Autenticação baseada em certificado do Microsoft Entra em iOS e macOS
Este tópico aborda o suporte à CBA (autenticação baseada em certificado) do Microsoft Entra em dispositivos macOS e iOS.
Autenticação baseada em certificado do Microsoft Entra em dispositivos macOS
Os dispositivos que executam o macOS podem usar a CBA para a autenticação no Microsoft Entra ID por meio do certificado de cliente X.509. A CBA do Microsoft Entra é compatível com certificados no dispositivo e chaves de segurança protegidas por hardware externo. No macOS, a CBA do Microsoft Entra é compatível com todos os navegadores e com aplicativos próprios da Microsoft.
Navegadores com suporte no macOS
Edge | Chrome | Safari | Firefox |
---|---|---|---|
✅ | ✅ | ✅ | ✅ |
Logon de dispositivos macOS com a CBA do Microsoft Entra
No momento, a CBA do Microsoft Entra não é compatível com o logon baseado em dispositivo em computadores macOS. O certificado usado para fazer logon no dispositivo pode ser o mesmo usado para a autenticação no Microsoft Entra ID por meio de um navegador ou aplicativo da área de trabalho, mas o logon do dispositivo em si ainda não tem suporte no Microsoft Entra ID.
Autenticação baseada em certificado do Microsoft Entra em dispositivos iOS
Os dispositivos que executam o iOS podem usar a CBA (autenticação baseada em certificado) para a autenticação no Microsoft Entra ID usando um certificado de cliente no dispositivo ao se conectar ao seguinte:
- Aplicativos móveis do Office, como Microsoft Outlook e Microsoft Word
- Clientes do EAS (Exchange ActiveSync)
A CBA do Microsoft Entra é compatível com certificados no dispositivo em navegadores nativos e em aplicativos próprios da Microsoft em dispositivos iOS.
Pré-requisitos
- A versão do iOS deverá ser iOS 9 ou posterior.
- Será necessário ter o Microsoft Authenticator para aplicativos do Office e Outlook no iOS.
Suporte para certificados no dispositivo e armazenamento externo
Os certificados no dispositivo são provisionados no dispositivo. Os clientes poderão usar o MDM (Gerenciamento de Dispositivo Móvel) para provisionar os certificados no dispositivo. Como o iOS não dá suporte a chaves protegidas por hardware prontas para uso, os clientes poderão usar dispositivos de armazenamento externo para certificados.
Plataformas compatíveis
- Há suporte apenas para navegadores nativos
- Aplicativos que usam as bibliotecas MSAL mais recentes ou o Microsoft Authenticator podem fazer CBA
- Edge com perfil, quando usuários adicionam conta e conectam em um perfil, há suporte para a CBA
- Aplicativos da própria Microsoft com as bibliotecas MSAL mais recentes ou o Microsoft Authenticator podem fazer CBA
Navegadores
Edge | Chrome | Safari | Firefox |
---|---|---|---|
❌ | ❌ | ✅ | ❌ |
Suporte a aplicativos móveis da Microsoft
Aplicativos | Suporte |
---|---|
Aplicativo de Proteção de Informações do Azure | ✅ |
Portal da Empresa | ✅ |
Microsoft Teams | ✅ |
Office (móvel) | ✅ |
OneNote | ✅ |
OneDrive | ✅ |
Outlook | ✅ |
Power BI | ✅ |
Skype for Business | ✅ |
Word/Excel/PowerPoint | ✅ |
Yammer | ✅ |
Suporte aos clientes do Exchange ActiveSync
No iOS 9 ou posterior, há suporte para o cliente de email do iOS nativo.
Para determinar se o aplicativo de email dá suporte à CBA do Microsoft Entra, entre em contato com o desenvolvedor do aplicativo.
Suporte para certificados na chave de segurança de hardware
Certificados podem ser provisionados em dispositivos externos, como chaves de segurança de hardware, juntamente com um PIN para proteger o acesso à chave privada. A solução baseada em certificado móvel da Microsoft, juntamente com as chaves de segurança de hardware, é um método de MFA simples, conveniente e certificado pelo padrão FIPS.
Quanto ao iOS 16/iPadOS 16.1, dispositivos Apple dão suporte de driver nativo para cartões inteligentes compatíveis com USB-C ou Lightning conectados ao CCID. Isso significa que dispositivos Apple no iOS 16/iPadOS 16.1 veem um dispositivo compatível com CCID conectado por USB-C ou Lightning como um cartão inteligente sem o uso de drivers adicionais ou aplicativos de terceiros. A CBA do Microsoft Entra funciona nos cartões inteligentes compatíveis com CCID conectados por USB-A, USB-C ou Lightning.
Vantagens de certificados na chave de segurança de hardware
Chaves de segurança com certificados:
- Podem ser usados em qualquer dispositivo e não precisam de um certificado para serem provisionados em todos os dispositivos que o usuário tem
- O hardware é protegido por um PIN, o que o torna resistente a phishing
- Fornecem autenticação multifator com um PIN como segundo fator para acessar a chave privada do certificado
- Atende os requisitos do setor de possuir MFA em dispositivo separado
- Ajudam na compatibilidade futura, pois várias credenciais podem ser armazenadas, incluindo chaves FIDO2 (Fast Identity Online 2)
CBA do Microsoft Entra em dispositivos móveis iOS com YubiKey
Embora o driver de cartão inteligente/CCID nativo esteja disponível em cartões inteligentes compatíveis com CCID conectados por Lightning ao iOS/iPadOS, o conector Lightning YubiKey 5Ci não é visto como um cartão inteligente conectado nesses dispositivos sem o uso do middleware PIV (Verificação de Identidade Pessoal), como o Yubico Authenticator.
Pré-requisito de registro único
- Ter um YubiKey habilitado para PIV com um certificado de cartão inteligente provisionado
- Baixe o aplicativo Yubico Authenticator para iOS em seu iPhone v14.2 ou posterior
- Abra o aplicativo, insira o YubiKey ou toque em NFC (comunicação de campo próximo) e siga as etapas para carregar o certificado no conjunto de chaves do iOS
Etapas para testar o YubiKey em aplicativos Microsoft em dispositivos móveis iOS
- Instale o aplicativo Microsoft Authenticator mais recente.
- Abra o Outlook e conecte seu YubiKey.
- Selecione Adicionar conta e insira seu nome UPN.
- Clique em Continuar, e o seletor de certificados do iOS é exibido.
- Selecione o certificado público copiado do YubiKey associado à conta do usuário.
- Clique em YubiKey necessário para abrir o aplicativo autenticador YubiKey.
- Insira o PIN para acessar o YubiKey e selecione o botão Voltar no canto superior esquerdo.
O usuário deve ser conectado com êxito e redirecionado para a home page do Outlook.
Solucionar problemas de certificados na chave de segurança de hardware
O que acontece se o usuário tiver certificados no dispositivo iOS e no YubiKey?
O seletor de certificados do iOS mostra todos os certificados no dispositivo iOS e os copiados do YubiKey para o dispositivo iOS. Dependendo das escolhas do usuário do certificado, ele pode ser levado para o autenticador YubiKey para inserir um PIN ou ser autenticado diretamente.
O YubiKey é bloqueado após o PIN ser digitado incorretamente três vezes. Como corrigi-la?
- Os usuários devem ver uma caixa de diálogo informando que foram feitas muitas tentativas de inserir o PIN. Essa caixa de diálogo também aparece durante as tentativas posteriores de selecionar Usar Certificado ou cartão inteligente.
- O YubiKey Manager pode redefinir o PIN de um YubiKey.
Depois que a CBA falha, também falha a opção da CBA no link “Outras maneiras de entrar”. Há uma solução alternativa?
Esse problema ocorre devido ao cache de certificado. Estamos trabalhando em uma atualização para limpar o cache. Como solução alternativa, clique em Cancelar, tente entrar novamente e escolha um novo certificado.
A CBA do Microsoft Entra com o YubiKey está passando por falhas. Quais informações ajudariam a depurar o problema?
- Abra o aplicativo Microsoft Authenticator, clique no ícone de três pontos no canto superior direito e selecione Enviar Comentários.
- Clique em Está com problemas?.
- Para Selecione uma opção, selecione Adicionar ou entrar em uma conta.
- Descreva os detalhes que você deseja adicionar.
- Clique na seta de envio no canto superior direito. Tome nota do código fornecido na caixa de diálogo exibida.
Como posso impor a MFA resistente a phishing usando uma chave de segurança de hardware em aplicativos baseados em navegador em dispositivos móveis?
A autenticação baseada em certificado e a funcionalidade de força de autenticação do Acesso Condicional permitem que os clientes imponham necessidades de autenticação. O Edge como perfil (adicionar uma conta) funciona com uma chave de segurança de hardware como o YubiKey, e a Política de acesso condicional com funcionalidade de força de autenticação pode impor a autenticação resistente a phishing com a CBA.
O suporte da CBA para YubiKey está disponível nas bibliotecas MSAL (Biblioteca de Autenticação da Microsoft) mais recentes e em qualquer aplicativo de terceiros que integre a MSAL mais recente. Todos os aplicativos primários da Microsoft podem usar a CBA e a força da autenticação de Acesso condicional.
Sistemas operacionais com suporte
Sistema operacional | Certificado no dispositivo/PIV derivado | Cartões inteligentes/chaves de segurança |
---|---|---|
iOS | ✅ | Somente fornecedores com suporte |
Navegadores com suporte
Sistema operacional | Certificado do Chrome no dispositivo | Cartão inteligente/chave de segurança do Chrome | Certificado Safari no dispositivo | Cartão inteligente/chave de segurança do Safari | Certificado do Edge no dispositivo | Cartão inteligente de borda/chave de segurança |
---|---|---|---|---|---|---|
iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Provedores de chave de segurança
Provedor | iOS |
---|---|
YubiKey | ✅ |
Problemas conhecidos
- No iOS, os usuários com autenticação baseada em certificado verão um "prompt duplo", no qual deverão clicar duas vezes na opção para usar a autenticação baseada em certificado.
- No iOS, os usuários com o aplicativo Microsoft Authenticator também verão um prompt de logon por hora para autenticar com a CBA se houver uma política de força de autenticação impondo a CBA ou se usarem a CBA como o segundo fator.
- No iOS, uma política de força de autenticação que requer CBA e uma política de proteção de aplicativo MAM terminará em um loop entre o registro do dispositivo e a satisfação da MFA. Devido ao bug no iOS, quando um usuário usa o CBA para satisfazer o requisito de MFA, a política MAM não é satisfeita com o erro sendo gerado pelo servidor dizendo que o registro do dispositivo é necessário, mesmo que o dispositivo esteja registrado. Esse erro incorreto causa o novo registro e a solicitação fica presa no loop de uso do CBA para entrar e o dispositivo precisa de registro.
Próximas etapas
- Visão geral da CBA do Microsoft Entra
- Aprofundamento técnico para CBA do Microsoft Entra
- Como configurar a CBA do Microsoft Entra
- CBA do Microsoft Entra em dispositivos Android
- Logon de cartão inteligente do Windows usando a CBA do Microsoft Entra
- IDs de usuário de certificado
- Como migrar usuários federados
- perguntas frequentes