Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este tópico aborda o suporte da Microsoft Entra para autenticação baseada em certificado (CBA) em dispositivos macOS e iOS.
Autenticação baseada em certificado do Microsoft Entra em dispositivos macOS
Os dispositivos que executam macOS podem usar o CBA para autenticar-se contra o Microsoft Entra ID usando o seu certificado de cliente X.509. Microsoft Entra CBA tem suporte com certificados no dispositivo e chaves de segurança protegidas por hardware externo. No macOS, o Microsoft Entra CBA tem suporte em todos os navegadores e em aplicativos de primeira parte da Microsoft.
Navegadores com suporte no macOS
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Logon de dispositivos macOS com a CBA do Microsoft Entra
Microsoft Entra CBA atualmente não tem suporte para entrada baseada em dispositivo em computadores macOS. O certificado usado para entrar no dispositivo pode ser o mesmo certificado usado para autenticar no Microsoft Entra ID a partir de um navegador ou aplicativo da área de trabalho, mas o próprio login do dispositivo ainda não é compatível com o Microsoft Entra ID.
Autenticação baseada em certificado do Microsoft Entra em dispositivos iOS
Os dispositivos que executam o iOS podem usar a CBA (autenticação baseada em certificado) para autenticar em Microsoft Entra ID usando um certificado de cliente em seu dispositivo ao se conectar a:
- Aplicativos móveis do Office, como Microsoft Outlook e Microsoft Word
- clientes do Exchange ActiveSync (EAS)
Microsoft Entra CBA tem suporte para certificados em navegadores nativos no dispositivo e em aplicativos de primeira parte da Microsoft em dispositivos iOS.
Pré-requisitos
- A versão do iOS deverá ser iOS 9 ou posterior.
- Microsoft Authenticator ou portal da empresa é necessário para aplicativos de primeira parte.
Suporte para certificados no dispositivo e armazenamento externo
Os certificados no dispositivo são provisionados no dispositivo. Os clientes podem usar o MDM (Mobile Gerenciamento de Dispositivos) para provisionar os certificados no dispositivo. Como o iOS não dá suporte a chaves protegidas por hardware prontas para uso, os clientes poderão usar dispositivos de armazenamento externo para certificados.
Plataformas compatíveis
- Há suporte apenas para navegadores nativos
- Aplicações que usam as bibliotecas MSAL mais recentes ou o Microsoft Authenticator podem realizar CBA.
- Edge com perfil, quando usuários adicionam conta e conectam em um perfil, há suporte para a CBA
- Aplicativos de primeira parte da Microsoft com as bibliotecas MSAL mais recentes ou o Microsoft Authenticator podem realizar a autenticação baseada em certificado (CBA).
Navegadores
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
suporte a aplicativos móveis Microsoft
| Aplicativos | Suporte |
|---|---|
| aplicativo Proteção de Informações do Azure | ✅ |
| Portal da Empresa | ✅ |
| Microsoft Teams | ✅ |
| Office (móvel) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
Suporte para clientes Exchange ActiveSync
No iOS 9 ou posterior, há suporte para o cliente de email do iOS nativo.
Para determinar se seu aplicativo de email dá suporte Microsoft Entra CBA, entre em contato com o desenvolvedor do aplicativo.
Suporte para certificados na chave de segurança de hardware
Certificados podem ser provisionados em dispositivos externos, como chaves de segurança de hardware, juntamente com um PIN para proteger o acesso à chave privada. A solução baseada em certificado móvel da Microsoft, juntamente com as chaves de segurança de hardware, é um método MFA simples, conveniente e certificado pelo FIPS (Federal Information Processing Standards) resistente a phishing.
Quanto ao iOS 16/iPadOS 16.1, dispositivos Apple dão suporte de driver nativo para cartões inteligentes compatíveis com USB-C ou Lightning conectados ao CCID. Isso significa que dispositivos Apple no iOS 16/iPadOS 16.1 veem um dispositivo compatível com CCID conectado por USB-C ou Lightning como um cartão inteligente sem o uso de drivers adicionais ou aplicativos de terceiros. Microsoft Entra CBA funciona com esses cartões inteligentes compatíveis com CCID conectados via USB-A, USB-C ou Lightning.
Vantagens de certificados na chave de segurança de hardware
Chaves de segurança com certificados:
- Podem ser usados em qualquer dispositivo e não precisam de um certificado para serem provisionados em todos os dispositivos que o usuário tem
- O hardware é protegido por um PIN, o que o torna resistente a phishing
- Fornecem autenticação multifator com um PIN como segundo fator para acessar a chave privada do certificado
- Cumprir o requisito da indústria de ter MFA em um dispositivo separado
- Ajudam na compatibilidade futura, pois várias credenciais podem ser armazenadas, incluindo chaves FIDO2 (Fast Identity Online 2)
CBA do Microsoft Entra em dispositivos móveis iOS com YubiKey
Embora o driver de cartão inteligente/CCID nativo esteja disponível em cartões inteligentes compatíveis com CCID conectados por Lightning ao iOS/iPadOS, o conector Lightning YubiKey 5Ci não é visto como um cartão inteligente conectado nesses dispositivos sem o uso do middleware PIV (Verificação de Identidade Pessoal), como o Yubico Authenticator.
Pré-requisito de registro único
- Ter um YubiKey habilitado para PIV com um certificado de cartão inteligente provisionado
- Baixe o aplicativo Yubico Authenticator para iOS em seu iPhone v14.2 ou posterior
- Abra o aplicativo, insira o YubiKey ou toque em NFC (comunicação de campo próximo) e siga as etapas para carregar o certificado no conjunto de chaves do iOS
Etapas para testar o YubiKey em aplicativos Microsoft no iOS mobile
- Instale o aplicativo de Microsoft Authenticator mais recente.
- Abra Outlook e conecte seu YubiKey.
- Selecione Adicionar conta e insira seu nome UPN.
- Selecione Continuar e o seletor de certificado do iOS será exibido.
- Selecione o certificado público copiado do YubiKey associado à conta do usuário.
- Selecione YubiKey necessário para abrir o aplicativo autenticador YubiKey.
- Insira o PIN para acessar o YubiKey e selecione o botão Voltar no canto superior esquerdo.
O usuário deve ser conectado com êxito e redirecionado para a página inicial do Outlook.
Solucionar problemas de certificados na chave de segurança de hardware
O que acontece se o usuário tiver certificados no dispositivo iOS e no YubiKey?
O seletor de certificados do iOS mostra todos os certificados no dispositivo iOS e os copiados do YubiKey para o dispositivo iOS. Dependendo das escolhas do usuário do certificado, ele pode ser levado para o autenticador YubiKey para inserir um PIN ou ser autenticado diretamente.
O YubiKey é bloqueado após o PIN ser digitado incorretamente três vezes. Como corrigir?
- Os usuários devem ver uma caixa de diálogo informando que foram feitas muitas tentativas de inserir o PIN. Essa caixa de diálogo também aparece durante as tentativas posteriores de selecionar Usar Certificado ou cartão inteligente.
- O YubiKey Manager pode redefinir o PIN de um YubiKey.
Depois que a CBA falha, também falha a opção da CBA no link “Outras maneiras de entrar”. Há uma solução alternativa?
Esse problema ocorre devido ao cache de certificado. Estamos trabalhando em uma atualização para limpar o cache. Como solução alternativa, selecione Cancelar, tente novamente a entrada e escolha um novo certificado.
Microsoft Entra CBA com YubiKey está falhando. Quais informações ajudariam a depurar o problema?
- Abra Microsoft Authenticator aplicativo, selecione o ícone de três pontos no canto superior direito e selecione Send Feedback.
- Selecione Ter Problemas?.
- Para Selecione uma opção, selecione Adicionar ou entrar em uma conta.
- Descreva os detalhes que você deseja adicionar.
- Selecione a seta de envio no canto superior direito. Tome nota do código fornecido na caixa de diálogo exibida.
Como posso impor a MFA resistente a phishing usando uma chave de segurança de hardware em aplicativos baseados em navegador em dispositivos móveis?
A autenticação baseada em certificado e a funcionalidade de força de autenticação do Acesso condicional permitem que os clientes imponham necessidades de autenticação. O Edge como perfil (adicionar uma conta) funciona com uma chave de segurança de hardware como o YubiKey, e a Política de acesso condicional com funcionalidade de força de autenticação pode impor a autenticação resistente a phishing com a CBA.
O suporte da CBA para YubiKey está disponível nas bibliotecas de Biblioteca do Microsoft Authenticator mais recentes (MSAL) e em qualquer aplicativo de terceiros que integre a MSAL mais recente. Todos os aplicativos primários da Microsoft podem usar a CBA e a força da autenticação de Acesso condicional.
Sistemas operacionais com suporte
| Sistema operacional | Certificado em dispositivo/PIV derivado | Cartões inteligentes/chaves de segurança |
|---|---|---|
| iOS | ✅ | Somente fornecedores com suporte |
Navegadores com suporte
| Sistema operacional | Certificado do Chrome no dispositivo | Cartão inteligente/chave de segurança do Chrome | Certificado do Safari no próprio dispositivo | Cartão inteligente/chave de segurança do Safari | Certificado do Edge no dispositivo | Cartão inteligente de edge/chave de segurança |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Provedores de chave de segurança
| Provedor | iOS |
|---|---|
| YubiKey | ✅ |
Próximas etapas
- Visão Geral do Microsoft Entra CBA
- Aprofundamento técnico para CBA do Microsoft Entra
- Como configurar Microsoft Entra CBA
- Lista de Revogação de Certificados da CBA do Microsoft Entra
- Microsoft Entra CBA em dispositivos Android
- Logon com cartão inteligente no Windows usando Microsoft Entra CBA
- IDs de usuário de certificado
- Como migrar usuários federados
- perguntas frequentes
- Lista de Revogação de Certificados da CBA do Microsoft Entra
- Microsoft Entra CBA em dispositivos Android
- Logon com cartão inteligente no Windows usando Microsoft Entra CBA
- IDs de usuário de certificado
- Como migrar usuários federados
- perguntas frequentes