Autenticação baseada em certificado Microsoft Entra com federação no Android

  • Artigo

Os dispositivos Android podem usar a autenticação baseada em certificado (CBA) para autenticar no Microsoft Entra ID usando um certificado de cliente em seu dispositivo ao se conectar a:

  • Aplicativos móveis do Office, como o Microsoft Outlook e o Microsoft Word
  • Clientes do Exchange ActiveSync (EAS)

A configuração desse recurso elimina a necessidade de inserir uma combinação de nome de usuário e senha em determinados aplicativos de email e do Microsoft Office em seu dispositivo móvel.

Suporte a aplicativos móveis da Microsoft

Aplicações Suporte
Aplicativo Azure Information Protection Check mark signifying support for this application
Portal da Empresa do Intune Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype para Empresas Check mark signifying support for this application
Word / Excel / PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Requisitos de execução

A versão do sistema operacional do dispositivo deve ser Android 5.0 (Lollipop) e superior.

Um servidor de federação deve ser configurado.

Para que o Microsoft Entra ID revogue um certificado de cliente, o token do AD FS deve ter as seguintes declarações:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (O número de série do certificado do cliente)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (A cadeia de caracteres para o emissor do certificado do cliente)

O Microsoft Entra ID adiciona essas declarações ao token de atualização se estiverem disponíveis no token AD FS (ou em qualquer outro token SAML). Quando o token de atualização precisa ser validado, essas informações são usadas para verificar a revogação.

Como prática recomendada, você deve atualizar as páginas de erro do AD FS da sua organização com as seguintes informações:

  • O requisito para instalar o Microsoft Authenticator no Android.
  • Instruções sobre como obter um certificado de usuário.

Para obter mais informações, consulte Personalizando as páginas de entrada do AD FS.

Os aplicativos do Office com autenticação moderna habilitada enviam 'prompt=login' para o Microsoft Entra ID em sua solicitação. Por padrão, o ID do Microsoft Entra traduz 'prompt=login' na solicitação para o AD FS como 'wauth=usernamepassworduri' (solicita ao AD FS para fazer U/P Auth) e 'wfresh=0' (pede ao AD FS para ignorar o estado SSO e fazer uma nova autenticação). Se você quiser habilitar a autenticação baseada em certificado para esses aplicativos, precisará modificar o comportamento padrão do Microsoft Entra. Defina o 'PromptLoginBehavior' nas configurações de domínio federado como 'Disabled'. Você pode usar New-MgDomainFederationConfiguration para executar esta tarefa:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Suporte a clientes do Exchange ActiveSync

Determinados aplicativos do Exchange ActiveSync no Android 5.0 (Lollipop) ou posterior são suportados. Para determinar se seu aplicativo de e-mail suporta esse recurso, entre em contato com o desenvolvedor do aplicativo.

Próximos passos

Se você quiser configurar a autenticação baseada em certificado em seu ambiente, consulte Introdução à autenticação baseada em certificado no Android para obter instruções.