Uwierzytelnianie oparte na certyfikatach firmy Microsoft z federacją w systemie Android
Urządzenia z systemem Android mogą używać uwierzytelniania opartego na certyfikatach (CBA) do uwierzytelniania w usłudze Microsoft Entra ID przy użyciu certyfikatu klienta na urządzeniu podczas nawiązywania połączenia z:
- Aplikacje mobilne pakietu Office, takie jak Microsoft Outlook i Microsoft Word
- Klienci programu Exchange ActiveSync (EAS)
Skonfigurowanie tej funkcji eliminuje konieczność wprowadzenia kombinacji nazwy użytkownika i hasła do określonych wiadomości e-mail i microsoft aplikacja pakietu Office lication na urządzeniu przenośnym.
Obsługa aplikacji mobilnych firmy Microsoft
| Aplikacje | Pomoc techniczna |
|---|---|
| Aplikacja usługi Azure Information Protection |  |
| Intune — Portal firmy | |
| Microsoft Teams | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype dla firm | |
| Word/Excel/PowerPoint | |
| Yammer | |
Wymagania dotyczące implementacji
Wersja systemu operacyjnego urządzenia musi być systemem Android 5.0 (Lollipop) lub nowszym.
Należy skonfigurować serwer federacyjny.
Aby identyfikator Entra firmy Microsoft odwołał certyfikat klienta, token usług AD FS musi mieć następujące oświadczenia:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(Numer seryjny certyfikatu klienta)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(Ciąg wystawcy certyfikatu klienta)
Identyfikator Entra firmy Microsoft dodaje te oświadczenia do tokenu odświeżania, jeśli są dostępne w tokenie usług AD FS (lub innym tokenie SAML). Gdy token odświeżania musi zostać zweryfikowany, te informacje są używane do sprawdzania odwołania.
Najlepszym rozwiązaniem jest zaktualizowanie stron błędów usług AD FS organizacji przy użyciu następujących informacji:
- Wymaganie dotyczące instalowania aplikacji Microsoft Authenticator w systemie Android.
- Instrukcje dotyczące uzyskiwania certyfikatu użytkownika.
Aby uzyskać więcej informacji, zobacz Dostosowywanie stron logowania usług AD FS.
aplikacja pakietu Office z włączonym nowoczesnym uwierzytelnianiem wysyłać "prompt=login" do identyfikatora Entra firmy Microsoft w żądaniu. Domyślnie identyfikator Entra firmy Microsoft tłumaczy wartość "prompt=login" w żądaniu usług AD FS jako "wauth=usernamepassworduri" (prosi usługi AD FS do wykonania uwierzytelniania U/P) i "wfresh=0" (prosi usługi AD FS o zignorowanie stanu logowania jednokrotnego i przeprowadzenie nowego uwierzytelniania). Jeśli chcesz włączyć uwierzytelnianie oparte na certyfikatach dla tych aplikacji, musisz zmodyfikować domyślne zachowanie firmy Microsoft Entra. Ustaw wartość "PromptLoginBehavior" w ustawieniach domeny federacyjnej na wartość "Wyłączone". Aby wykonać to zadanie, możesz użyć polecenia New-MgDomainFederationConfiguration :
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Obsługa klientów programu Exchange ActiveSync
Obsługiwane są niektóre aplikacje exchange ActiveSync w systemie Android 5.0 (Lollipop) lub nowszym. Aby określić, czy aplikacja poczty e-mail obsługuje tę funkcję, skontaktuj się z deweloperem aplikacji.
Następne kroki
Jeśli chcesz skonfigurować uwierzytelnianie oparte na certyfikatach w środowisku, zobacz Wprowadzenie do uwierzytelniania opartego na certyfikatach w systemie Android , aby uzyskać instrukcje.