Autenticação baseada em certificado Microsoft Entra no iOS e macOS

Este tópico aborda o suporte à autenticação baseada em certificado (CBA) do Microsoft Entra para dispositivos macOS e iOS.

Autenticação baseada em certificado Microsoft Entra em dispositivos macOS

Os dispositivos que executam o macOS podem usar o CBA para autenticar no Microsoft Entra ID usando seu certificado de cliente X.509. O Microsoft Entra CBA é suportado com certificados no dispositivo e chaves de segurança externas protegidas por hardware. No macOS, o Microsoft Entra CBA é suportado em todos os navegadores e em aplicativos primários da Microsoft.

Navegadores suportados no macOS

Edge Chrome Safari Firefox

Início de sessão do dispositivo macOS com o Microsoft Entra CBA

Hoje em dia, o Microsoft Entra CBA não é suportado para início de sessão baseado em dispositivo em máquinas macOS. O certificado usado para entrar no dispositivo pode ser o mesmo certificado usado para autenticar a ID do Microsoft Entra a partir de um navegador ou aplicativo de área de trabalho, mas a entrada do dispositivo em si ainda não é suportada pela ID do Microsoft Entra. 

Autenticação baseada em certificado Microsoft Entra em dispositivos iOS

Os dispositivos que executam o iOS podem usar a autenticação baseada em certificado (CBA) para autenticar no Microsoft Entra ID usando um certificado de cliente em seu dispositivo ao se conectar a:

  • Aplicativos móveis do Office, como o Microsoft Outlook e o Microsoft Word
  • Clientes do Exchange ActiveSync (EAS)

O Microsoft Entra CBA é compatível com certificados no dispositivo em navegadores nativos e em aplicativos primários da Microsoft em dispositivos iOS.

Pré-requisitos

  • A versão iOS deve ser iOS 9 ou posterior.
  • O Microsoft Authenticator é necessário para aplicativos do Office e Outlook no iOS.

Suporte para certificados no dispositivo e armazenamento externo

Os certificados no dispositivo são provisionados no dispositivo. Os clientes podem usar o Gerenciamento de Dispositivos Móveis (MDM) para provisionar os certificados no dispositivo. Como o iOS não suporta chaves protegidas por hardware prontas para uso, os clientes podem usar dispositivos de armazenamento externos para certificados.

Plataformas suportadas

  • Apenas navegadores nativos são suportados
  • Aplicativos que usam bibliotecas MSAL mais recentes ou Microsoft Authenticator podem fazer CBA
  • Borda com perfil, quando os usuários adicionam conta e fazem login em um perfil suporte CBA
  • Os aplicativos primários da Microsoft com bibliotecas MSAL mais recentes ou o Microsoft Authenticator podem fazer CBA

Browsers

Edge Chrome Safari Firefox

Suporte a aplicativos móveis da Microsoft

Aplicações Suporte
Aplicativo Azure Information Protection
Portal da Empresa
Microsoft Teams
Escritório (móvel)
OneNote
OneDrive
Outlook
Power BI
Skype para Empresas
Word / Excel / PowerPoint
Yammer

Suporte para clientes Exchange ActiveSync

No iOS 9 ou posterior, o cliente de email iOS nativo é suportado.

Para determinar se seu aplicativo de email suporta o Microsoft Entra CBA, entre em contato com o desenvolvedor do aplicativo.

Suporte para certificados em chave de segurança de hardware

Os certificados podem ser provisionados em dispositivos externos, como chaves de segurança de hardware, juntamente com um PIN para proteger o acesso à chave privada. A solução móvel baseada em certificados da Microsoft, juntamente com as chaves de segurança de hardware, é um método MFA simples, conveniente e certificado FIPS (Federal Information Processing Standards) resistente a phishing.

Quanto ao iOS 16/iPadOS 16.1, os dispositivos da Apple fornecem suporte de driver nativo para cartões inteligentes compatíveis com CCID conectados USB-C ou Lightning. Isso significa que os dispositivos Apple no iOS 16/iPadOS 16.1 veem um dispositivo compatível com CCID conectado USB-C ou Lightning como um cartão inteligente sem o uso de drivers adicionais ou aplicativos de terceiros. O Microsoft Entra CBA funciona nesses cartões inteligentes compatíveis com USB-A, USB-C ou Lightning conectados com CCID.

Vantagens dos certificados na chave de segurança de hardware

Chaves de segurança com certificados:

  • Pode ser usado em qualquer dispositivo e não precisa de um certificado para ser provisionado em todos os dispositivos que o usuário tem
  • São protegidos por hardware com um PIN, o que os torna resistentes a phishing
  • Fornecer autenticação multifator com um PIN como segundo fator para acessar a chave privada do certificado
  • Satisfazer o requisito da indústria de ter MFA em dispositivo separado
  • Ajuda na preparação futura onde várias credenciais podem ser armazenadas, incluindo chaves Fast Identity Online 2 (FIDO2)

Microsoft Entra CBA no celular iOS com YubiKey

Embora o driver nativo de Smartcard/CCID esteja disponível no iOS/iPadOS para cartões inteligentes compatíveis com CCID conectados ao Lightning, o conector YubiKey 5Ci Lightning não é visto como um cartão inteligente conectado nesses dispositivos sem o uso de middleware PIV (Personal Identity Verification) como o Yubico Authenticator.

Pré-requisito de registo único

  • Tenha um YubiKey habilitado para PIV com um certificado de cartão inteligente provisionado nele
  • Baixe o aplicativo Yubico Authenticator para iOS no seu iPhone com v14.2 ou posterior
  • Abra o aplicativo, insira a YubiKey ou toque sobre comunicação de campo próximo (NFC) e siga as etapas para carregar o certificado para o porta-chaves iOS

Etapas para testar YubiKey em aplicativos da Microsoft em dispositivos móveis iOS

  1. Instale o aplicativo Microsoft Authenticator mais recente.
  2. Abra o Outlook e conecte sua YubiKey.
  3. Selecione Adicionar conta e insira seu nome principal de usuário (UPN).
  4. Clique em Continuar e o seletor de certificados do iOS será exibido.
  5. Selecione o certificado público copiado de YubiKey que está associado à conta do usuário.
  6. Clique em YubiKey necessário para abrir o aplicativo autenticador YubiKey.
  7. Digite o PIN para acessar YubiKey e selecione o botão voltar no canto superior esquerdo.

O usuário deve ser conectado com êxito e redirecionado para a página inicial do Outlook.

Solucionar problemas de certificados na chave de segurança de hardware

O que acontece se o usuário tiver certificados tanto no dispositivo iOS quanto no YubiKey?

O seletor de certificados iOS mostra todos os certificados no dispositivo iOS e os copiados do YubiKey para o dispositivo iOS. Dependendo das escolhas do usuário do certificado, eles podem ser levados ao autenticador YubiKey para inserir um PIN ou autenticados diretamente.

Meu YubiKey está bloqueado depois de digitar PIN incorretamente 3 vezes. Como faço para corrigi-lo?

  • Os usuários devem ver uma caixa de diálogo informando que muitas tentativas de PIN foram feitas. Esta caixa de diálogo também aparece durante as tentativas subsequentes de selecionar Usar certificado ou cartão inteligente.
  • YubiKey Manager pode redefinir o PIN de um YubiKey.

Esse problema acontece devido ao cache de certificado. Estamos trabalhando em uma atualização para limpar o cache. Como solução alternativa, clique em Cancelar, tente entrar novamente e escolha um novo certificado.

Microsoft Entra CBA com YubiKey está falhando. Que informações ajudariam a depurar o problema?

  1. Abra o aplicativo Microsoft Authenticator, clique no ícone de três pontos no canto superior direito e selecione Enviar comentários.
  2. Clique em Está com problemas?.
  3. Em Selecione uma opção, selecione Adicionar ou inicie sessão numa conta.
  4. Descreva todos os detalhes que deseja adicionar.
  5. Clique na seta de envio no canto superior direito. Observe o código fornecido na caixa de diálogo exibida.

Como posso impor MFA resistente a phishing usando uma chave de segurança de hardware em aplicativos baseados em navegador em dispositivos móveis?

A autenticação baseada em certificados e a capacidade de força da autenticação de Acesso Condicional tornam poderoso para os clientes impor as necessidades de autenticação. O Edge como um perfil (adicionar uma conta) funciona com uma chave de segurança de hardware como YubiKey e uma política de Acesso Condicional com capacidade de força de autenticação pode impor autenticação resistente a phishing com CBA.

O suporte CBA para YubiKey está disponível nas bibliotecas mais recentes da Microsoft Authentication Library (MSAL) e em qualquer aplicativo de terceiros que integre o MSAL mais recente. Todos os aplicativos primários da Microsoft podem usar a força de autenticação CBA e Acesso Condicional.

Sistemas operativos suportados

Sistema operativo Certificado no dispositivo/PIV derivado Cartões inteligentes/chaves de segurança
iOS Apenas fornecedores suportados

Browsers suportados

Sistema operativo Certificado do Chrome no dispositivo Cartão inteligente do Chrome/chave de segurança Certificado do Safari no dispositivo Cartão inteligente do Safari/chave de segurança Certificado de borda no dispositivo Cartão inteligente de borda/chave de segurança
iOS

Fornecedores de chaves de segurança

Provider iOS
YubiKey

Problemas conhecidos

  • No iOS, os usuários com autenticação baseada em certificado verão um "prompt duplo", onde devem clicar na opção para usar a autenticação baseada em certificado duas vezes.
  • No iOS, os usuários com o Microsoft Authenticator App também verão um prompt de login por hora para se autenticar com CBA se houver uma política de Força de Autenticação impondo CBA, ou se usarem CBA como o segundo fator.
  • No iOS, uma política de força de autenticação que exija CBA e uma política de proteção de aplicativo MAM acabará em um loop entre o registro do dispositivo e a satisfação com MFA. Devido ao bug no iOS, quando um usuário usa CBA para satisfazer o requisito de MFA, a política de MAM não está satisfeita com o erro lançado pelo servidor dizendo que o registro do dispositivo é necessário, mesmo que o dispositivo esteja registrado. Esse erro incorreto causa um novo registro e a solicitação fica presa no loop de usar o CBA para entrar e o dispositivo precisa de registro.

Próximos passos