Autenticazione basata su certificati di Azure Active Directory in Android

L'autenticazione basata su certificati (CBA) consente di essere autenticati da Azure Active Directory con un certificato client su un dispositivo Windows, Android o iOS quando si connette il proprio account Exchange online a:

  • Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft Word
  • Client Exchange ActiveSync (EAS)

La configurazione di questa funzionalità elimina la necessità di immettere una combinazione di nome utente e password in determinate applicazioni di posta e applicazioni Microsoft Office sul dispositivo mobile.

Questo argomento indica i requisiti e gli scenari supportati per la configurazione dell'autenticazione basata su certificati su un dispositivo iOS (Android) per gli utenti dei tenant nei piani di Office 365 Enterprise, Business, Education, US Government, China e Germany.

Questa funzionalità è disponibile in anteprima nei piani di Office 365 US Government Defense e Federal.

Supporto delle applicazioni Office per dispositivi mobili

App Supporto
Word / Excel / PowerPoint Controllo
OneNote Controllo
OneDrive Controllo
Outlook Controllo
Yammer Controllo
Skype for Business Online Controllo
App Azure Information Protection Controllo
Microsoft Teams Controllo

Requisiti di implementazione

La versione del sistema operativo del dispositivo deve essere Android 5.0 (Lollipop) o successiva.

È necessario configurare un server federativo.

Perché Azure Active Directory possa revocare un certificato client, il token ADFS deve avere le attestazioni seguenti:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>
    (Il numero di serie del certificato client)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>
    (La stringa per l'autorità emittente del certificato client)

Azure Active Directory aggiunge queste attestazioni per il token di aggiornamento se sono disponibili nel token ADFS (o in qualsiasi altro token SAML). Quando il token di aggiornamento deve essere convalidato, queste informazioni vengono usate per controllare la revoca.

Come procedura consigliata, è necessario aggiornare le pagine di errore di ADFS con le istruzioni su come ottenere un certificato utente.
Per altre informazioni, vedere Personalizzazione delle pagine di accesso ad AD FS.

Alcune app di Office, in cui non è abilitata l'autenticazione moderna, inviano "prompt=login" ad Azure AD nella richiesta. Per impostazione predefinita, Azure AD lo traduce in una richiesta ad AD FS di eseguire l'autorizzazione di nome utente e password, ovvero "wauth=usernamepassworduri", e di ignorare lo stato SSO ed eseguire una nuova autenticazione, ovvero "wfresh=0". Per abilitare l'autenticazione basata su certificati per queste applicazioni, è necessario modificare il comportamento predefinito di Azure AD. È sufficiente impostare "PromptLoginBehavior" tra le impostazioni del dominio federato su "Disabled" (Disabilitato). Per eseguire questa operazione è possibile usare il cmdlet MSOLDomainFederationSettings:

Set-MSOLDomainFederationSettings -domainname <domain> -PromptLoginBehavior Disabled

Supporto dei client Exchange ActiveSync

Alcune applicazioni Exchange ActiveSync sono supportate in Android 5.0 (Lollipop) o versioni successive. Per determinare se l'applicazione di posta elettronica supporta questa funzionalità, contattare lo sviluppatore dell'applicazione.

Passaggi successivi

Se si desidera configurare l'autenticazione basata su certificati nel proprio ambiente, vedere Introduzione all'autenticazione basata su certificati in Android per le istruzioni.