Autenticazione basata su certificati di Azure Active Directory in iOSAzure Active Directory certificate-based authentication on iOS

L'autenticazione basata su certificati (CBA) consente di essere autenticati da Azure Active Directory con un certificato client su un dispositivo Windows, Android o iOS quando si connette il proprio account Exchange online a:Certificate-based authentication (CBA) enables you to be authenticated by Azure Active Directory with a client certificate on a Windows, Android or iOS device when connecting your Exchange online account to:

  • Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft WordOffice mobile applications such as Microsoft Outlook and Microsoft Word
  • Client Exchange ActiveSync (EAS)Exchange ActiveSync (EAS) clients

La configurazione di questa funzionalità elimina la necessità di immettere una combinazione di nome utente e password in determinate applicazioni di posta e applicazioni Microsoft Office sul dispositivo mobile.Configuring this feature eliminates the need to enter a username and password combination into certain mail and Microsoft Office applications on your mobile device.

Questo argomento indica i requisiti e gli scenari supportati per la configurazione dell'autenticazione basata su certificati su un dispositivo iOS (Android) per gli utenti dei tenant nei piani di Office 365 Enterprise, Business, Education, US Government, China e Germany.This topic provides you with the requirements and the supported scenarios for configuring CBA on an iOS(Android) device for users of tenants in Office 365 Enterprise, Business, Education, US Government, China, and Germany plans.

Questa funzionalità è disponibile in anteprima nei piani di Office 365 US Government Defense e Federal.This feature is available in preview in Office 365 US Government Defense and Federal plans.

Supporto delle applicazioni per dispositivi mobili MicrosoftMicrosoft mobile applications support

AppApps SupportoSupport
App Azure Information ProtectionAzure Information Protection app Controllo
Portale aziendale IntuneIntune Company Portal Controllo
Microsoft TeamsMicrosoft Teams Controllo
OneNoteOneNote Controllo
OneDriveOneDrive Controllo
OutlookOutlook Controllo
Power BIPower BI Controllo
Skype for Business OnlineSkype for Business Controllo
Word / Excel / PowerPointWord / Excel / PowerPoint Controllo
YammerYammer Controllo

RequisitiRequirements

La versione del sistema operativo del dispositivo deve essere iOS 9 o successivaThe device OS version must be iOS 9 and above

È necessario configurare un server federativo.A federation server must be configured.

Per le applicazioni Office in iOS è richiesto Microsoft Authenticator.Microsoft Authenticator is required for Office applications on iOS.

Perché Azure Active Directory possa revocare un certificato client, il token ADFS deve avere le attestazioni seguenti:For Azure Active Directory to revoke a client certificate, the ADFS token must have the following claims:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>
    (Il numero di serie del certificato client)(The serial number of the client certificate)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>
    (La stringa per l'autorità emittente del certificato client)(The string for the issuer of the client certificate)

Azure Active Directory aggiunge queste attestazioni per il token di aggiornamento se sono disponibili nel token ADFS (o in qualsiasi altro token SAML).Azure Active Directory adds these claims to the refresh token if they are available in the ADFS token (or any other SAML token). Quando il token di aggiornamento deve essere convalidato, queste informazioni vengono usate per controllare la revoca.When the refresh token needs to be validated, this information is used to check the revocation.

Come procedura consigliata, è necessario aggiornare le pagine di errore di ADFS con le operazioni seguenti:As a best practice, you should update the ADFS error pages with the following:

  • Il requisito dell'installazione di Microsoft Authenticator in iOSThe requirement for installing the Microsoft Authenticator on iOS
  • Istruzioni su come ottenere un certificato utente.Instructions on how to get a user certificate.

Per altre informazioni, vedere Personalizzazione delle pagine di accesso ad AD FS.For more details, see Customizing the AD FS Sign-in Pages.

Alcune app di Office, in cui non è abilitata l'autenticazione moderna, inviano "prompt=login" ad Azure AD nella richiesta.Some Office apps (with modern authentication enabled) send ‘prompt=login’ to Azure AD in their request. Per impostazione predefinita, Azure AD lo traduce in una richiesta ad AD FS di eseguire l'autorizzazione di nome utente e password, ovvero "wauth=usernamepassworduri", e di ignorare lo stato SSO ed eseguire una nuova autenticazione, ovvero "wfresh=0".By default, Azure AD translates this in the request to ADFS to ‘wauth=usernamepassworduri’ (asks ADFS to do U/P auth) and ‘wfresh=0’ (asks ADFS to ignore SSO state and do a fresh authentication). Per abilitare l'autenticazione basata su certificati per queste applicazioni, è necessario modificare il comportamento predefinito di Azure AD.If you want to enable certificate-based authentication for these apps, you need to modify the default Azure AD behavior. È sufficiente impostare "PromptLoginBehavior" tra le impostazioni del dominio federato su "Disabled" (Disabilitato).Just set the ‘PromptLoginBehavior’ in your federated domain settings to ‘Disabled‘. Per eseguire questa operazione è possibile usare il cmdlet MSOLDomainFederationSettings:You can use the MSOLDomainFederationSettings cmdlet to perform this task:

Set-MSOLDomainFederationSettings -domainname <domain> -PromptLoginBehavior Disabled

Supporto dei client Exchange ActiveSyncExchange ActiveSync clients support

In iOS 9 o versioni successive è supportato il client di posta iOS nativo.On iOS 9 or later, the native iOS mail client is supported. Per tutte le altre applicazioni Exchange ActiveSync, contattare lo sviluppatore dell'applicazione per determinare se questa funzionalità è supportata.For all other Exchange ActiveSync applications, to determine if this feature is supported, contact your application developer.

Passaggi successiviNext steps

Se si desidera configurare l'autenticazione basata su certificati nel proprio ambiente, vedere Introduzione all'autenticazione basata su certificati in Android per le istruzioni.If you want to configure certificate-based authentication in your environment, see Get started with certificate-based authentication on Android for instructions.