Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se trata la compatibilidad de la autenticación basada en certificados (CBA) de Microsoft Entra con dispositivos macOS e iOS.
Autenticación basada en certificados de Microsoft Entra en dispositivos macOS
Los dispositivos que ejecutan macOS pueden usar CBA para autenticarse en Microsoft Entra ID mediante su certificado de cliente X.509. Microsoft Entra CBA se admite con certificados en el dispositivo y claves de seguridad protegidas por hardware externo. En macOS, la CBA de Microsoft Entra es compatible con todos los exploradores y aplicaciones de propiedad de Microsoft.
Exploradores admitidos en macOS
| Edge | Cromo | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Inicio de sesión de dispositivos macOS con Microsoft Entra CBA
Actualmente, la CBA de Microsoft Entra no es compatible con el inicio de sesión basado en dispositivos en máquinas macOS. El certificado que se usa para iniciar sesión en el dispositivo puede ser el mismo que se utiliza para autenticarse en Microsoft Entra desde un explorador o una aplicación de escritorio, pero aún no se admite el propio inicio de sesión del dispositivo en Microsoft Entra.
La autenticación basada en certificados de Microsoft Entra en dispositivos iOS
Los dispositivos que ejecutan iOS pueden usar la autenticación basada en certificados (CBA) para autenticarse en Microsoft Entra ID mediante el uso de un certificado de cliente en el dispositivo cuando se conecten a:
- aplicaciones móviles de Office como Microsoft Outlook y Microsoft Word,
- clientes de Exchange ActiveSync (EAS).
CBA de Microsoft Entra es compatible con certificados en dispositivos en exploradores nativos y en aplicaciones propias de Microsoft en dispositivos iOS.
Requisitos previos
- La versión de iOS debe ser iOS 9 o posterior.
- Se requiere Microsoft Authenticator para las aplicaciones de Office y Outlook en iOS.
Compatibilidad con certificados en el dispositivo y almacenamiento externo
Los certificados en el dispositivo se aprovisionan en el dispositivo. Los clientes pueden usar la administración de dispositivos móviles (MDM) para aprovisionar los certificados en el dispositivo. Como iOS no admite claves protegidas por hardware de manera predeterminada, los clientes pueden usar dispositivos de almacenamiento externo para los certificados.
Plataformas compatibles
- Solo se admiten exploradores nativos
- Las aplicaciones que usan las bibliotecas MSAL más recientes o Microsoft Authenticator pueden usar la autenticación basada en certificados
- Edge con perfil, cuando los usuarios agregan una cuenta y han iniciado sesión en un perfil admiten CBA.
- Las aplicaciones de primera entidad de Microsoft con las bibliotecas de MSAL más recientes o Microsoft Authenticator pueden hacer CBA
Navegadores
| Edge | Cromo | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Compatibilidad con aplicaciones móviles de Microsoft
| Aplicaciones | Soporte técnico |
|---|---|
| Aplicación Azure Information Protection | ✅ |
| Portal de empresa | ✅ |
| Microsoft Teams | ✅ |
| Office (móvil) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Perspectiva | ✅ |
| Power BI | ✅ |
| Skype Empresarial | ✅ |
| Word, Excel y PowerPoint | ✅ |
| Yammer | ✅ |
Compatibilidad con clientes de Exchange ActiveSync
En iOS 9 o posterior, se admite el cliente de correo de iOS nativo.
Para determinar si su aplicación de correo electrónico es compatible con Microsoft Entra CBA, comuníquese con el desarrollador de su aplicación.
Compatibilidad con certificados en la clave de seguridad de hardware
Los certificados se pueden aprovisionar en dispositivos externos, como claves de seguridad de hardware, junto con un PIN para proteger el acceso a la clave privada. La solución basada en certificados móviles de Microsoft, junto con las claves de seguridad de hardware, es un método MFA sencillo, práctico y certificado FIPS (Estándar federal de procesamiento de información).
En cuanto a iOS 16/iPadOS 16.1, los dispositivos Apple proporcionan compatibilidad con controladores nativos para tarjetas inteligentes compatibles con USB-C o Lightning conectado CCID. Esto significa que los dispositivos Apple en iOS 16/iPadOS 16.1 ven un dispositivo compatible con CCID conectado a USB-C o Lightning como una tarjeta inteligente sin el uso de controladores adicionales o aplicaciones de terceros. LA CBA de Microsoft Entra ID funciona en estas tarjetas inteligentes compatibles con CCID conectadas a USB-A, USB-C o Lightning.
Ventajas de los certificados en la clave de seguridad de hardware
Las claves de seguridad con certificados:
- Se puede usar en cualquier dispositivo y no es necesario que se aprovisione un certificado en todos los dispositivos que el usuario tenga
- Son hardware protegido con un PIN, lo que las hace resistentes a la suplantación de identidad (phishing)
- Proporcionan autenticación multifactor con un PIN como segundo factor para acceder a la clave privada del certificado.
- Satisfacer el requisito del sector de tener MFA en un dispositivo separado
- Ayudan en futuras pruebas en las que se pueden almacenar varias credenciales, incluidas las claves de Fast Identity Online 2 (FIDO2)
Microsoft Entra CBA en dispositivos móviles iOS con YubiKey
Aunque el controlador Smartcard/CCID nativo está disponible en iOS/iPadOS para tarjetas inteligentes compatibles con CCID conectadas a Lightning, el conector YubiKey 5Ci Lightning no se ve como una tarjeta inteligente conectada en estos dispositivos sin el uso del middleware PIV (Personal Identity Verification) como Yubico Authenticator.
Requisito previo de registro único
- Tener un YubiKey habilitado para PIV con un certificado de tarjeta inteligente aprovisionado en él
- Descargue la aplicación Yubico Authenticator para iOS en su iPhone con v14.2 o posterior.
- Abra la aplicación, inserte YubiKey o pulse sobre la comunicación de campo cercano (NFC) y siga los pasos para cargar el certificado en la cadena de claves de iOS
Pasos para probar YubiKey en aplicaciones de Microsoft en dispositivos móviles de iOS
- Instale la aplicación Microsoft Authenticator más reciente.
- Abra Outlook y conecte su YubiKey.
- Seleccione Agregar cuenta y escriba el nombre principal de usuario (UPN).
- Seleccione Continuar y aparecerá el selector de certificados de iOS.
- Seleccione el certificado público copiado de YubiKey asociado a la cuenta del usuario.
- Seleccione YubiKey necesario para abrir la aplicación YubiKey authenticator.
- Introduzca el PIN para acceder a YubiKey y seleccione el botón Atrás en la esquina superior izquierda.
El usuario debe iniciar sesión correctamente y redirigirse a la página principal de Outlook.
Solución de problemas de certificados en la clave de seguridad de hardware
¿Qué ocurre si el usuario tiene certificados tanto en el dispositivo iOS como en YubiKey?
El selector de certificados de iOS muestra todos los certificados tanto en el dispositivo iOS como en los copiados de YubiKey en el dispositivo iOS. En función de la selección del usuario del certificado, se le puede llevar al autenticador de YubiKey para escribir un PIN o autenticarse directamente.
Mi YubiKey se bloquea después de escribir incorrectamente el PIN 3 veces. ¿Cómo puedo corregirlo?
- Los usuarios deben ver un cuadro de diálogo que le informa de que se han realizado demasiados intentos de PIN. Este cuadro de diálogo también aparece durante los intentos posteriores de seleccionar Usar certificado o tarjeta inteligente.
- El administrador de YubiKey puede restablecer el PIN de YubiKey.
Una vez que se produce un error en CBA, también se produce un error en la opción CBA del vínculo "Otras formas de iniciar sesión". ¿Hay alguna solución alternativa?
Este problema se produce debido al almacenamiento en caché de certificados. Estamos trabajando en una actualización para borrar la memoria caché. Como solución alternativa, seleccione Cancelar, vuelva a intentar iniciar sesión y elija un nuevo certificado.
Error de Microsoft Entra CBA con YubiKey. ¿Qué información podría ayudar a depurar el problema?
- Abra la aplicación Microsoft Authenticator, seleccione el icono de tres puntos en la esquina superior derecha y seleccione Enviar comentarios.
- Seleccione ¿Tienes problemas?.
- En Seleccionar una opción, seleccione Agregar o iniciar sesión en una cuenta.
- Describa los detalles que quiera agregar.
- Seleccione la flecha de envío en la esquina superior derecha. Anote el código proporcionado en el cuadro de diálogo que aparece.
¿Cómo puedo aplicar MFA resistente a la suplantación de identidad mediante una clave de seguridad de hardware en aplicaciones basadas en exploradores en dispositivos móviles?
La autenticación basada en certificados y la funcionalidad de seguridad de autenticación de acceso condicional hacen que sea eficaz para que los clientes apliquen las necesidades de autenticación. Edge como perfil (agregar una cuenta) funciona con una clave de seguridad de hardware como YubiKey y una directiva de acceso condicional con capacidad de seguridad de autenticación puede aplicar la autenticación resistente a la suplantación de identidad con CBA.
La compatibilidad de CBA con YubiKey está disponible en las bibliotecas más recientes de la Biblioteca de autenticación de Microsoft (MSAL) y cualquier aplicación de terceros que integre la versión más reciente de MSAL. Todas las aplicaciones propias de Microsoft pueden usar la seguridad de autenticación de acceso condicional y CBA.
Sistemas operativos admitidos
| Sistema operativo | Certificado en el dispositivo o PIV derivado | Tarjetas inteligentes/claves de seguridad |
|---|---|---|
| Ios | ✅ | Solo proveedores admitidos |
Exploradores compatibles
| Sistema operativo | Certificado de Chrome en el dispositivo | Tarjeta inteligente/clave de seguridad de Chrome | Certificado de Safari en el dispositivo | Tarjeta inteligente de Safari/clave de seguridad | Certificado de Edge en el dispositivo | Tarjeta inteligente/clave de seguridad de Edge |
|---|---|---|---|---|---|---|
| Ios | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Proveedores de claves de seguridad
| Proveedor | Ios |
|---|---|
| YubiKey | ✅ |
Problemas conocidos
- En iOS, los usuarios con autenticación basada en certificados verán una "solicitud doble", donde deben seleccionar la opción para usar la autenticación basada en certificados dos veces.
- En iOS, los usuarios que tengan la aplicación Microsoft Authenticator también verán la solicitud de inicio de sesión por hora para autenticarse con CBA si hubiera una directiva de seguridad de autenticación que aplique CBA o si usan CBA como segundo factor.
- En iOS, una directiva de seguridad de autenticación que requiera CBA y una directiva de protección de aplicaciones MAM terminarán en un bucle entre el registro de dispositivos y la satisfacción de MFA. Debido al error en iOS, cuando un usuario usa CBA para satisfacer el requisito de MFA, la directiva de MAM no se satisface con el error que produce el servidor, lo que indica que se requiere el registro del dispositivo, aunque el dispositivo esté registrado. Este error provoca que haya que volver a registrarse, y la solicitud queda atrapada en un ciclo de uso de CBA para iniciar sesión, y el dispositivo requiere registro. Debido a los problemas anteriores, CBA como segundo factor se bloquea en iOS y se desbloqueará tan pronto como se corrijan las correcciones.
Pasos siguientes
- Información general sobre la autenticación basada en certificados de Microsoft Entra
- Análisis técnico en profundidad para Microsoft Entra CBA
- Configuración de Microsoft Entra CBA
- Autenticación basada en certificados de Microsoft Entra en dispositivos Android
- Inicio de sesión de tarjeta inteligente de Windows con la CBA de Microsoft Entra
- Identificadores de usuario de certificado
- Cómo migrar usuarios federados
- Preguntas más frecuentes