifikate können auf externen Geräten wie etwa einem Hardwaresicherheitsschlüssel zusammen mit einer PIN bereitgestellt werden, um den Zugriff auf private Schlüssel zu schützen. Die mobile zertifikatbasierte Lösung von Microsoft in Verbindung mit Hardwaresicherheitsschlüsseln ist eine einfache, bequeme, FIPS-zertifizierte (Federal Information Processing Standard), phishing-resistente MFA-Methode.
Wie für iOS 16/iPadOS 16.1 bieten Apple-Geräte native Treiberunterstützung für CCID-konforme Smartcards, die via USB-C oder Lightning verbunden sind. Dies bedeutet, dass Apple-Geräte unter iOS 16/iPadOS 16.1 ein CCID-konformes Gerät, das via USB-C oder Lightning verbunden ist, als Smartcard erkennen, ohne die Verwendung zusätzlicher Treiber oder Drittanbieter-Apps. Microsoft Entra-CBA funktioniert auf diesen via USB-A, USB-C oder Lightning verbundenen CCID-konformen Smartcards.
Vorteile von Zertifikaten auf Hardwaresicherheitsschlüsseln
Sicherheitsschlüssel mit Zertifikaten:
- Sie können auf jedem Gerät verwendet werden, und es muss kein Zertifikat auf jedem einzelnen Benutzergerät bereitgestellt werden.
- Sie sind hardwareseitig durch eine PIN geschützt, was sie widerstandsfähiger gegen Phishing macht.
- Sie stellen eine Multi-Faktor-Authentifizierung mit einer PIN als zweitem Faktor für den Zugriff auf den privaten Schlüssel des Zertifikats bereit.
- Durch die Installation der Multi-Faktor-Authentifizierung auf einem separaten Gerät wird die entsprechende Branchenanforderung erfüllt
- Sie sind zukunftssicher, da mehrere Berechtigungsnachweise gespeichert werden können, darunter auch FIDO2-Schlüssel (Fast Identity Online 2).
Microsoft Entra-CBA auf iOS-Mobilgeräten mit YubiKey
Obwohl der native Smartcard/CCID-Treiber unter iOS/iPadOS für CCID-konforme Smartcards verfügbar ist, die via Lightning verbunden sind, wird der YubiKey 5Ci Lightning-Connector ohne die Verwendung von PIV (Personal Identity Verification)-Middleware wie dem Yubico-Authenticator auf diesen Geräten nicht als verbundene Smartcard erkannt.
Voraussetzung für die einmalige Registrierung
- Sie benötigen einen PIV-fähigen YubiKey, auf dem ein Smartcardzertifikat bereitgestellt ist.
- Laden Sie die Yubico Authenticator für iOS-App auf Ihr iPhone mit v14.2 oder höher herunter.
- Öffnen Sie die App, stecken Sie den YubiKey ein oder tippen Sie auf die Nahfeldkommunikation (NFC) und folgen Sie den Schritten, um das Zertifikat in den iOS-Schlüsselbund hochzuladen.
Schritte zum Testen des YubiKey in Microsoft-Apps auf iOS-Mobilgeräten:
- Installieren Sie die neueste Microsoft Authenticator-App.
- Öffnen Sie Outlook, und stecken Sie Ihren YubiKey ein.
- Wählen Sie Konto hinzufügen aus, und geben Sie Ihren Benutzerprinzipalnamen (UPN) ein.
- Klicken Sie auf Weiter, und die iOS-Zertifikatauswahl erscheint.
- Wählen Sie das öffentliche, vom YubiKey kopierte Zertifikat aus, das mit dem Benutzerkonto verknüpft ist.
- Klicken Sie auf YubiKey erforderlich, um die YubiKey Authenticator-App zu öffnen.
- Geben Sie die PIN ein, um auf den YubiKey zuzugreifen, und wählen Sie in der oberen linken Ecke die Schaltfläche „Zurück“ aus.
Der Benutzer sollte erfolgreich angemeldet und zur Outlook-Startseite weitergeleitet werden.
Problembehandlung bei Zertifikaten auf Hardwaresicherheitsschlüsseln
Was geschieht, wenn sowohl auf dem iOS-Gerät als auch auf dem YubiKey des Benutzers Zertifikate vorhanden sind?
Die iOS-Zertifikatsauswahl zeigt alle Zertifikate sowohl auf dem iOS-Gerät wie auch diejenigen an, die vom YubiKey auf das iOS-Gerät kopiert wurden. Je nachdem, welches Zertifikat der Benutzer auswählt, wird er entweder zum YubiKey-Authentifikator weitergeleitet, um seine PIN einzugeben, oder direkt authentifiziert.
Mein YubiKey ist nach dreimaliger Falscheingabe der PIN gesperrt. Wie behebe ich das Problem?
- Die Benutzer sollten in einem Dialogfeld darüber informiert werden, dass zu viele PIN-Eingabeversuche unternommen wurden. Dieses Dialogfeld wird auch bei späteren Versuchen angezeigt, Zertifikat oder Smartcard verwenden auszuwählen.
- Der YubiKey Manager kann die PIN eines YubiKey zurücksetzen.
Nachdem die CBA fehlschlägt, schlägt auch die CBA-Option im Link „Andere Möglichkeiten zur Anmeldung“ fehl. Gibt es eine Problemumgehung?
Dieses Problem tritt aufgrund der Zwischenspeicherung von Zertifikaten auf. Wir arbeiten an einem Update, um den Cache zu löschen. Klicken Sie als Problemumgehung auf Abbrechen, versuchen Sie die Anmeldung erneut, und wählen Sie ein neues Zertifikat aus.
Microsoft Entra-CBA mit YubiKey ist nicht erfolgreich. Welche Informationen helfen beim Debuggen des Problems?
- Öffnen Sie die Microsoft Authenticator-App, klicken Sie auf das Symbol mit den drei Punkten in der oberen rechten Ecke, und wählen Sie Feedback senden aus.
- Klicken Sie auf Probleme?.
- Wählen Sie unter Option auswählen die Option Konto hinzufügen oder bei Konto anmelden aus.
- Beschreiben Sie alle Details, die Sie hinzufügen möchten.
- Klicken Sie in der oberen rechten Ecke auf den Pfeil zum Senden. Beachten Sie den Code, der im eingeblendeten Dialogfeld angezeigt wird.
Wie kann ich die phishing-resistente MFA mithilfe eines Hardwaresicherheitsschlüssels in browserbasierten Anwendungen auf Mobilgeräten erzwingen?
Die zertifikatbasierte Authentifizierung und die Funktion für Authentifizierungsstärke beim bedingtem Zugriff bieten Kunden eine leistungsstarke Möglichkeit, Authentifizierungsanforderungen durchzusetzen. Edge als ein Profil (Konto hinzufügen) funktioniert mit einem Hardwaresicherheitsschlüssel wie YubiKey, und eine Richtlinie für bedingten Zugriff mit Authentifizierungsstärke kann die Phishing-resistente Authentifizierung mit CBA erzwingen.
Die CBA-Unterstützung für YubiKey ist in der aktuellen MSAL (Microsoft Authentication Library)-Bibliothek verfügbar, und für jede Drittanbieteranwendung, welche die aktuelle MSAL integriert. Alle Microsoft-Erstanbieteranwendungen können CBA und die Authentifizierungsstärke beim bedingtem Zugriff verwenden.
Unterstützte Betriebssysteme
| Betriebssystem | On-Device-Zertifikat/Abgeleitete PIV | Smartcards/Sicherheitsschlüssel |
|---|---|---|
| iOS | ✅ | Nur unterstützte Anbieter |
Unterstützte Browser
| Betriebssystem | Chrome-Zertifikat auf dem Gerät | Chrome-Smartcard/Sicherheitsschlüssel | Safari-Zertifikat auf dem Gerät | Safari-Smartcard/Sicherheitsschlüssel | Edge-Zertifikat auf dem Gerät | Edge-Smartcard/-Sicherheitsschlüssel |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Sicherheitsschlüsselanbieter
| Anbieter | iOS |
|---|---|
| YubiKey | ✅ |
Bekannte Probleme
- Unter iOS sehen Benutzer*innen mit zertifikatsbasierter Authentifizierung eine „doppelte Aufforderung“, bei der sie die Option zur Verwendung der zertifikatsbasierten Authentifizierung zweimal anklicken müssen.
- Unter iOS werden Benutzern und Benutzerinnen mit der Microsoft Authenticator-App auch stündliche Anmeldeaufforderung zur Authentifizierung bei CBA angezeigt, wenn eine Richtlinie zur Authentifizierungsstärke CBA erzwingt oder CBA als zweiten Faktor verwendet.
- Unter iOS landet eine Richtlinie zur Authentifizierungsstärke, die CBA erfordert, und eine MAM-App-Schutzrichtlinie in einer Schleife zwischen Geräteregistrierung und MFA-Erfüllung. Wenn ein Benutzer CBA verwendet, um die MFA-Anforderungen zu erfüllen, wird die MAM-Richtlinie aufgrund des Fehlers unter iOS nicht erfüllt, da der Server den Fehler ausgibt, dass eine Geräteregistrierung erforderlich ist, obwohl das Gerät registriert ist. Dieser inkorrekt auftretende Fehler führt zu einer erneuten Registrierung und die Anforderung bleibt in einer Schleife stecken, in der CBA zur Anmeldung verwendet wird und das Gerät eine Registrierung benötigt.
Nächste Schritte
- Übersicht über Microsoft Entra-CBA
- Ausführliche technische Informationen zur zertifikatbasierten Authentifizierung mit Azure AD
- Konfigurieren der zertifikatbasierten Microsoft Entra-Authentifizierung
- Zertifikatbasierte Authentifizierung von Microsoft Entra auf Android-Geräten
- Windows-Smartcardanmeldung mithilfe der zertifikatbasierten Microsoft Entra-Authentifizierung
- Zertifikatbenutzer-IDs
- Migrieren von Verbundbenutzer*innen
- Häufig gestellte Fragen