La autenticación basada en certificados de Microsoft Entra con federación en Android
Los dispositivos Android pueden usar la autenticación basada en certificados (CBA) para autenticarse en Microsoft Entra ID con un certificado de cliente en el dispositivo cuando se conecten a:
- aplicaciones móviles de Office como Microsoft Outlook y Microsoft Word,
- clientes de Exchange ActiveSync (EAS).
Al configurar esta función, no tendrá que escribir una combinación de nombre de usuario y contraseña en determinadas aplicaciones de correo electrónico y Microsoft Office de su dispositivo móvil.
Compatibilidad con aplicaciones móviles de Microsoft
| Aplicaciones | Soporte técnico |
|---|---|
| Aplicación Azure Information Protection |  |
| Intune Portal de empresa | |
| Microsoft Teams | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype Empresarial | |
| Word, Excel y PowerPoint | |
| Yammer | |
Requisitos de implementación
La versión del sistema operativo del dispositivo debe ser Android 5.0 (Lollipop) y superior.
Se debe configurar un servidor de federación.
Para que Microsoft Entra ID revoque un certificado de cliente, el token de AD FS debe tener las siguientes notificaciones:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(el número de serie del certificado de cliente)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(la cadena del emisor del certificado de cliente)
El Id. de Microsoft Entra agrega estas notificaciones para el token de actualización, en caso de que estén disponibles en el token de AD FS (o en cualquier otro token SAML). Cuando hay que validar el token de actualización, esta información se utiliza para comprobar la revocación.
Se recomienda actualizar las páginas de error de AD FS de su organización con la siguiente información:
- El requisito de instalar Microsoft Authenticator en Android
- Instrucciones sobre cómo obtener un certificado de usuario
Para más información, consulte el artículo sobre la personalización de las páginas de inicio de sesión de AD FS.
Las aplicaciones de Office con la autenticación moderna habilitada envían "prompt=login" a Microsoft Entra ID en su solicitud. De manera predeterminada, Microsoft Entra ID traduce "prompt=login" en la solicitud para AD FS como "wauth=usernamepassworduri" (pide a AD FS que utilice la autenticación con nombre de usuario y contraseña) y "wfresh=0" (pide a AD FS que ignore el estado de SSO y lleve a cabo una nueva autenticación). Si desea habilitar la autenticación basada en certificados para estas aplicaciones, es preciso que modifique el comportamiento predeterminado de Azure AD. Establezca "PromptLoginBehavior" en la configuración del dominio federado como "Disabled". Puede usar New-MgDomainFederationConfiguration para realizar esta tarea:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Compatibilidad con clientes de Exchange ActiveSync
Hay algunas aplicaciones de Exchange ActiveSync que son compatibles con Android 5.0 (Lollipop) o posterior. Para determinar si la aplicación de correo electrónico admite esta característica, póngase en contacto con el desarrollador de la aplicación.
Pasos siguientes
Si quiere configurar la autenticación basada en certificados en su entorno, consulte las instrucciones de Introducción a la autenticación basada en certificados en Android.