微軟推出無密碼行動裝置Azure AD憑證身分驗證

微軟在Ignite 2022宣布全面推出Azure AD憑證身分驗證（Certificate-Based Authentication，CBA），而現在進一步在iOS和Android裝置上公開預覽，用戶可以使用硬體安全金鑰YubiKey執行Azure AD憑證身分驗證。官方解釋，因為現在自帶裝置風氣興起，這個功能將可以讓使用者在自有行動裝置，具備抵抗釣魚攻擊的多因素驗證能力。

在行動裝置上，雖然使用者可以在其個人行動裝置上，配置用戶憑證以進行身分驗證，但這主要是用於受管理的行動裝置，而新功能則可支援自帶裝置，讓使用者在外部硬體安全金鑰預配置憑證，然後在iOS和Android裝置使用Azure AD進行身分驗證。

微軟表示，這種結合行動憑證和硬體安全金鑰的解決方案，是一種簡單方便，且經過FIPS認證的防網路釣魚多因素驗證方法。YubiKey官方則表示，YubiKey是目前唯一支援Android和iOS上的CBA外部裝置，同時YubiKey也是唯一可用於行動Azure AD的FIPS認證防網路釣魚解決方案。

現在所有針對瀏覽器的網頁應用程式和本機應用程式，包括使用最新微軟身分驗證函式庫（Microsoft Authentication Library，MSAL）的第一方應用程式，都在行動裝置支援使用YubiKey上的Azure AD憑證身分驗證，對於那些尚未使用最新MSAL的應用程式，用戶則可以使用Microsoft Authenticator應用程式的代理身分驗證流程，該流程也支援YubiKey上的Azure AD憑證身分驗證。

用戶可以從憑證選擇器選擇YubiKey憑證，插入YubiKey或使用具NFC功能的YubiKey透過YubiKey Authenticator輸入PIN碼，即可完成身分驗證流程。