Ověřování založené na certifikátech Microsoft Entra s federací v iOSu
Aby se zlepšilo zabezpečení, můžou zařízení s iOSem při připojování k následujícím aplikacím nebo službám používat ověřování na základě certifikátů (CBA) k ověření v Microsoft Entra ID pomocí klientského certifikátu na svém zařízení:
- Mobilní aplikace Office, jako je Microsoft Outlook a Microsoft Word
- klienti protokol Exchange ActiveSync (EAS)
Použití certifikátů eliminuje nutnost zadat kombinaci uživatelského jména a hesla do určitých e-mailových a systém Microsoft Office aplikací na mobilním zařízení.
Podpora mobilních aplikací Microsoftu
| Aplikace | Technická podpora |
|---|---|
| Aplikace Azure Information Protection |  |
| Firemní portál | |
| Microsoft Teams | |
| Office (mobilní zařízení) | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype pro firmy | |
| Word / Excel / PowerPoint | |
| Yammer | |
Požadavky
Pokud chcete používat CBA s iOSem, platí následující požadavky a důležité informace:
- Verze operačního systému zařízení musí být iOS 9 nebo vyšší.
- Microsoft Authenticator se vyžaduje pro aplikace Office lications v iOSu.
- V klíčence macOS musí být vytvořena předvolba identity, která obsahuje adresu URL ověřování serveru SLUŽBY AD FS. Další informace najdete v tématu Vytvoření předvolby identity v Keychain Access na Macu.
Platí následující požadavky a požadavky na Active Directory Federation Services (AD FS) (AD FS):
- Server SLUŽBY AD FS musí být povolený pro ověřování certifikátů a používat federované ověřování.
- Certifikát musí používat použití rozšířeného použití klíče (EKU) a obsahovat hlavní název uživatele v alternativním názvu subjektu (hlavní název NT).
Konfigurace služby AD FS
Pokud má Microsoft Entra ID odvolat klientský certifikát, musí mít token služby AD FS následující deklarace identity. Microsoft Entra ID tyto deklarace identity přidá do obnovovacího tokenu, pokud jsou k dispozici v tokenu SLUŽBY AD FS (nebo jiném tokenu SAML). Pokud je potřeba ověřit obnovovací token, použijí se tyto informace ke kontrole odvolání:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>– přidejte sériové číslo klientského certifikátu.http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>– přidejte řetězec pro vystavitele vašeho klientského certifikátu.
Osvědčeným postupem je také aktualizovat chybové stránky služby AD FS vaší organizace s následujícími informacemi:
- Požadavek na instalaci aplikace Microsoft Authenticator v iOSu
- Pokyny k získání certifikátu uživatele
Další informace najdete v tématu Přizpůsobení přihlašovací stránky služby AD FS.
Použití moderního ověřování s aplikace Office
Některé aplikace Office s povoleným moderním ověřováním v žádosti odesílají prompt=login id Microsoft Entra. Ve výchozím nastavení se ID Microsoft Entra překládá prompt=login v požadavku na službu AD FS jako wauth=usernamepassworduri (žádá službu AD FS, aby auth U/P) a wfresh=0 (požádá službu AD FS, aby ignorovala stav jednotného přihlašování a udělala nové ověření). Pokud chcete pro tyto aplikace povolit ověřování na základě certifikátů, upravte výchozí chování Microsoft Entra.
Chcete-li aktualizovat výchozí chování, nastavte promptLoginBehavior v nastavení federované domény na Zakázáno. K provedení této úlohy můžete použít rutinu New-MgDomainFederationConfiguration , jak je znázorněno v následujícím příkladu:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Podpora pro klienty protokol Exchange ActiveSync
V iOSu 9 nebo novějším se podporuje nativní poštovní klient pro iOS. Pokud chcete zjistit, jestli je tato funkce podporovaná pro všechny ostatní aplikace protokol Exchange ActiveSync, obraťte se na vývojáře aplikací.
Další kroky
Pokyny ke konfiguraci ověřování založeného na certifikátech ve vašem prostředí najdete v tématu Začínáme s ověřováním na základě certifikátů.