Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tópico abrange o suporte de autenticação baseada em certificados (CBA) do Microsoft Entra para dispositivos macOS e iOS.
Autenticação com base em certificados do Microsoft Entra em dispositivos macOS
Os dispositivos que executam macOS podem usar CBA para autenticar contra o Microsoft Entra ID usando o seu certificado de cliente X.509. O Microsoft Entra CBA é suportado com certificados no dispositivo e chaves de segurança protegidas por hardware externo. No macOS, o Microsoft Entra CBA é suportado em todos os navegadores e em aplicações de primeira parte da Microsoft.
Navegadores suportados no macOS
| Edge | Cromado | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Login de dispositivo macOS com Microsoft Entra CBA
O Microsoft Entra CBA hoje não é suportado para login baseado em dispositivos em máquinas macOS. O certificado usado para iniciar sessão no dispositivo pode ser o mesmo certificado usado para autenticar o Microsoft Entra ID a partir de um navegador ou aplicação de ambiente de trabalho, mas o login do dispositivo em si ainda não é suportado contra o Microsoft Entra ID.
Autenticação baseada em certificados Microsoft Entra em dispositivos iOS
Dispositivos que executam iOS podem usar autenticação baseada em certificados (CBA) para autenticar ao Microsoft Entra ID usando um certificado cliente no seu dispositivo ao ligarem-se a:
- Aplicações móveis do escritório, como Microsoft Outlook e Microsoft Word
- Clientes Exchange ActiveSync (EAS)
O Microsoft Entra CBA é suportado para certificados no dispositivo em navegadores nativos e em aplicações de primeira parte da Microsoft em dispositivos iOS.
Pré-requisitos
- A versão iOS deve ser iOS 9 ou posterior.
- O Microsoft Authenticator ou portal da empresa é obrigatório para aplicações de primeira parte.
Suporte para certificados no dispositivo e armazenamento externo
Os certificados no dispositivo são configurados no próprio dispositivo. Os clientes podem usar o Mobile Gestão de Dispositivos (MDM) para provisionar os certificados no dispositivo. Como o iOS não suporta chaves protegidas por hardware prontas para uso, os clientes podem usar dispositivos de armazenamento externos para certificados.
Plataformas suportadas
- Apenas navegadores nativos são suportados
- Aplicações que utilizam as mais recentes bibliotecas MSAL ou o Microsoft Authenticator conseguem realizar CBA
- Edge com perfil, quando os utilizadores adicionam uma conta e iniciam sessão num perfil compatível com CBA.
- As aplicações nativas da Microsoft com as mais recentes bibliotecas MSAL ou o Microsoft Authenticator conseguem realizar CBA.
Navegadores
| Edge | Cromado | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Suporte a aplicações móveis Microsoft
| Aplicações | Suporte |
|---|---|
| Azure Information Protection aplicativo | ✅ |
| Portal da Empresa | ✅ |
| Microsoft Teams | ✅ |
| Office (aplicação móvel) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype para Empresas | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Suporte para clientes Exchange ActiveSync
No iOS 9 ou posterior, o cliente de email iOS nativo é suportado.
Para determinar se a sua aplicação de email suporta o Microsoft Entra CBA, contacte o seu programador de aplicação.
Suporte para certificados em chave de segurança de hardware
Os certificados podem ser provisionados em dispositivos externos, como chaves de segurança de hardware, juntamente com um PIN para proteger o acesso à chave privada. A solução móvel da Microsoft baseada em certificados móveis, aliada às chaves de segurança do hardware, é um método MFA simples e conveniente certificado pelo FIPS (Federal Information Processing Standards) e resistente ao phishing.
Quanto ao iOS 16/iPadOS 16.1, os dispositivos da Apple fornecem suporte de driver nativo para cartões inteligentes compatíveis com CCID conectados USB-C ou Lightning. Isso significa que os dispositivos Apple no iOS 16/iPadOS 16.1 veem um dispositivo compatível com CCID conectado USB-C ou Lightning como um cartão inteligente sem o uso de drivers adicionais ou aplicativos de terceiros. A Microsoft Entra CBA funciona nestes cartões inteligentes compatíveis com CCID ligados a USB-A, USB-C ou Lightning.
Vantagens dos certificados na chave de segurança de hardware
Chaves de segurança com certificados:
- Pode ser usado em qualquer dispositivo e não precisa de um certificado para ser provisionado em todos os dispositivos que o usuário tem
- São protegidos por hardware com um PIN, o que os torna resistentes a phishing
- Fornecer autenticação multifator com um PIN como segundo fator para acessar a chave privada do certificado
- Satisfazer o requisito da indústria de ter MFA em dispositivo separado
- Ajuda na preparação para o futuro, onde várias credenciais podem ser armazenadas, incluindo as chaves do Fast Identity Online 2 (FIDO2)
Microsoft Entra CBA no iOS móvel com YubiKey
Embora o driver nativo de Smartcard/CCID esteja disponível no iOS/iPadOS para cartões inteligentes compatíveis com CCID conectados ao Lightning, o conector YubiKey 5Ci Lightning não é visto como um cartão inteligente conectado nesses dispositivos sem o uso de middleware PIV (Personal Identity Verification) como o Yubico Authenticator.
Pré-requisito de registo único
- Tenha um YubiKey habilitado para PIV com um certificado de cartão inteligente provisionado nele
- Baixe o aplicativo Yubico Authenticator para iOS no seu iPhone com v14.2 ou posterior
- Abra o aplicativo, insira a YubiKey ou toque sobre comunicação de campo próximo (NFC) e siga as etapas para carregar o certificado para o porta-chaves iOS
Passos para testar o YubiKey em aplicações Microsoft no iOS móvel
- Instale a aplicação Microsoft Authenticator mais recente.
- Abre o Outlook e liga o teu YubiKey.
- Selecione Adicionar conta e insira seu nome principal de usuário (UPN).
- Selecione Continue e o seletor de certificados do iOS será exibido.
- Selecione o certificado público copiado de YubiKey que está associado à conta do usuário.
- Selecione YubiKey necessário para abrir o aplicativo autenticador YubiKey.
- Digite o PIN para acessar YubiKey e selecione o botão voltar no canto superior esquerdo.
O utilizador deve iniciar sessão com sucesso e ser redirecionado para a página inicial do Outlook.
Solucionar problemas de certificados na chave de segurança de hardware
O que acontece se o usuário tiver certificados tanto no dispositivo iOS quanto no YubiKey?
O seletor de certificados iOS mostra todos os certificados no dispositivo iOS e os copiados do YubiKey para o dispositivo iOS. Dependendo das escolhas do usuário do certificado, eles podem ser levados ao autenticador YubiKey para inserir um PIN ou autenticados diretamente.
Meu YubiKey está bloqueado depois de digitar PIN incorretamente 3 vezes. Como faço para corrigi-lo?
- Os utilizadores devem ver uma caixa de diálogo a informar que foram feitas demasiadas tentativas de PIN. Esta caixa de diálogo também aparece durante as tentativas subsequentes de selecionar Usar certificado ou cartão inteligente.
- YubiKey Manager pode redefinir o PIN de um YubiKey.
Depois de a opção ACB falhar, a opção ACB na ligação «Outras formas de iniciar sessão» também falha. Existe uma solução alternativa?
Esse problema acontece devido ao cache de certificado. Estamos trabalhando em uma atualização para limpar o cache. Como solução alternativa, selecione Cancelar, tente entrar novamente e escolha um novo certificado.
O Microsoft Entra CBA com o YubiKey está a falhar. Que informações ajudariam a depurar o problema?
- Abre Microsoft Authenticator app, seleciona o ícone dos três pontos no canto superior direito e seleciona Enviar Feedback.
- Selecione Está com problemas?.
- Em Selecione uma opção, selecione Adicionar ou inicie sessão numa conta.
- Descreva todos os detalhes que deseja adicionar.
- Selecione a seta de envio no canto superior direito. Observe o código fornecido na caixa de diálogo exibida.
Como posso impor MFA resistente a phishing usando uma chave de segurança de hardware em aplicativos baseados em navegador em dispositivos móveis?
A autenticação baseada em certificados e a capacidade de definir a força da autenticação de Acesso Condicional tornam-na poderosa para os clientes imporem as necessidades de autenticação. O Edge enquanto perfil (adicionar uma conta) funciona com uma chave de segurança de hardware como YubiKey, e uma política de Acesso Condicional com capacidade de força de autenticação pode impor autenticação resistente a phishing usando CBA.
O suporte CBA para o YubiKey está disponível nas mais recentes bibliotecas da Biblioteca de Autenticação da Microsoft (MSAL) e em qualquer aplicação de terceiros que integre a mais recente MSAL. Todas as aplicações de primeira parte da Microsoft podem usar a força de autenticação CBA e de Acesso Condicional.
Sistemas operativos suportados
| Sistema operativo | Certificado no dispositivo/PIV derivado | Cartões inteligentes/chaves de segurança |
|---|---|---|
| iOS | ✅ | Apenas fornecedores suportados |
Browsers suportados
| Sistema operativo | Certificado do Chrome no dispositivo | Cartão inteligente do Chrome/chave de segurança | Certificado do Safari no dispositivo | Cartão inteligente do Safari/chave de segurança | Certificado de periferia no dispositivo | Cartão inteligente Edge/chave de segurança |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Fornecedores de chaves de segurança
| Fornecedor | iOS |
|---|---|
| YubiKey | ✅ |
Próximos passos
- Visão geral do Microsoft Entra CBA
- Análise técnica para Microsoft Entra CBA
- Como configurar Microsoft Entra CBA
- Microsoft Entra Lista de Revogação de Certificados do CBA
- Microsoft Entra CBA em dispositivos Android
- Início de sessão do Windows com cartão inteligente usando Microsoft Entra CBA
- IDs de usuário do certificado
- Como migrar usuários federados
- Perguntas Frequentes
- Microsoft Entra Lista de Revogação de Certificados do CBA
- Microsoft Entra CBA em dispositivos Android
- Início de sessão do Windows com cartão inteligente usando Microsoft Entra CBA
- IDs de usuário do certificado
- Como migrar usuários federados
- Perguntas Frequentes