微软在Ignite 2022宣布全面推出Azure AD凭证身份验证(Certificate-Based Authentication,CBA),而现在进一步在iOS和Android设备上公开预览,用户可以使用硬件安全密钥YubiKey执行Azure AD凭证身份验证。官方解释,因为现在自带设备风气兴起,这个功能将可以让用户在自有移动设备,具备抵抗钓鱼攻击的多因素验证能力。
在移动设备上,虽然用户可以在其个人移动设备上,配置用户凭证以进行身份验证,但这主要是用于受管理的移动设备,而新功能则可支持自带设备,让用户在外部硬件安全密钥预配置凭证,然后在iOS和Android设备使用Azure AD进行身份验证。
微软表示,这种结合行动凭证和硬件安全密钥的解决方案,是一种简单方便,且经过FIPS认证的防网络钓鱼多因素验证方法。YubiKey官方则表示,YubiKey是目前唯一支持Android和iOS上的CBA外部设备,同时YubiKey也是唯一可用于行动Azure AD的FIPS认证防网络钓鱼解决方案。
现在所有针对浏览器的网页应用程序和本机应用程序,包括使用最新微软身份验证函数库(Microsoft Authentication Library,MSAL)的第一方应用程序,都在移动设备支持使用YubiKey上的Azure AD凭证身份验证,对于那些尚未使用最新MSAL的应用程序,用户则可以使用Microsoft Authenticator应用程序的代理身份验证流程,该流程也支持YubiKey上的Azure AD凭证身份验证。
用户可以从凭证选择器选择YubiKey凭证,插入YubiKey或使用具NFC功能的YubiKey通过YubiKey Authenticator输入PIN码,即可完成身份验证流程。