Verificatie op basis van Microsoft Entra-certificaten met federatie op iOS
Om de beveiliging te verbeteren, kunnen iOS-apparaten gebruikmaken van verificatie op basis van certificaten (CBA) om te verifiëren bij Microsoft Entra ID met behulp van een clientcertificaat op hun apparaat wanneer ze verbinding maken met de volgende toepassingen of services:
- Mobiele Office-toepassingen zoals Microsoft Outlook en Microsoft Word
- Exchange ActiveSync-clients (EAS)
Als u certificaten gebruikt, hoeft u geen combinatie van een gebruikersnaam en wachtwoord in te voeren in bepaalde mail- en Microsoft Office-toepassingen op uw mobiele apparaat.
Ondersteuning voor mobiele Microsoft-toepassingen
| Apps | Ondersteuning |
|---|---|
| Azure Information Protection-app |  |
| Bedrijfsportal | |
| Microsoft Teams | |
| Office (mobiel) | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype voor Bedrijven | |
| Word/Excel/PowerPoint | |
| Yammer | |
Vereisten
Als u CBA met iOS wilt gebruiken, zijn de volgende vereisten en overwegingen van toepassing:
- De versie van het besturingssysteem van het apparaat moet iOS 9 of hoger zijn.
- Microsoft Authenticator is vereist voor Office-toepassingen in iOS.
- Er moet een identiteitsvoorkeur worden gemaakt in de macOS-sleutelhanger die de verificatie-URL van de AD FS-server bevat. Zie Een identiteitsvoorkeur maken in Sleutelhangertoegang op Mac voor meer informatie.
De volgende Ad FS-vereisten (Active Directory Federation Services) en overwegingen zijn van toepassing:
- De AD FS-server moet zijn ingeschakeld voor certificaatverificatie en federatieve verificatie gebruiken.
- Het certificaat moet Enhanced Key Usage (EKU) gebruiken en de UPN van de gebruiker bevatten in de alternatieve naam voor het onderwerp (NT Principal Name).
AD FS configureren
Voor Microsoft Entra ID om een clientcertificaat in te trekken, moet het AD FS-token de volgende claims hebben. Microsoft Entra ID voegt deze claims toe aan het vernieuwingstoken als deze beschikbaar zijn in het AD FS-token (of een ander SAML-token). Wanneer het vernieuwingstoken moet worden gevalideerd, wordt deze informatie gebruikt om de intrekking te controleren:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>- het serienummer van uw clientcertificaat toevoegenhttp://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>- de tekenreeks voor de verlener van uw clientcertificaat toevoegen
Als best practice moet u ook de AD FS-foutpagina's van uw organisatie bijwerken met de volgende informatie:
- De vereiste voor het installeren van Microsoft Authenticator op iOS.
- Instructies voor het ophalen van een gebruikerscertificaat.
Zie De AD FS-aanmeldingspagina's aanpassen voor meer informatie.
Moderne verificatie gebruiken met Office-apps
Sommige Office-app s waarvoor moderne verificatie is ingeschakeld, verzenden prompt=login naar Microsoft Entra-id in hun aanvraag. Standaard vertaalt prompt=login Microsoft Entra-id zich in de aanvraag naar AD FS als wauth=usernamepassworduri (vraagt AD FS om U/P-verificatie uit te voeren) en wfresh=0 (vraagt AD FS om de SSO-status te negeren en een nieuwe verificatie uit te voeren). Als u verificatie op basis van certificaten voor deze apps wilt inschakelen, wijzigt u het standaardgedrag van Microsoft Entra.
Als u het standaardgedrag wilt bijwerken, stelt u PromptLoginBehavior in uw federatieve domeininstellingen in op Uitgeschakeld. U kunt de cmdlet New-MgDomainFederationConfiguration gebruiken om deze taak uit te voeren, zoals wordt weergegeven in het volgende voorbeeld:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Ondersteuning voor Exchange ActiveSync-clients
In iOS 9 of hoger wordt de systeemeigen iOS-mailclient ondersteund. Neem contact op met de ontwikkelaar van uw toepassing om te bepalen of deze functie wordt ondersteund voor alle andere Exchange ActiveSync-toepassingen.
Volgende stappen
Zie Aan de slag met verificatie op basis van certificaten voor instructies om verificatie op basis van certificaten in uw omgeving te configureren.