Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette rubrique traite de la prise en charge de l'authentification basée sur des certificats (CBA) par Microsoft Entra pour les appareils macOS et iOS.
Microsoft Entra authentification à base de certificats sur appareils macOS
Les appareils qui exécutent macOS peuvent utiliser l’authentification CBA pour s’authentifier auprès de Microsoft Entra ID à l’aide de leur certificat client X.509. Microsoft Entra CBA est pris en charge avec des certificats sur l’appareil et des clés de sécurité protégées par du matériel externe. Sur macOS, Microsoft Entra CBA est pris en charge sur tous les navigateurs et sur les applications internes de Microsoft.
Navigateurs pris en charge sur macOS
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Connexion d'un périphérique macOS avec Microsoft Entra CBA
Microsoft Entra CBA n'est pas pris en charge aujourd'hui pour la connexion par appareil sur les machines macOS. Le certificat utilisé pour se connecter à l'appareil peut être le même certificat que celui utilisé pour s'authentifier auprès de Microsoft Entra ID à partir d'un navigateur ou d'une application de bureau, mais la connexion de l'appareil elle-même n'est pas encore prise en charge par rapport à Microsoft Entra ID.
Authentification Microsoft Entra basée sur des certificats sur les appareils iOS
Les appareils qui exécutent iOS peuvent utiliser l’authentification basée sur un certificat (CBA) pour s’authentifier auprès de Microsoft Entra ID à l’aide d’un certificat client sur leur appareil lors de la connexion à :
- Applications mobiles Office telles que Microsoft Outlook et Microsoft Word
- Des clients Exchange ActiveSync (EAS).
L’authentification basée sur les certificats Microsoft Entra est pris en charge pour les certificats sur le périphérique sur les navigateurs natifs et sur les applications Microsoft first-party sur les appareils iOS.
Prérequis
- La version d'iOS doit être iOS 9 ou ultérieure.
- Microsoft Authenticator ou portail d’entreprise est requis pour les applications internes.
Prise en charge des certificats sur appareil et du stockage externe
Les certificats sur l’appareil sont approvisionnés sur l’appareil. Les clients peuvent utiliser Mobile Gestion des appareils (GPM) pour approvisionner les certificats sur l’appareil. Dans la mesure où iOS ne prend pas en charge les clés protégées matérielles prêtes à l’emploi, les clients peuvent utiliser des périphériques de stockage externes pour les certificats.
Plateformes prises en charge
- Seuls les navigateurs natifs sont pris en charge
- Les applications utilisant les dernières bibliothèques MSAL ou Microsoft Authenticator peuvent effectuer une authentification basée sur un certificat (CBA)
- Edge avec profil, lorsque les utilisateurs ajoutent un compte et connecté à un profil prennent en charge l’administrateur de base de données
- Les applications internes Microsoft avec les dernières bibliothèques MSAL ou Microsoft Authenticator peuvent effectuer l’authentification CBA
Navigateurs
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
prise en charge des applications mobiles Microsoft
| Applications logicielles | Soutien |
|---|---|
| Application Azure Information Protection | ✅ |
| Portail de l'entreprise | ✅ |
| Microsoft Teams | ✅ |
| L’Office (mobile) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype Entreprise | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Prise en charge des clients Exchange ActiveSync
Dans iOS 9 ou version ultérieure, le client de messagerie iOS natif est pris en charge.
Pour déterminer si votre application de messagerie prend en charge Microsoft Entra CBA, contactez votre développeur d’applications.
Prise en charge des certificats sur une clé de sécurité matérielle
Les certificats peuvent être provisionnés sur des dispositifs externes tels que des clés de sécurité matérielles avec un code PIN pour protéger l’accès à la clé privée. La solution de Microsoft basée sur des certificats mobiles, couplée aux clés de sécurité matérielles, est une méthode MFA simple et pratique, résistante à l'hameçonnage et certifiée conformes aux normes FIPS (Federal Information Processing Standards).
Depuis iOS 16/iPadOS 16.1, les appareils Apple prennent en charge les pilotes natifs pour les cartes à puce compatibles CCID USB-C ou Lightning. Cela signifie que les appareils Apple sur iOS 16/iPadOS 16.1 voient un dispositif compatible CCID USB-C ou Lightning en tant que carte à puce sans avoir à utiliser des pilotes supplémentaires ou des applications tierces. Microsoft Entra CBA fonctionne sur ces cartes à puce compatibles CCID compatibles USB-A, USB-C ou Lightning.
Avantages des certificats sur une clé de sécurité matérielle
Clés de sécurité avec certificats :
- Peuvent être utilisés sur n’importe quel appareil et n’ont pas besoin d’un certificat pour être provisionné sur chaque appareil de l’utilisateur
- Sont sécurisés au niveau matériel avec un code PIN, ce qui les rend résistants au hameçonnage
- Fournissent une authentification multifacteur avec un code PIN comme deuxième facteur pour accéder à la clé privée du certificat
- Répondre aux exigences du secteur pour que l’authentification multifacteur soit activée sur un appareil distinct
- Aident pour les vérifications futures où plusieurs informations d’identification peuvent être stockées, y compris les clés FIDO2 (Fast Identity Online 2)
Microsoft Entra CBA sur appareils mobiles iOS avec YubiKey
Même si le pilote Smartcard/CCID natif est disponible sur iOS/iPadOS pour les cartes à puce compatibles CCID Lightning, le connecteur YubiKey 5Ci Lightning n’est pas vu comme une carte à puce connectée sur ces appareils sans avoir à utiliser le middleware PIV (Personal Identity Verification) comme Yubico Authenticator.
Prérequis pour une inscription unique
- Avoir une YubiKey compatible PIV avec un certificat de carte à puce provisionné dessus
- Télécharger l’application Yubico Authenticator for iOS sur votre iPhone avec la version 14.2 ou ultérieure
- Ouvrir l’application, insérer la YubiKey ou appuyer sur NFC (Near Field Communication) et suivre les étapes pour charger le certificat dans le trousseau iOS
Étapes de test de YubiKey sur des applications Microsoft sur iOS mobile
- Installez la dernière application Microsoft Authenticator.
- Ouvrez Outlook et branchez votre YubiKey.
- Sélectionnez Ajouter un compte et entrez votre nom d’utilisateur principal (UPN).
- Sélectionnez Continuer et le sélecteur de certificats iOS s’affiche.
- Sélectionnez le certificat public copié à partir de la YubiKey associée au compte de l’utilisateur.
- Sélectionnez YubiKey requise pour ouvrir l’application de l’authentificateur YubiKey.
- Entrez le code PIN pour accéder à la YubiKey et sélectionnez le bouton Précédent en haut à gauche.
L’utilisateur doit être correctement connecté et redirigé vers la page d’accueil Outlook.
Résoudre les problèmes de certificats sur une clé de sécurité matérielle
Que se passe-t-il si l’utilisateur a des certificats à la fois sur l’appareil iOS et sur la YubiKey ?
Le sélecteur de certificats iOS affiche tous les certificats qui sont sur l’appareil iOS et ceux qui ont été copiés de la YubiKey dans l’appareil iOS. Selon le certificat choisi par l’utilisateur, il peut être dirigé vers l’authentificateur YubiKey pour entrer le code PIN ou être authentifié directement.
Ma YubiKey est verrouillée après avoir mal saisi le code PIN 3 fois. Comment la corriger ?
- Les utilisateurs devraient voir une boîte de dialogue les informant que trop de tentatives de saisie de code PIN ont été effectuées. Cette boîte de dialogue apparaît également lors de tentatives successives pour sélectionner Utiliser un certificat ou une carte à puce.
- Le YubiKey Manager peut réinitialiser le code PIN d’une YubiKey.
Après l’échec de l’authentification par certificat, l’option d’authentification par certificat dans le lien « Autres façons de se connecter » échoue également. Existe-t-il une solution de contournement ?
Ce problème se produit en raison de la mise en cache des certificats. Nous travaillons sur une mise à jour pour effacer le cache. Pour contourner ce problème, sélectionnez Annuler, réessayez de vous connecter et choisissez un nouveau certificat.
Microsoft Entra CBA avec YubiKey ne fonctionne pas. Quelles informations aideraient à déboguer le problème ?
- Ouvrez Microsoft Authenticator application, sélectionnez l’icône de trois points dans le coin supérieur droit, puis sélectionnez Send Feedback.
- Sélectionnez Vous avez des difficultés ?.
- Pour Sélectionner une option, sélectionnez Ajouter ou se connecter à un compte.
- Décrivez tous les détails que vous souhaitez ajouter.
- Sélectionnez la flèche d’envoi dans le coin supérieur droit. Notez le code fourni dans la boîte de dialogue qui s’affiche.
Comment appliquer une MFA résistante au hameçonnage à l’aide d’une clé de sécurité matérielle sur des applications basées sur un navigateur sur mobile ?
L’authentification par certificats et la fonctionnalité de force d’authentification de l’accès conditionnel offrent une solution puissante qui permet aux clients de mettre en application leurs besoins d’authentification. Edge en tant que profil (ajouter un compte) fonctionne avec une clé de sécurité matérielle comme la YubiKey et une stratégie d’accès conditionnel avec une fonctionnalité de force d’authentification peut mettre en application une authentification résistante au hameçonnage avec l’authentification CBA.
L’authentification par certificat pour YubiKey est disponible dans les dernières bibliothèques d’authentification Microsoft (MSAL) et sur toute application tierce qui intègre les dernières MSAL. Toutes les applications internes Microsoft peuvent utiliser l’authentification par certificat et l’authentification par accès conditionnel.
Systèmes d’exploitation pris en charge
| Système d’exploitation | Certificat sur l’appareil/PIV dérivé | Cartes à puce/Clés de sécurité |
|---|---|---|
| Ios | ✅ | Fournisseurs pris en charge uniquement |
Navigateurs pris en charge
| Système d’exploitation | Certificat Chrome sur un appareil | Carte à puce/clé de sécurité Chrome | Certificat Safari sur un appareil | Carte à puce/clé de sécurité Safari | Certificat Edge sur un appareil | Carte à puce Edge/clé de sécurité |
|---|---|---|---|---|---|---|
| Ios | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Fournisseurs de clés de sécurité
| Fournisseur | Ios |
|---|---|
| YubiKey | ✅ |
Étapes suivantes
- Vue d'ensemble de Microsoft Entra CBA
- Analyse technique approfondie pour Microsoft Entra CBA
- How to configure Microsoft Entra CBA
- Microsoft Entra liste de révocation des certificats CBA
- Microsoft Entra CBA sur les appareils Android
- Connexion par carte à puce Windows à l’aide de Microsoft Entra CBA
- ID des utilisateurs du certificat
- Comment migrer des utilisateurs fédérés
- FORUM AUX QUESTIONS
- Microsoft Entra liste de révocation des certificats CBA
- Microsoft Entra CBA sur les appareils Android
- Connexion par carte à puce Windows à l’aide de Microsoft Entra CBA
- ID des utilisateurs du certificat
- Comment migrer des utilisateurs fédérés
- FORUM AUX QUESTIONS