Sdílet prostřednictvím

Ověřování založené na certifikátech Microsoft Entra s federací na Androidu

  • Článek

Zařízení s Androidem můžou při připojování k microsoft Entra ID použít ověřování na základě certifikátů (CBA) k ověření v Microsoft Entra ID pomocí klientského certifikátu na svém zařízení:

  • Mobilní aplikace Office, jako je Microsoft Outlook a Microsoft Word
  • klienti protokol Exchange ActiveSync (EAS)

Konfigurace této funkce eliminuje nutnost zadat kombinaci uživatelského jména a hesla do určitých e-mailových a systém Microsoft Office aplikací na mobilním zařízení.

Podpora mobilních aplikací Microsoftu

Aplikace Technická podpora
Aplikace Azure Information Protection Check mark signifying support for this application
Portál společnosti Intune Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype pro firmy Check mark signifying support for this application
Word / Excel / PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Požadavky na implementaci

Verze operačního systému zařízení musí být Android 5.0 (Lollipop) a vyšší.

Federační server musí být nakonfigurovaný.

Pokud má Microsoft Entra ID odvolat klientský certifikát, musí mít token služby AD FS následující deklarace identity:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (Sériové číslo klientského certifikátu)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (Řetězec vystavitele klientského certifikátu)

Microsoft Entra ID tyto deklarace identity přidá do obnovovacího tokenu, pokud jsou k dispozici v tokenu SLUŽBY AD FS (nebo jiném tokenu SAML). Když je potřeba ověřit obnovovací token, použijí se tyto informace ke kontrole odvolání.

Osvědčeným postupem je aktualizovat chybové stránky služby AD FS vaší organizace s následujícími informacemi:

  • Požadavek na instalaci aplikace Microsoft Authenticator na Android.
  • Pokyny k získání certifikátu uživatele

Další informace najdete v tématu Přizpůsobení přihlašovacích stránek služby AD FS.

aplikace Office s povoleným moderním ověřováním v žádosti odešlou do Microsoft Entra ID 'prompt=login'. Ve výchozím nastavení microsoft Entra ID překládá v požadavku "prompt=login" do služby AD FS jako wauth=usernamepassworduri (požádá službu AD FS o provedení ověřování U/P) a wfresh=0 (požádá službu AD FS o ignorování stavu jednotného přihlašování a provedení nového ověření). Pokud chcete pro tyto aplikace povolit ověřování na základě certifikátů, musíte upravit výchozí chování Microsoft Entra. V nastavení federované domény nastavte promptLoginBehavior na Zakázáno. K provedení této úlohy můžete použít New-MgDomainFederationConfiguration :

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

podpora klientů protokol Exchange ActiveSync

Některé protokol Exchange ActiveSync aplikace v Androidu 5.0 (Lollipop) nebo novější jsou podporované. Pokud chcete zjistit, jestli vaše e-mailová aplikace tuto funkci podporuje, obraťte se na vývojáře aplikace.

Další kroky

Pokud chcete ve svém prostředí nakonfigurovat ověřování založené na certifikátech, pokyny najdete v tématu Začínáme s ověřováním založeným na certifikátech v Androidu .