Android'de federasyon ile Microsoft Entra sertifika tabanlı kimlik doğrulaması

  • Makale

Android cihazları, aşağıdakilere bağlanırken cihazlarında bir istemci sertifikası kullanarak Microsoft Entra Id kimlik doğrulaması yapmak için sertifika tabanlı kimlik doğrulaması (CBA) kullanabilir:

  • Microsoft Outlook ve Microsoft Word gibi Office mobil uygulamaları
  • Exchange ActiveSync (EAS) istemcileri

Bu özelliğin yapılandırılması, mobil cihazınızda belirli postalara ve Microsoft Office uygulaması'lere kullanıcı adı ve parola bileşimi girme gereksinimini ortadan kaldırır.

Microsoft mobil uygulamaları desteği

Uygulamalar Destek
Azure Information Protection uygulaması Check mark signifying support for this application
Intune Şirket Portalı Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype Kurumsal Check mark signifying support for this application
Word / Excel / PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Uygulama gereksinimleri

Cihaz işletim sistemi sürümü Android 5.0 (Lollipop) ve üzeri olmalıdır.

Bir federasyon sunucusu yapılandırılmalıdır.

Microsoft Entra Id'nin bir istemci sertifikasını iptal etmesi için AD FS belirtecinin aşağıdaki taleplere sahip olması gerekir:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (İstemci sertifikasının seri numarası)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (İstemci sertifikası verenin dizesi)

Microsoft Entra Id, AD FS belirtecinde (veya başka bir SAML belirtecinde) kullanılabiliyorsa bu talepleri yenileme belirtecine ekler. Yenileme belirtecinin doğrulanması gerektiğinde, iptali denetlemek için bu bilgiler kullanılır.

En iyi uygulama olarak, kuruluşunuzun AD FS hata sayfalarını aşağıdaki bilgilerle güncelleştirmeniz gerekir:

  • Microsoft Authenticator'ın Android'e yüklenmesi gereksinimi.
  • Kullanıcı sertifikası alma yönergeleri.

Daha fazla bilgi için bkz . AD FS Oturum Açma Sayfalarını Özelleştirme.

modern kimlik doğrulaması etkinleştirilmiş Office uygulaması isteğinde Microsoft Entra Id'ye 'prompt=login' gönderin. Varsayılan olarak, Microsoft Entra Id istekteki 'prompt=login' öğesini AD FS'ye 'wauth=usernamepassworduri' (AD FS'den U/P kimlik doğrulaması gerçekleştirmesini ister) ve 'wfresh=0' olarak çevirir (AD FS'den SSO durumunu yoksaymasını ve yeni kimlik doğrulaması gerçekleştirmesini ister). Bu uygulamalar için sertifika tabanlı kimlik doğrulamasını etkinleştirmek istiyorsanız, varsayılan Microsoft Entra davranışını değiştirmeniz gerekir. Federasyon etki alanı ayarlarınızdaki 'PromptLoginBehavior' öğesini 'Disabled' olarak ayarlayın. Bu görevi gerçekleştirmek için New-MgDomainFederationConfiguration kullanabilirsiniz:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Exchange ActiveSync istemcileri desteği

Android 5.0 (Lollipop) veya sonraki sürümlerde bazı Exchange ActiveSync uygulamaları desteklenir. E-posta uygulamanızın bu özelliği desteklenip desteklemediğini belirlemek için uygulama geliştiricinize başvurun.

Sonraki adımlar

Ortamınızda sertifika tabanlı kimlik doğrulamasını yapılandırmak istiyorsanız yönergeler için bkz . Android'de sertifika tabanlı kimlik doğrulamasını kullanmaya başlama.