Partager via

Authentification basée sur des certificats Microsoft Entra sur les appareils Android

L’authentification basée sur les certificats Microsoft Entra est prise en charge avec les certificats provisionnés sur l’appareil et avec des clés de sécurité externes telles que YubiKeys.

Conditions préalables

  • La version Android doit être Android 5.0 (Lollipop) ou ultérieure.
  • Les applications internes Microsoft avec les dernières bibliothèques MSAL ou Microsoft Authenticator peuvent effectuer l’authentification CBA.
  • Les applications tierces qui utilisent les dernières bibliothèques MSAL ou qui sont intégrées à Microsoft Authenticator peuvent effectuer l’authentification CBA.

Authentification CBA avec des certificats sur appareil

Les clients peuvent utiliser leur choix de gestion des appareils mobiles (GPM) pour approvisionner les certificats sur l’appareil. Les utilisateurs finaux doivent d’abord enregistrer leurs appareils auprès de la gestion des appareils mobiles et faire provisionner le certificat sur l’appareil. Une fois que le certificat est provisionné sur l’appareil, les utilisateurs peuvent s’authentifier à l’aide de l’authentification CBA.

Étapes de test de YubiKey sur les applications Microsoft sur Android :

  1. Ouvrez Outlook.
  2. Sélectionnez Ajouter un compte et entrez votre nom d’utilisateur principal (UPN).
  3. Cliquez sur Continuer.
  4. Sélectionnez Utiliser un certificat ou une carte à puce.
  5. Sélectionnez Certificat sur l’appareil dans la boîte de dialogue**.**
  6. Le sélecteur de certificats s’affiche.
  7. Sélectionnez le certificat associé au compte de l’utilisateur. Cliquez sur Continuer.
  8. L’utilisateur est autorisé à accéder à la ressource Outlook si l’authentification réussit.

Authentification CBA avec des certificats sur une clé de sécurité matérielle

Les certificats peuvent être provisionnés sur des dispositifs externes tels que des clés de sécurité matérielles avec un code PIN pour protéger l’accès à la clé privée. Microsoft Entra ID prend en charge l’authentification CBA avec YubiKey.

Avantages des certificats sur une clé de sécurité matérielle

Clés de sécurité avec certificats :

  • Avoir la nature itinérante d’une clé de sécurité, qui permet aux utilisateurs d’utiliser le même certificat sur différents appareils.
  • Sont sécurisés par le matériel avec un code confidentiel, ce qui les rend résistants au hameçonnage.
  • Fournissez une authentification multifacteur avec un code confidentiel comme deuxième facteur pour accéder à la clé privée du certificat.
  • Répondre aux exigences du secteur pour que l’authentification multifacteur soit activée sur un appareil distinct.
  • Aide dans la vérification future où plusieurs informations d’identification peuvent être stockées, notamment les clés FIDO2 (Fast Identity Online 2).

Authentification basée sur les certificats Microsoft Entra sur Android mobile avec YubiKey

Android a besoin d’une application middleware pour pouvoir prendre en charge les clés de sécurité ou de carte à puce avec des certificats. Pour prendre en charge YubiKeys avec Microsoft Entra CBA, YubiKey Android SDK a été intégré au code broker Microsoft qui peut être utilisé via la dernière bibliothèque d’authentification Microsoft (MSAL).

Étant donné que Microsoft Entra CBA avec YubiKey sur Android mobile est activé à l'aide du dernier MSAL, l'application YubiKey Authenticator n'est pas nécessaire pour la prise en charge sur Android.

Étapes de test de YubiKey sur les applications Microsoft sur Android :

  1. Installez Microsoft Authenticator.
  2. Si votre YubiKey a USB-C, ouvrez Outlook et branchez votre YubiKey.
  3. Sélectionnez Ajouter un compte et entrez votre nom d’utilisateur principal (UPN).
  4. Cliquez sur Continuer, puis, lorsque vous êtes invité à accéder à votre YubiKey, cliquez sur OK.
  5. Sélectionnez Utiliser un certificat ou une carte à puce.
  6. Si vous utilisez un Yu bikey compatible NFC, maintenez le Yu bikey à l’arrière de l’appareil.
  7. Un sélecteur de certificats personnalisé s’affiche.
  8. Sélectionnez le certificat associé au compte de l’utilisateur, puis cliquez sur Continuer.
  9. Entrez le code confidentiel pour accéder à YubiKey, puis sélectionnez Déverrouiller.
  10. Si vous utilisez un Yu bikey avec NFC, maintenez le Yu bikey à l’arrière du téléphone à nouveau pour valider le code confidentiel.
  11. Une fois l’authentification réussie, vous pouvez accéder à Outlook.

Remarque

Pour un flux DBA fluide, branchez YubiKey dès que l’application est ouverte et acceptez la boîte de dialogue de consentement de YubiKey avant de sélectionner le lien Utiliser le certificat ou la carte à puce. Si vous souhaitez n’utiliser qu’une seule connexion, envisagez de connecter les utilisateurs à YubiKey à l’aide d’USB au lieu de NFC, ce qui ne doit être effectué qu’une seule fois au début de la connexion.

Prise en charge des clients Exchange ActiveSync

Certaines applications Exchange ActiveSync sur Android 5.0 (Lollipop) ou ultérieures sont prises en charge. Pour déterminer si votre application de messagerie prend en charge l’authentification basée sur les certificats Microsoft Entra, contactez le développeur de votre application.

Cas d’utilisation de Microsoft Entra pris en charge

Prise en charge des applications mobiles Microsoft

Applications logicielles Soutien
L'application Azure Information Protection
Portail d'entreprise
Microsoft Teams
L’Office (mobile)
OneNote, une application de prise de notes
OneDrive
Outlook
Power BI
Skype pour Entreprise
Word / Excel / PowerPoint
Yammer
Navigateur Edge avec connexion de profil
Écran d’accueil géré

Remarque

Lors de l’utilisation de l’authentification basée sur un certificat Microsoft Entra sur les appareils Android en mode kiosque (fréquent en mode appareil partagé), les clients doivent ajouter com.android.systemui à la liste blanche en tant que package requis pour s'assurer qu'ils reçoivent l'interface utilisateur appropriée pour finaliser leur authentification.

Navigateurs

Système d’exploitation Certificat Chrome sur un appareil Carte à puce/clé de sécurité Chrome Certificat Safari sur un appareil Carte à puce/clé de sécurité Safari Certificat Edge sur un appareil Carte à puce Edge/clé de sécurité
Android N/A N/A

Remarque

Bien qu'Edge en tant que navigateur ne soit pas pris en charge, Edge en tant que profil (pour la connexion de compte) est une application MSAL qui prend en charge l'authentification basée sur les certificats sur Android.

Systèmes d’exploitation

Système d’exploitation Certificat sur l’appareil/PIV dérivé Cartes à puce/Clés de sécurité
Android Fournisseurs pris en charge uniquement

Fournisseurs de clés de sécurité

Fournisseur Android
YubiKey

Résoudre les problèmes de certificats sur une clé de sécurité matérielle

Que se passe-t-il si l’utilisateur dispose de certificats sur l’appareil Android et YubiKey ?

  • Si l’utilisateur a des certificats sur l’appareil Android et YubiKey, si YubiKey est branché avant que l’utilisateur clique sur Utiliser le certificat ou la carte à puce, l’utilisateur affiche les certificats dans YubiKey.
  • Si YubiKey n’est pas branché avant que l’utilisateur clique sur Utiliser un certificat ou une carte à puce, l’utilisateur est invité à sélectionner entre les certificats sur l’appareil ou la carte à puce physique. Si l’utilisateur choisit Certificat sur l’appareil, l’utilisateur affiche les certificats sur l’appareil. Si l’utilisateur choisit Certificats sur une carte à puce physique, branchez ou maintenez la touche YubiKey à l’arrière, et l’utilisateur affiche les certificats dans YubiKey.

Mon YubiKey est verrouillé après avoir tapé incorrectement le code confidentiel trois fois. Comment puis-je le corriger ?

  • Les utilisateurs devraient voir une boîte de dialogue les informant que trop de tentatives de saisie de code PIN ont été effectuées. Cette boîte de dialogue apparaît également lors de tentatives successives pour sélectionner Utiliser un certificat ou une carte à puce.
  • Les utilisateurs doivent contacter l’administrateur pour réinitialiser un code CONFIDENTIEL YubiKey.

J’ai installé Microsoft Authenticator, mais je ne vois toujours pas d’option pour effectuer l’authentification basée sur des certificats avec YubiKey.

Avant d’installer Microsoft Authenticator, désinstallez le portail d’entreprise et installez-le après l’installation de Microsoft Authenticator.

L’authentification CBA Microsoft Entra prend-elle en charge YubiKey via NFC ?

Microsoft Entra CBA prend en charge l’utilisation de YubiKey avec USB et NFC.

Une fois que le CBA échoue, le fait de cliquer à nouveau sur l’option CBA dans le lien « Autres façons de se connecter » sur la page d’erreur échoue également.

Ce problème se produit en raison de la mise en cache des certificats. Pour contourner ce problème, le fait de cliquer sur annuler et redémarrer le flux de connexion permet à l’utilisateur de choisir un nouveau certificat et de se connecter avec succès.

L’authentification basée sur les certificats Microsoft Entra avec YubiKey échoue. Quelles informations aideraient à déboguer le problème ?

  1. Ouvrez l’application Microsoft Authenticator, cliquez sur l’icône à trois points dans le coin supérieur droit, puis sélectionnez Envoyer des commentaires.
  2. Cliquez sur Vous rencontrez des problèmes ?.
  3. Pour Sélectionner une option, sélectionnez Ajouter ou se connecter à un compte.
  4. Décrivez tous les détails que vous souhaitez ajouter.
  5. Cliquez sur la flèche d’envoi dans le coin supérieur droit. Notez le code fourni dans la boîte de dialogue qui s’affiche.

Étapes suivantes

  • Last updated on