Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se cubre la compatibilidad de Microsoft Entra con la autenticación basada en certificados (CBA) para dispositivos macOS y iOS.
Microsoft Entra autenticación basada en certificados en dispositivos macOS
Los dispositivos que ejecutan macOS pueden usar CBA para autenticarse en Microsoft Entra ID mediante su certificado de cliente X.509. Microsoft Entra CBA se admite con certificados en el dispositivo y claves de seguridad protegidas por hardware externo. En macOS, Microsoft Entra CBA es compatible con todos los exploradores y en las aplicaciones propias de Microsoft.
Exploradores admitidos en macOS
| Edge | Cromo | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Inicio de sesión en dispositivos macOS mediante Microsoft Entra CBA
Actualmente, la CBA de Microsoft Entra no es compatible con el inicio de sesión basado en dispositivos en máquinas macOS. El certificado usado para iniciar sesión en el dispositivo puede ser el mismo certificado que se usa para autenticarse en Microsoft Entra ID desde una aplicación de escritorio o explorador, pero el propio inicio de sesión del dispositivo aún no se admite en Microsoft Entra ID.
Microsoft Entra autenticación con certificados en dispositivos iOS
Los dispositivos que ejecutan iOS pueden usar la autenticación basada en certificados (CBA) para autenticarse en Microsoft Entra ID mediante un certificado de cliente en su dispositivo al conectarse a:
- Aplicaciones móviles de Office, como Microsoft Outlook y Microsoft Word
- clientes de Exchange ActiveSync (EAS)
CBA de Microsoft Entra es compatible con certificados en dispositivos en exploradores nativos y en aplicaciones propias de Microsoft en dispositivos iOS.
Requisitos previos
- La versión de iOS debe ser iOS 9 o posterior.
- Microsoft Authenticator o portal de empresa es obligatorio para aplicaciones de primera mano.
Compatibilidad con certificados en el dispositivo y almacenamiento externo
Los certificados en el dispositivo se aprovisionan en el dispositivo. Los clientes pueden usar Mobile Device Management (MDM) para aprovisionar los certificados en el dispositivo. Como iOS no admite claves protegidas por hardware de manera predeterminada, los clientes pueden usar dispositivos de almacenamiento externo para los certificados.
Plataformas compatibles
- Solo se admiten exploradores nativos
- Las aplicaciones que utilizan las bibliotecas más recientes de MSAL o Authenticator de Microsoft pueden realizar CBA
- Edge con perfil, cuando los usuarios agregan una cuenta y han iniciado sesión en un perfil admiten CBA.
- Las aplicaciones de primera entidad de Microsoft con las bibliotecas de MSAL más recientes o Microsoft Authenticator pueden hacer CBA
Navegadores
| Edge | Cromo | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
compatibilidad con aplicaciones móviles de Microsoft
| Aplicaciones | Soporte técnico |
|---|---|
| app de Azure Information Protection | ✅ |
| Portal de la Empresa | ✅ |
| Microsoft Teams | ✅ |
| Office (móvil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
Compatibilidad con clientes de Exchange ActiveSync
En iOS 9 o posterior, se admite el cliente de correo de iOS nativo.
Para determinar si la aplicación de correo electrónico admite Microsoft Entra CBA, póngase en contacto con el desarrollador de la aplicación.
Compatibilidad con certificados en la clave de seguridad de hardware
Los certificados se pueden aprovisionar en dispositivos externos, como claves de seguridad de hardware, junto con un PIN para proteger el acceso a la clave privada. La solución móvil basada en certificados de Microsoft, junto con las llaves de seguridad de hardware, es un método MFA resistente al phishing, certificado por FIPS (Estándares Federales de Procesamiento de Información), simple y conveniente.
En cuanto a iOS 16/iPadOS 16.1, los dispositivos Apple proporcionan compatibilidad con controladores nativos para tarjetas inteligentes compatibles con USB-C o Lightning conectado CCID. Esto significa que los dispositivos Apple en iOS 16/iPadOS 16.1 ven un dispositivo compatible con CCID conectado a USB-C o Lightning como una tarjeta inteligente sin el uso de controladores adicionales o aplicaciones de terceros. Microsoft Entra CBA funciona en estas tarjetas inteligentes compatibles con CCID compatibles con USB-A, USB-C o Lightning.
Ventajas de los certificados en la clave de seguridad de hardware
Las claves de seguridad con certificados:
- Se puede usar en cualquier dispositivo y no es necesario que se aprovisione un certificado en todos los dispositivos que el usuario tenga
- Son hardware protegido con un PIN, lo que las hace resistentes a la suplantación de identidad (phishing)
- Proporcionan autenticación multifactor con un PIN como segundo factor para acceder a la clave privada del certificado.
- Satisfacer el requisito del sector de tener MFA en un dispositivo separado
- Ayudan en futuras pruebas en las que se pueden almacenar varias credenciales, incluidas las claves de Fast Identity Online 2 (FIDO2)
Microsoft Entra CBA en dispositivos móviles iOS con YubiKey
Aunque el controlador Smartcard/CCID nativo está disponible en iOS/iPadOS para tarjetas inteligentes compatibles con CCID conectadas a Lightning, el conector YubiKey 5Ci Lightning no se ve como una tarjeta inteligente conectada en estos dispositivos sin el uso del middleware PIV (Personal Identity Verification) como Yubico Authenticator.
Requisito previo de registro único
- Tener un YubiKey habilitado para PIV con un certificado de tarjeta inteligente aprovisionado en él
- Descargue la aplicación Yubico Authenticator para iOS en su iPhone con v14.2 o posterior.
- Abra la aplicación, inserte YubiKey o pulse sobre la comunicación de campo cercano (NFC) y siga los pasos para cargar el certificado en la cadena de claves de iOS
Pasos para probar YubiKey en aplicaciones de Microsoft en dispositivos móviles iOS
- Instale la aplicación de Microsoft Authenticator más reciente.
- Abra Outlook y conecte su YubiKey.
- Seleccione Agregar cuenta y escriba el nombre principal de usuario (UPN).
- Seleccione Continuar y aparecerá el selector de certificados de iOS.
- Seleccione el certificado público copiado de YubiKey asociado a la cuenta del usuario.
- Seleccione YubiKey necesario para abrir la aplicación YubiKey authenticator.
- Introduzca el PIN para acceder a YubiKey y seleccione el botón Atrás en la esquina superior izquierda.
El usuario debe iniciar sesión correctamente y redirigirse a la página principal de Outlook.
Solución de problemas de certificados en la clave de seguridad de hardware
¿Qué ocurre si el usuario tiene certificados tanto en el dispositivo iOS como en YubiKey?
El selector de certificados de iOS muestra todos los certificados tanto en el dispositivo iOS como en los copiados de YubiKey en el dispositivo iOS. En función de la selección del usuario del certificado, se le puede llevar al autenticador de YubiKey para escribir un PIN o autenticarse directamente.
Mi YubiKey se bloquea después de escribir incorrectamente el PIN 3 veces. ¿Cómo puedo corregirlo?
- Los usuarios deben ver un cuadro de diálogo que le informa de que se han realizado demasiados intentos de PIN. Este cuadro de diálogo también aparece durante los intentos posteriores de seleccionar Usar certificado o tarjeta inteligente.
- El administrador de YubiKey puede restablecer el PIN de YubiKey.
Una vez que se produce un error en CBA, también se produce un error en la opción CBA del vínculo "Otras formas de iniciar sesión". ¿Hay alguna solución alternativa?
Este problema se produce debido al almacenamiento en caché de certificados. Estamos trabajando en una actualización para borrar la memoria caché. Como solución alternativa, seleccione Cancelar, vuelva a intentar iniciar sesión y elija un nuevo certificado.
Error de Microsoft Entra CBA con YubiKey. ¿Qué información podría ayudar a depurar el problema?
- Abra Microsoft Authenticator aplicación, seleccione el icono de tres puntos en la esquina superior derecha y seleccione Enviar comentarios.
- Seleccione ¿Tienes problemas?.
- En Seleccionar una opción, seleccione Agregar o iniciar sesión en una cuenta.
- Describa los detalles que quiera agregar.
- Seleccione la flecha de envío en la esquina superior derecha. Anote el código proporcionado en el cuadro de diálogo que aparece.
¿Cómo puedo aplicar MFA resistente a la suplantación de identidad mediante una clave de seguridad de hardware en aplicaciones basadas en exploradores en dispositivos móviles?
La autenticación basada en certificados y la funcionalidad de seguridad de autenticación de acceso condicional hacen que sea eficaz para que los clientes apliquen las necesidades de autenticación. Edge como perfil (agregar una cuenta) funciona con una clave de seguridad de hardware como YubiKey y una directiva de acceso condicional con capacidad de seguridad de autenticación puede aplicar la autenticación resistente a la suplantación de identidad con CBA.
La compatibilidad de CBA con YubiKey está disponible en las bibliotecas de Microsoft Authentication Library (MSAL) más recientes y en cualquier aplicación de terceros que integre la versión más reciente de MSAL. Todas las aplicaciones propias de Microsoft pueden usar la seguridad de autenticación de acceso condicional y CBA.
Sistemas operativos admitidos
| Sistema operativo | Certificado en el dispositivo o PIV derivado | Tarjetas inteligentes/claves de seguridad |
|---|---|---|
| Ios | ✅ | Solo proveedores admitidos |
Exploradores compatibles
| Sistema operativo | Certificado de Chrome en el dispositivo | Tarjeta inteligente/clave de seguridad de Chrome | Certificado de Safari en el dispositivo | Tarjeta inteligente de Safari/clave de seguridad | Certificado de Edge en el dispositivo | Tarjeta inteligente/clave de seguridad de Edge |
|---|---|---|---|---|---|---|
| Ios | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Proveedores de claves de seguridad
| Proveedor | Ios |
|---|---|
| YubiKey | ✅ |
Pasos siguientes
- Información general de Microsoft Entra CBA
- Análisis profundo técnico de Microsoft Entra CBA
- Cómo configurar Microsoft Entra CBA
- Lista de Revocación de Certificados CBA de Microsoft Entra
- Microsoft Entra CBA en dispositivos Android
- Inicio de sesión con tarjeta inteligente de Windows usando Microsoft Entra CBA
- Identificadores de usuario de certificado
- Cómo migrar usuarios federados
- Preguntas más frecuentes
- Lista de Revocación de Certificados CBA de Microsoft Entra
- Microsoft Entra CBA en dispositivos Android
- Inicio de sesión con tarjeta inteligente de Windows usando Microsoft Entra CBA
- Identificadores de usuario de certificado
- Cómo migrar usuarios federados
- Preguntas más frecuentes