Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Thema behandelt Microsoft Entra zertifikatbasierte Authentifizierung (CBA)-Unterstützung für macOS- und iOS-Geräte.
Microsoft Entra zertifikatbasierte Authentifizierung auf macOS-Geräten
Geräte, die macOS ausführen, können die CBA verwenden, um sich mit ihrem X.509-Clientzertifikat gegen Microsoft Entra ID zu authentifizieren. Microsoft Entra CBA wird mit Zertifikaten auf dem Gerät und externen hardwaregeschützten Sicherheitsschlüsseln unterstützt. Unter macOS wird Microsoft Entra CBA auf allen Browsern und auf Microsoft Erstanbieteranwendungen unterstützt.
Unter macOS unterstützte Browser
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Anmeldung auf macOS-Geräten mit Microsoft Entra CBA
Microsoft Entra CBA wird heute für gerätebasierte Anmeldung bei macOS-Computern nicht unterstützt. Das Zertifikat, das zum Anmelden am Gerät verwendet wird, kann dasselbe Zertifikat sein, das für die Authentifizierung bei Microsoft Entra ID von einem Browser oder einer Desktopanwendung verwendet wird, die Geräteanmeldung selbst wird jedoch noch nicht für Microsoft Entra ID unterstützt.
Microsoft Entra zertifikatbasierte Authentifizierung auf iOS-Geräten
Geräte, die iOS ausführen, können zertifikatbasierte Authentifizierung (Certificate-based Authentication, CBA) verwenden, um sich bei Microsoft Entra ID mithilfe eines Clientzertifikats auf ihrem Gerät zu authentifizieren, wenn eine Verbindung hergestellt wird:
- Mobile Office-Anwendungen wie Microsoft Outlook und Microsoft Word
- Exchange ActiveSync-Clients (EAS)
Die zertifikatbasierte Microsoft Entra (CBA)-Authentifizierung wird für Zertifikate auf dem Gerät in nativen Browsern sowie in Microsoft-Erstanbieteranwendungen auf iOS-Geräten unterstützt.
Voraussetzungen
- Die Betriebssystemversion muss mindestens iOS 9 sein.
- Microsoft Authenticator oder Unternehmensportal ist für Erstanbieteranwendungen erforderlich.
Unterstützung für On-Device-Zertifikate und externen Speicher
On-Device-Zertifikate werden auf dem Gerät bereitgestellt. Kunden können mobile Device Management (MDM) verwenden, um die Zertifikate auf dem Gerät bereitzustellen. Da iOS keine standardmäßig verfügbaren, hardwaregeschützten Schlüssel unterstützt, können Kunden externe Speichergeräte für Zertifikate verwenden.
Unterstützte Plattformen
- Nur native Browser werden unterstützt
- Anwendungen, die neueste MSAL-Bibliotheken oder Microsoft Authenticator verwenden, können CBA ausführen
- Edge mit Profil unterstützt die CBA, wenn Benutzende ein Konto hinzufügen und in einem Profil angemeldet sind
- Microsoft Apps von Erstanbietern mit den neuesten MSAL-Bibliotheken oder Microsoft Authenticator können CBA ausführen
Browser
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Microsoft unterstützung mobiler Anwendungen
| Anwendungen | Support |
|---|---|
| Azure Information Protection-App | ✅ |
| Firmenportal | ✅ |
| Microsoft Teams | ✅ |
| Office (Mobil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Unterstützung für Exchange ActiveSync Clients
Unter iOS 9 oder höher wird der native iOS-E-Mail-Client unterstützt.
Um festzustellen, ob Ihre E-Mail-Anwendung Microsoft Entra CBA unterstützt, wenden Sie sich an den Anwendungsentwickler.
Unterstützung für Zertifikate auf einem Hardwaresicherheitsschlüssel
Zertifikate können auf externen Geräten wie etwa einem Hardwaresicherheitsschlüssel zusammen mit einer PIN bereitgestellt werden, um den Zugriff auf private Schlüssel zu schützen. Microsoft mobile zertifikatbasierte Lösung, die mit den Hardwaresicherheitsschlüsseln verbunden ist, ist eine einfache, bequeme, FIPS (Federal Information Processing Standards) zertifizierte Phishing-widerstandsfähige MFA-Methode.
Wie für iOS 16/iPadOS 16.1 bieten Apple-Geräte native Treiberunterstützung für CCID-konforme Smartcards, die via USB-C oder Lightning verbunden sind. Dies bedeutet, dass Apple-Geräte unter iOS 16/iPadOS 16.1 ein CCID-konformes Gerät, das via USB-C oder Lightning verbunden ist, als Smartcard erkennen, ohne die Verwendung zusätzlicher Treiber oder Drittanbieter-Apps. Microsoft Entra CBA funktioniert auf diesen USB-A-, USB-C- oder Lightning-kompatiblen CCID-kompatiblen Smartcards.
Vorteile von Zertifikaten auf Hardwaresicherheitsschlüsseln
Sicherheitsschlüssel mit Zertifikaten:
- Sie können auf jedem Gerät verwendet werden, und es muss kein Zertifikat auf jedem einzelnen Benutzergerät bereitgestellt werden.
- Sie sind hardwareseitig durch eine PIN geschützt, was sie widerstandsfähiger gegen Phishing macht.
- Sie stellen eine Multi-Faktor-Authentifizierung mit einer PIN als zweitem Faktor für den Zugriff auf den privaten Schlüssel des Zertifikats bereit.
- Erfüllen Sie die Branchenanforderung, MFA (Multi-Faktor-Authentifizierung) auf einem separaten Gerät zu haben.
- Hilfe bei der Zukunftssicherung, indem mehrere Berechtigungsnachweise gespeichert werden können, einschließlich Fast Identity Online 2 (FIDO2)-Schlüssel.
Microsoft Entra-CBA auf iOS-Mobilgeräten mit YubiKey
Obwohl der native Smartcard/CCID-Treiber unter iOS/iPadOS für CCID-konforme Smartcards verfügbar ist, die via Lightning verbunden sind, wird der YubiKey 5Ci Lightning-Connector ohne die Verwendung von PIV (Personal Identity Verification)-Middleware wie dem Yubico-Authenticator auf diesen Geräten nicht als verbundene Smartcard erkannt.
Voraussetzung für die einmalige Registrierung
- Sie benötigen einen PIV-fähigen YubiKey, auf dem ein Smartcardzertifikat bereitgestellt ist.
- Laden Sie die Yubico Authenticator für iOS-App auf Ihr iPhone mit v14.2 oder höher herunter.
- Öffnen Sie die App, stecken Sie den YubiKey ein oder tippen Sie auf die Nahfeldkommunikation (NFC) und folgen Sie den Schritten, um das Zertifikat in den iOS-Schlüsselbund hochzuladen.
Schritte zum Testen von YubiKey auf Microsoft Apps unter iOS Mobile
- Installieren Sie die neueste Microsoft Authenticator-App.
- Öffnen Sie Outlook, und schließen Sie Ihren YubiKey an.
- Wählen Sie Konto hinzufügen aus, und geben Sie Ihren Benutzerprinzipalnamen (UPN) ein.
- Auswählen fortfahren und der iOS-Zertifikat-Auswähler erscheint
- Wählen Sie das öffentliche, vom YubiKey kopierte Zertifikat aus, das mit dem Benutzerkonto verknüpft ist.
- Auswählen YubiKey erforderlich Azure rollenbasierte Zugriffskontrolle (RBAC)
- Geben Sie die PIN ein, um auf den YubiKey zuzugreifen, und wählen Sie in der oberen linken Ecke die Schaltfläche „Zurück“ aus.
Der Benutzer sollte erfolgreich angemeldet und zur Outlook Homepage umgeleitet werden.
Problembehandlung bei Zertifikaten auf Hardwaresicherheitsschlüsseln
Was geschieht, wenn sowohl auf dem iOS-Gerät als auch auf dem YubiKey des Benutzers Zertifikate vorhanden sind?
Die iOS-Zertifikatsauswahl zeigt alle Zertifikate sowohl auf dem iOS-Gerät wie auch diejenigen an, die vom YubiKey auf das iOS-Gerät kopiert wurden. Je nachdem, welches Zertifikat der Benutzer auswählt, wird er entweder zum YubiKey-Authentifikator weitergeleitet, um seine PIN einzugeben, oder direkt authentifiziert.
Mein YubiKey ist nach dreimaliger Falscheingabe der PIN gesperrt. Wie behebe ich das Problem?
- Die Benutzer sollten in einem Dialogfeld darüber informiert werden, dass zu viele PIN-Eingabeversuche unternommen wurden. Dieses Dialogfeld wird auch bei späteren Versuchen angezeigt, Zertifikat oder Smartcard verwenden auszuwählen.
- Der YubiKey Manager kann die PIN eines YubiKey zurücksetzen.
Nachdem die CBA fehlschlägt, schlägt auch die CBA-Option im Link „Andere Möglichkeiten zur Anmeldung“ fehl. Gibt es eine Problemumgehung?
Dieses Problem tritt aufgrund der Zwischenspeicherung von Zertifikaten auf. Wir arbeiten an einem Update, um den Cache zu löschen. Als Workaround wählen Sie Abbrechen, Anmeldeversuch wiederholen und ein neues Zertifikat auswählen.
Microsoft Entra CBA mit YubiKey schlägt fehl. Welche Informationen helfen beim Debuggen des Problems?
- Öffnen Sie Microsoft Authenticator App, wählen Sie das Symbol mit drei Punkten in der oberen rechten Ecke aus, und wählen Sie Send Feedback aus.
- Auswählen Probleme?.
- Wählen Sie bei Option auswählen die Option Konto hinzufügen oder sich bei einem Konto anmelden aus.
- Beschreiben Sie alle Details, die Sie hinzufügen möchten.
- Wählen Sie den Pfeil "Senden" in der oberen rechten Ecke aus. Beachten Sie den Code, der im eingeblendeten Dialogfeld angezeigt wird.
Wie kann ich die phishing-resistente MFA mithilfe eines Hardwaresicherheitsschlüssels in browserbasierten Anwendungen auf Mobilgeräten erzwingen?
Die zertifikatbasierte Authentifizierung und die Funktion für Authentifizierungsstärke beim bedingtem Zugriff bieten Kunden eine leistungsstarke Möglichkeit, Authentifizierungsanforderungen durchzusetzen. Edge als ein Profil (Konto hinzufügen) funktioniert mit einem Hardwaresicherheitsschlüssel wie YubiKey, und eine Richtlinie für bedingten Zugriff mit Authentifizierungsstärke kann die Phishing-resistente Authentifizierung mit CBA erzwingen.
CBA-Unterstützung für YubiKey ist in den neuesten Microsoft Authentication Library (MSAL)-Bibliotheken und jeder Drittanbieteranwendung verfügbar, die die neueste MSAL integriert. Alle Microsoft Anwendungen von Erstanbietern können die Authentifizierungsstärke von CBA und bedingtem Zugriff verwenden.
Unterstützte Betriebssysteme
| Betriebssystem | Geräteinternes Zertifikat/Abgeleitetes PIV | Smartcards/Sicherheitsschlüssel |
|---|---|---|
| iOS | ✅ | Nur unterstützte Anbieter |
Unterstützte Browser
| Betriebssystem | Chrome-Zertifikat auf dem Gerät | Chrome-Smartcard/Sicherheitsschlüssel | Safari-Zertifikat auf dem Gerät | Safari-Smartcard/Sicherheitsschlüssel | Edge-Zertifikat auf dem Gerät | Edge-Smartcard/-Sicherheitsschlüssel |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Sicherheitsschlüsselanbieter
| Anbieter | iOS |
|---|---|
| YubiKey | ✅ |
Nächste Schritte
- Übersicht über Microsoft Entra CBA
- Technische eingehende Analyse für Microsoft Entra CBA
- How to configure Microsoft Entra CBA
- Microsoft Entra CBA-Zertifikatsperrliste
- Microsoft Entra CBA auf Android-Geräten
- Windows Smartcard-Authentifizierung mit Microsoft Entra CBA
- Zertifikatbenutzer-IDs
- Migrieren von Verbundbenutzer*innen
- Häufig gestellte Fragen
- Microsoft Entra CBA-Zertifikatsperrliste
- Microsoft Entra CBA auf Android-Geräten
- Windows Smartcard-Authentifizierung mit Microsoft Entra CBA
- Zertifikatbenutzer-IDs
- Migrieren von Verbundbenutzer*innen
- Häufig gestellte Fragen