Autenticazione basata su certificati di Azure Active Directory in AndroidAzure Active Directory certificate-based authentication on Android

L'autenticazione basata su certificati (CBA) consente di essere autenticati da Azure Active Directory con un certificato client su un dispositivo Windows, Android o iOS quando si connette il proprio account Exchange online a:Certificate-based authentication (CBA) enables you to be authenticated by Azure Active Directory with a client certificate on a Windows, Android or iOS device when connecting your Exchange online account to:

  • Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft WordOffice mobile applications such as Microsoft Outlook and Microsoft Word
  • Client Exchange ActiveSync (EAS)Exchange ActiveSync (EAS) clients

La configurazione di questa funzionalità elimina la necessità di immettere una combinazione di nome utente e password in determinate applicazioni di posta e applicazioni Microsoft Office sul dispositivo mobile.Configuring this feature eliminates the need to enter a username and password combination into certain mail and Microsoft Office applications on your mobile device.

Questo argomento indica i requisiti e gli scenari supportati per la configurazione dell'autenticazione basata su certificati su un dispositivo iOS (Android) per gli utenti dei tenant nei piani di Office 365 Enterprise, Business, Education, US Government, China e Germany.This topic provides you with the requirements and the supported scenarios for configuring CBA on an iOS(Android) device for users of tenants in Office 365 Enterprise, Business, Education, US Government, China, and Germany plans.

Questa funzionalità è disponibile in anteprima nei piani di Office 365 US Government Defense e Federal.This feature is available in preview in Office 365 US Government Defense and Federal plans.

Supporto delle applicazioni per dispositivi mobili MicrosoftMicrosoft mobile applications support

AppApps SupportoSupport
App Azure Information ProtectionAzure Information Protection app Controllo
Portale aziendale IntuneIntune Company Portal Controllo
Microsoft TeamsMicrosoft Teams Controllo
OneNoteOneNote Controllo
OneDriveOneDrive Controllo
OutlookOutlook Controllo
Power BIPower BI Controllo
Skype for Business OnlineSkype for Business Controllo
Word / Excel / PowerPointWord / Excel / PowerPoint Controllo
YammerYammer Controllo

Requisiti di implementazioneImplementation requirements

La versione del sistema operativo del dispositivo deve essere Android 5.0 (Lollipop) o successiva.The device OS version must be Android 5.0 (Lollipop) and above.

È necessario configurare un server federativo.A federation server must be configured.

Perché Azure Active Directory possa revocare un certificato client, il token ADFS deve avere le attestazioni seguenti:For Azure Active Directory to revoke a client certificate, the ADFS token must have the following claims:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>
    (Il numero di serie del certificato client)(The serial number of the client certificate)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>
    (La stringa per l'autorità emittente del certificato client)(The string for the issuer of the client certificate)

Azure Active Directory aggiunge queste attestazioni per il token di aggiornamento se sono disponibili nel token ADFS (o in qualsiasi altro token SAML).Azure Active Directory adds these claims to the refresh token if they are available in the ADFS token (or any other SAML token). Quando il token di aggiornamento deve essere convalidato, queste informazioni vengono usate per controllare la revoca.When the refresh token needs to be validated, this information is used to check the revocation.

Come procedura consigliata, è necessario aggiornare le pagine di errore di ADFS con le istruzioni su come ottenere un certificato utente.As a best practice, you should update the ADFS error pages with instructions on how to get a user certificate.
Per altre informazioni, vedere Personalizzazione delle pagine di accesso ad AD FS.For more details, see Customizing the AD FS Sign-in Pages.

Alcune app di Office, in cui non è abilitata l'autenticazione moderna, inviano "prompt=login" ad Azure AD nella richiesta.Some Office apps (with modern authentication enabled) send ‘prompt=login’ to Azure AD in their request. Per impostazione predefinita, Azure AD lo traduce in una richiesta ad AD FS di eseguire l'autorizzazione di nome utente e password, ovvero "wauth=usernamepassworduri", e di ignorare lo stato SSO ed eseguire una nuova autenticazione, ovvero "wfresh=0".By default, Azure AD translates this in the request to ADFS to ‘wauth=usernamepassworduri’ (asks ADFS to do U/P auth) and ‘wfresh=0’ (asks ADFS to ignore SSO state and do a fresh authentication). Per abilitare l'autenticazione basata su certificati per queste applicazioni, è necessario modificare il comportamento predefinito di Azure AD.If you want to enable certificate-based authentication for these apps, you need to modify the default Azure AD behavior. È sufficiente impostare "PromptLoginBehavior" tra le impostazioni del dominio federato su "Disabled" (Disabilitato).Just set the ‘PromptLoginBehavior’ in your federated domain settings to ‘Disabled‘. Per eseguire questa operazione è possibile usare il cmdlet MSOLDomainFederationSettings:You can use the MSOLDomainFederationSettings cmdlet to perform this task:

Set-MSOLDomainFederationSettings -domainname <domain> -PromptLoginBehavior Disabled

Supporto dei client Exchange ActiveSyncExchange ActiveSync clients support

Alcune applicazioni Exchange ActiveSync sono supportate in Android 5.0 (Lollipop) o versioni successive.Certain Exchange ActiveSync applications on Android 5.0 (Lollipop) or later are supported. Per determinare se l'applicazione di posta elettronica supporta questa funzionalità, contattare lo sviluppatore dell'applicazione.To determine if your email application does support this feature, please contact your application developer.

Passaggi successiviNext steps

Se si desidera configurare l'autenticazione basata su certificati nel proprio ambiente, vedere Introduzione all'autenticazione basata su certificati in Android per le istruzioni.If you want to configure certificate-based authentication in your environment, see Get started with certificate-based authentication on Android for instructions.