Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A autenticação baseada em Certificado do Microsoft Entra tem suporte com certificados provisionados no dispositivo e com chaves de segurança externas, como YubiKeys.
Pré-requisitos
- A versão do Android deve ser o Android 5.0 (Lollipop) ou posterior.
- Aplicativos proprietários da Microsoft com as bibliotecas MSAL mais recentes ou Microsoft Authenticator podem fazer CBA.
- Aplicativos de terceiros usando as bibliotecas MSAL mais recentes ou integrados ao Microsoft Authenticator podem realizar a autenticação baseada em certificado (CBA).
CBA com certificados no dispositivo
Os clientes podem usar sua escolha de MDM (Gerenciamento de Dispositivo Móvel) para provisionar os certificados no dispositivo. Os usuários finais devem primeiro registrar seus dispositivos com MDM e obter o certificado provisionado no dispositivo. Depois que o certificado for provisionado no dispositivo, os usuários poderão se autenticar usando a CBA.
Etapas para testar o YubiKey em aplicativos da Microsoft no Android:
- Abra o Outlook.
- Selecione Adicionar conta e insira o nome principal de usuário (UPN).
- Clique em Continuar.
- Selecione Usar Certificado ou cartão inteligente.
- Selecione Certificado no dispositivo na caixa de diálogo**.**
- O seletor de certificado é exibido.
- Selecione o certificado associado à conta do usuário. Clique em Continuar.
- O usuário poderá acessar o recurso do Outlook se a autenticação for bem-sucedida.
CBA com certificados na chave de segurança baseada em hardware
Os certificados podem ser provisionados em dispositivos externos, como chaves de segurança de hardware, juntamente com um PIN para proteger o acesso à chave privada. Microsoft Entra ID dá suporte à CBA com YubiKey.
Vantagens dos certificados na chave de segurança de hardware
Chaves de segurança com certificados:
- Possua a capacidade itinerante de uma chave de segurança, que permite aos usuários utilizarem o mesmo certificado em diferentes dispositivos.
- São protegidos por hardware com um PIN, o que os torna resistentes a phishing.
- Forneça a autenticação multifator com um PIN como segundo fator para acessar a chave privada do certificado.
- Satisfaz o requisito do setor de ter autenticação multifator em um dispositivo separado.
- Ajuda na preparação para o futuro, onde várias credenciais podem ser armazenadas, incluindo chaves FIDO2 (Fast Identity Online 2).
Microsoft Entra CBA no Android Mobile com YubiKey
O Android precisa de um aplicativo de middleware para dar suporte a smartcard ou chaves de segurança com certificados. Para dar suporte aos YubiKeys com o Microsoft Entra CBA, o YubiKey Android SDK foi integrado ao código do agente da Microsoft, que pode ser utilizado por meio da Biblioteca de Autenticação da Microsoft (MSAL) mais recente.
Como o Microsoft Entra CBA com YubiKey em dispositivos Android está habilitado usando o MSAL mais recente, o aplicativo YubiKey Authenticator não é necessário para suporte ao Android.
Etapas para testar o YubiKey em aplicativos da Microsoft no Android:
- Instale o Microsoft Authenticator.
- Se o YubiKey tiver USB-C, abra o Outlook e conecte seu YubiKey.
- Selecione Adicionar conta e insira o nome principal de usuário (UPN).
- Clique em Continuar e, quando solicitado a permissão para acessar o YubiKey, clique em OK.
- Selecione Usar Certificado ou cartão inteligente.
- Se você estiver usando um Yubikey habilitado para NFC, mantenha o Yubikey na parte de trás do dispositivo.
- Um seletor de certificado personalizado é exibido.
- Selecione o certificado associado à conta do usuário e clique em Continuar.
- Insira o PIN para acessar o YubiKey e selecione Desbloquear.
- Se você estiver usando um Yubikey com NFC, segure o Yubikey na parte de trás do telefone novamente para validar o PIN.
- Depois que a autenticação for bem-sucedida, você poderá acessar o Outlook.
Observação
Para obter um fluxo de CBA suave, conecte YubiKey assim que o aplicativo for aberto e aceite a caixa de diálogo de consentimento do YubiKey antes de selecionar o link Usar Certificado ou cartão inteligente. Se você quiser experimentar apenas uma única conexão, considere fazer com que os usuários conectem o YubiKey usando USB em vez de NFC, o que só precisa ser feito uma vez no início do logon.
Suporte para clientes do Exchange ActiveSync
Há suporte para determinados aplicativos Do Exchange ActiveSync no Android 5.0 (Lollipop) ou posterior. Para determinar se seu aplicativo de email dá suporte ao Microsoft Entra CBA, entre em contato com o desenvolvedor do aplicativo.
Casos de uso do Microsoft Entra com suporte
Suporte a aplicativos móveis da Microsoft
| Aplicativos | Support |
|---|---|
| Aplicativo de Proteção de Informações do Azure | ✅ |
| Portal da Empresa | ✅ |
| Equipes da Microsoft | ✅ |
| Office (móvel) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Perspectiva | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| Navegador Edge com login de perfil | ✅ |
| Tela de Início Gerenciada | ✅ |
Observação
Ao usar a autenticação baseada em certificado do Microsoft Entra em dispositivos Android no modo de quiosque (comum no Modo de Dispositivo Compartilhado), os clientes devem acrescentar com.android.systemui à lista de pacotes necessários para garantir que a interface de usuário apropriada seja apresentada, permitindo que eles concluam a autenticação.
Navegadores
| Sistema Operacional | Certificado do Chrome no dispositivo | Cartão inteligente/chave de segurança do Chrome | Certificado do Safari no dispositivo | Cartão inteligente/chave de segurança do Safari | Certificado Edge no dispositivo | Cartão inteligente Edge/chave de segurança |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | N/A | N/A | ✅ | ❌ |
Observação
Embora o Edge como navegador não tenha suporte, o Edge como um perfil (para logon de conta) é um aplicativo MSAL que dá suporte à CBA no Android.
Sistemas operacionais
| Sistema Operacional | Certificado no próprio dispositivo/PIV derivado | Cartões inteligentes/Chaves de segurança |
|---|---|---|
| Android | ✅ | Somente fornecedores com suporte |
Provedores de chave de segurança
| Fornecedor | Android |
|---|---|
| YubiKey | ✅ |
Solucionar problemas de certificados na chave de segurança de hardware
O que acontecerá se o usuário tiver certificados no dispositivo Android e yubiKey?
- Se o usuário tiver certificados no dispositivo Android e yubiKey, se o YubiKey estiver conectado antes que o usuário clique em Usar Certificado ou cartão inteligente, o usuário receberá os certificados no YubiKey.
- Se o YubiKey não estiver conectado antes que o usuário clique em Usar Certificado ou cartão inteligente, o usuário será solicitado a selecionar entre certificados no dispositivo ou cartão inteligente físico. Se o usuário escolher Certificado no dispositivo, o usuário será mostrado os certificados no dispositivo. Se o usuário escolher Certificados no cartão inteligente físico, conecte ou segure o YubiKey na parte de trás, e o usuário será mostrado os certificados no YubiKey.
Meu YubiKey é bloqueado depois de digitar pin incorretamente três vezes. Como corrigi-la?
- Os usuários devem ver uma janela de diálogo informando que muitas tentativas de inserir o PIN foram feitas. Essa caixa de diálogo também aparece durante as tentativas subsequentes de selecionar Usar Certificado ou cartão inteligente.
- Os usuários devem entrar em contato com o administrador para redefinir um PIN YubiKey.
Instalei o autenticador da Microsoft, mas ainda não vejo uma opção para fazer a autenticação baseada em certificado com YubiKey.
Antes de instalar o Microsoft Authenticator, desinstale o Portal da Empresa e instale-o após a instalação do Microsoft Authenticator.
O Microsoft Entra CBA dá suporte ao YubiKey via NFC?
O Microsoft Entra CBA dá suporte ao uso de YubiKey com USB e NFC.
Depois que a CBA falhar, o clique na opção CBA novamente no link "Outras maneiras de entrar" na página de erro falhará.
Esse problema ocorre devido ao cache de certificado. Como alternativa, clicar em cancelar e reiniciar o fluxo de logon permitirá que o usuário escolha um novo certificado e faça logon com êxito.
O Microsoft Entra CBA com YubiKey está apresentando falhas. Quais informações ajudariam a depurar o problema?
- Abra o aplicativo Microsoft Authenticator, clique no ícone de três pontos no canto superior direito e selecione Enviar Comentários.
- Clique em Dificuldades?.
- Para selecionar uma opção, selecione Adicionar ou entrar em uma conta.
- Descreva todos os detalhes que você deseja adicionar.
- Clique na seta de envio no canto superior direito. Observe o código fornecido na caixa de diálogo exibida.
Próximas etapas
- Visão geral do Microsoft Entra CBA
- Imersão técnica no Microsoft Entra CBA
- Como configurar o Microsoft Entra CBA
- Lista de revogação de certificados do Microsoft Entra CBA
- CBA do Microsoft Entra em dispositivos iOS
- Autenticação do Windows com cartão inteligente usando o Microsoft Entra CBA
- Certificado de Identificação de Usuário
- Como migrar usuários federados
- perguntas frequentes