Android'de federasyon ile Microsoft Entra sertifika tabanlı kimlik doğrulaması
Android cihazları, aşağıdakilere bağlanırken cihazlarında bir istemci sertifikası kullanarak Microsoft Entra Id kimlik doğrulaması yapmak için sertifika tabanlı kimlik doğrulaması (CBA) kullanabilir:
- Microsoft Outlook ve Microsoft Word gibi Office mobil uygulamaları
- Exchange ActiveSync (EAS) istemcileri
Bu özelliğin yapılandırılması, mobil cihazınızda belirli postalara ve Microsoft Office uygulaması'lere kullanıcı adı ve parola bileşimi girme gereksinimini ortadan kaldırır.
Microsoft mobil uygulamaları desteği
Uygulamalar | Destek |
---|---|
Azure Information Protection uygulaması | |
Intune Şirket Portalı | |
Microsoft Teams | |
OneNote | |
OneDrive | |
Outlook | |
Power BI | |
Skype Kurumsal | |
Word / Excel / PowerPoint | |
Yammer |
Uygulama gereksinimleri
Cihaz işletim sistemi sürümü Android 5.0 (Lollipop) ve üzeri olmalıdır.
Bir federasyon sunucusu yapılandırılmalıdır.
Microsoft Entra Id'nin bir istemci sertifikasını iptal etmesi için AD FS belirtecinin aşağıdaki taleplere sahip olması gerekir:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>
(İstemci sertifikasının seri numarası)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>
(İstemci sertifikası verenin dizesi)
Microsoft Entra Id, AD FS belirtecinde (veya başka bir SAML belirtecinde) kullanılabiliyorsa bu talepleri yenileme belirtecine ekler. Yenileme belirtecinin doğrulanması gerektiğinde, iptali denetlemek için bu bilgiler kullanılır.
En iyi uygulama olarak, kuruluşunuzun AD FS hata sayfalarını aşağıdaki bilgilerle güncelleştirmeniz gerekir:
- Microsoft Authenticator'ın Android'e yüklenmesi gereksinimi.
- Kullanıcı sertifikası alma yönergeleri.
Daha fazla bilgi için bkz . AD FS Oturum Açma Sayfalarını Özelleştirme.
modern kimlik doğrulaması etkinleştirilmiş Office uygulaması isteğinde Microsoft Entra Id'ye 'prompt=login' gönderin. Varsayılan olarak, Microsoft Entra Id istekteki 'prompt=login' öğesini AD FS'ye 'wauth=usernamepassworduri' (AD FS'den U/P kimlik doğrulaması gerçekleştirmesini ister) ve 'wfresh=0' olarak çevirir (AD FS'den SSO durumunu yoksaymasını ve yeni kimlik doğrulaması gerçekleştirmesini ister). Bu uygulamalar için sertifika tabanlı kimlik doğrulamasını etkinleştirmek istiyorsanız, varsayılan Microsoft Entra davranışını değiştirmeniz gerekir. Federasyon etki alanı ayarlarınızdaki 'PromptLoginBehavior' öğesini 'Disabled' olarak ayarlayın. Bu görevi gerçekleştirmek için New-MgDomainFederationConfiguration kullanabilirsiniz:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync istemcileri desteği
Android 5.0 (Lollipop) veya sonraki sürümlerde bazı Exchange ActiveSync uygulamaları desteklenir. E-posta uygulamanızın bu özelliği desteklenip desteklemediğini belirlemek için uygulama geliştiricinize başvurun.
Sonraki adımlar
Ortamınızda sertifika tabanlı kimlik doğrulamasını yapılandırmak istiyorsanız yönergeler için bkz . Android'de sertifika tabanlı kimlik doğrulamasını kullanmaya başlama.