Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La autenticación basada en certificados de Microsoft Entra se admite con certificados aprovisionados en el dispositivo y con claves de seguridad externas como YubiKeys.
Prerrequisitos
- La versión de Android debe ser Android 5.0 (Lollipop) o posterior.
- Las aplicaciones propias de Microsoft que tengan Microsoft Authenticator o las bibliotecas MSAL más recientes pueden usar la autenticación basada en certificados.
- Las aplicaciones de terceros que usen las bibliotecas MSAL más recientes o que estén integradas con Microsoft Authenticator pueden usar la autenticación basada en certificados.
CBA con certificados en el dispositivo
Los clientes pueden usar su elección de Administración de dispositivos móviles (MDM) para aprovisionar los certificados en el dispositivo. Los usuarios finales deben registrar primero sus dispositivos con MDM y obtener el certificado aprovisionado en el dispositivo. Una vez que el certificado se aprovisiona en el dispositivo, los usuarios pueden autenticarse mediante CBA.
Pasos para probar YubiKey en aplicaciones de Microsoft en Android:
- Abra Outlook.
- Seleccione Agregar cuenta y escriba el nombre principal de usuario (UPN).
- Haga clic en Continue.
- Seleccione Usar certificado o tarjeta inteligente.
- Seleccione Certificado en el dispositivo en el cuadro de diálogo**.**
- Aparece el selector de certificados.
- Seleccione el certificado asociado a la cuenta del usuario. Haga clic en Continue.
- El usuario puede acceder al recurso de Outlook si la autenticación se realiza correctamente.
CBA con certificados en la clave de seguridad de hardware
Los certificados se pueden aprovisionar en dispositivos externos, como claves de seguridad de hardware, junto con un PIN para proteger el acceso a claves privadas. Microsoft Entra ID admite la Autenticación Basada en Certificados (CBA) con YubiKey.
Ventajas de los certificados en la clave de seguridad de hardware
Claves de seguridad con certificados:
- La naturaleza itinerante de una clave de seguridad permite a los usuarios utilizar el mismo certificado en diferentes dispositivos.
- Están protegidos por hardware con un PIN, lo que hace que sean resistentes a la suplantación de identidad (phishing).
- Proporcione la autenticación multifactor con un PIN como segundo factor para acceder a la clave privada del certificado.
- Satisfacen el requisito del sector de tener MFA en un dispositivo independiente.
- Ayuda en la preparación para el futuro, donde se pueden almacenar múltiples credenciales, incluidas las claves de Fast Identity Online 2 (FIDO2).
Microsoft Entra CBA en dispositivos móviles Android con YubiKey
Android necesita una aplicación de middleware para poder admitir tarjetas inteligentes o claves de seguridad con certificados. Para admitir YubiKeys con Microsoft Entra CBA, el SDK de YubiKey para Android se ha integrado en el código del agente de Microsoft, que se puede aprovechar a través de la última biblioteca de autenticación de Microsoft (MSAL).
Dado que Microsoft Entra CBA con YubiKey en Android mobile está habilitado mediante la versión más reciente de MSAL, la aplicación YubiKey Authenticator no es necesaria para la compatibilidad con Android.
Pasos para probar YubiKey en aplicaciones de Microsoft en Android:
- Instale Microsoft Authenticator.
- Si su YubiKey tiene USB-C, abra Outlook y conecte su YubiKey.
- Seleccione Agregar cuenta y escriba el nombre principal de usuario (UPN).
- Haga clic en Continuar y, cuando se le pida permiso para acceder a su YubiKey, haga clic en Aceptar.
- Seleccione Usar certificado o tarjeta inteligente.
- Si usa una Yubikey habilitada para NFC, acerque la Yubikey a la parte posterior del dispositivo.
- Aparece un selector de certificados personalizado.
- Seleccione el certificado asociado a la cuenta del usuario y haga clic en Continuar.
- Escriba el PIN para acceder a YubiKey y seleccione Desbloquear.
- Si usa un Yubikey con NFC, mantenga el Yubikey en la parte posterior del teléfono de nuevo para validar el PIN.
- Una vez que la autenticación se realiza correctamente, puede acceder a Outlook.
Nota:
Para un flujo de CBA suave, conecte YubiKey tan pronto como se abra la aplicación y acepte el cuadro de diálogo de consentimiento de YubiKey antes de seleccionar el vínculo Usar certificado o tarjeta inteligente. Si desea experimentar solo una conexión, considere la posibilidad de que los usuarios conecten YubiKey mediante USB en lugar de NFC, que solo debe realizarse una vez al principio del inicio de sesión.
Compatibilidad con clientes de Exchange ActiveSync
Se admiten ciertas aplicaciones de Exchange ActiveSync en Android 5.0 (Lollipop) o posterior. Para determinar si la aplicación de correo electrónico admite Microsoft Entra CBA, póngase en contacto con el desarrollador de la aplicación.
Casos de uso admitidos de Microsoft Entra
Compatibilidad con aplicaciones móviles de Microsoft
| APLICACIONES | Apoyo |
|---|---|
| Aplicación de Azure Information Protection | ✅ |
| Portal de empresa | ✅ |
| Equipos de Microsoft | ✅ |
| Office (móvil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Perspectiva | ✅ |
| Power BI | ✅ |
| Skype Empresarial | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| Explorador Edge con inicio de sesión de perfil | ✅ |
| Pantalla de inicio gestionada | ✅ |
Navegadores
| Sistema operativo | Certificado chrome en el dispositivo | Tarjeta inteligente chrome/clave de seguridad | Certificado safari en el dispositivo | Tarjeta inteligente de Safari/clave de seguridad | Certificado de Edge en el dispositivo | Tarjeta inteligente perimetral/clave de seguridad |
|---|---|---|---|---|---|---|
| Androide | ✅ | ❌ | No disponible | No disponible | ✅ | ❌ |
Nota:
Aunque No se admite Edge como explorador, Edge como perfil (para el inicio de sesión de la cuenta) es una aplicación MSAL que admite CBA en Android.
Sistemas operativos
| Sistema operativo | Certificado en el dispositivo o PIV derivado | Tarjetas inteligentes/claves de seguridad |
|---|---|---|
| Androide | ✅ | Solo proveedores admitidos |
Proveedores de claves de seguridad
| Proveedor | Androide |
|---|---|
| YubiKey | ✅ |
Solución de problemas de certificados en la clave de seguridad de hardware
¿Qué ocurrirá si el usuario tiene certificados tanto en el dispositivo Android como en YubiKey?
- Si el usuario tiene certificados tanto en el dispositivo android como en YubiKey, si YubiKey está conectado antes de que el usuario haga clic en Usar certificado o tarjeta inteligente, se mostrarán los certificados en YubiKey.
- Si YubiKey no está conectado antes de que el usuario haga clic en Usar certificado o tarjeta inteligente, se le pedirá al usuario que seleccione entre certificados en el dispositivo o la tarjeta inteligente física. Si el usuario elige Certificado en el dispositivo, se mostrarán los certificados en el dispositivo. Si el usuario elige Certificados en una tarjeta inteligente física, conecte o mantenga presionada la YubiKey hacia atrás y el usuario mostrará los certificados en YubiKey.
Mi YubiKey se bloquea después de escribir incorrectamente pin tres veces. ¿Cómo puedo corregirlo?
- Los usuarios deben ver un cuadro de diálogo que le informa de que se han realizado demasiados intentos de PIN. Este cuadro de diálogo también aparece durante los intentos posteriores de seleccionar Usar certificado o tarjeta inteligente.
- Los usuarios deben ponerse en contacto con el administrador para restablecer un PIN de YubiKey.
He instalado Microsoft Authenticator, pero todavía no veo una opción para realizar la autenticación basada en certificados con YubiKey.
Antes de instalar Microsoft Authenticator, desinstale portal de empresa e instálelo después de la instalación de Microsoft Authenticator.
¿Admite Microsoft Entra CBA YubiKey a través de NFC?
Microsoft Entra CBA admite el uso de YubiKey con USB y NFC.
Una vez que se produce un error en la autenticación basada en certificados, se produce un error al hacer clic en la opción de autenticación basada en certificados de nuevo en el vínculo "Otras formas de iniciar sesión" en la página de error.
Este problema se produce debido al almacenamiento en caché de certificados. Como solución alternativa, al hacer clic en Cancelar y reiniciar el flujo de inicio de sesión, el usuario podrá elegir un nuevo certificado e iniciar sesión correctamente.
Error de Microsoft Entra CBA con YubiKey. ¿Qué información ayudaría a depurar el problema?
- Abra la aplicación Microsoft Authenticator, haga clic en el icono de tres puntos en la esquina superior derecha y seleccione Enviar comentarios.
- Haga clic en Tener problemas?
- En Seleccionar una opción, seleccione Agregar o iniciar sesión en una cuenta.
- Describa los detalles que quiera agregar.
- Haga clic en la flecha de envío en la esquina superior derecha. Anote el código proporcionado en el cuadro de diálogo que aparece.
Pasos siguientes
- Introducción a Microsoft Entra CBA
- Análisis técnico en profundidad para Microsoft Entra CBA
- Cómo configurar Microsoft Entra CBA
- Microsoft Entra CBA en dispositivos iOS
- Inicio de sesión de Windows SmartCard mediante CBA de Microsoft Entra
- Identificadores de usuario de certificado
- Migración de usuarios federados
- Preguntas Frecuentes