Compartir a través de


Autenticación basada en certificados del Id. de Microsoft Entra con federación en iOS

Para mejorar la seguridad, los dispositivos iOS pueden usar la autenticación basada en certificados (CBA) para autenticarse en el Id. de Microsoft Entra mediante el uso de un certificado de cliente en el dispositivo cuando se conecten a los servicios o aplicaciones siguientes:

  • aplicaciones móviles de Office como Microsoft Outlook y Microsoft Word,
  • clientes de Exchange ActiveSync (EAS).

Al usar certificados, no tendrá que escribir una combinación de nombre de usuario y contraseña en determinadas aplicaciones de correo electrónico y Microsoft Office del dispositivo móvil.

Compatibilidad con aplicaciones móviles de Microsoft

Aplicaciones Soporte técnico
Aplicación Azure Information Protection Check mark signifying support for this application
Portal de empresa Check mark signifying support for this application
Equipos de Microsoft Check mark signifying support for this application
Office (móvil) Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype Empresarial Check mark signifying support for this application
Word, Excel y PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Requisitos

Para usar CBA con iOS, se aplican los siguientes requisitos y consideraciones:

  • La versión del sistema operativo del dispositivo debe ser iOS 9 o posterior.
  • Se requiere Microsoft Authenticator para las aplicaciones de Office en iOS.
  • Se debe crear una preferencia de identidad en la cadena de claves de macOS que incluya la dirección URL de autenticación del servidor de AD FS. Para obtener más información, vea Crear una preferencia de identidad en Acceso a Llaveros en el Mac.

Se aplican los siguientes requisitos y consideraciones de Servicios de federación de Active Directory (AD FS):

  • El servidor de AD FS debe estar habilitado para la autenticación de certificados y usar la autenticación federada.
  • El certificado debe utilizar el uso mejorado de clave (EKU) y contener el UPN del usuario en el nombre alternativo del firmante (nombre principal de NT) .

Configurar AD FS

Para que el Id. de Microsoft Entra revoque un certificado de cliente, el token de AD FS debe tener las siguientes notificaciones. El Id. de Microsoft Entra agrega estas notificaciones para el token de actualización, en caso de que estén disponibles en el token de AD FS (o en cualquier otro token SAML). Cuando hay que validar el token de actualización, esta información se utiliza para comprobar la revocación:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>: agregue el número de serie del certificado de cliente.
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>: agregue la cadena del emisor del certificado de cliente.

Se recomienda actualizar también las páginas de error de AD FS de la organización con la información siguiente:

  • El requisito de instalar Microsoft Authenticator en iOS.
  • Instrucciones sobre cómo obtener un certificado de usuario

Para más información, consulte el artículo sobre la personalización de la página de inicio de sesión de AD FS.

Uso de la autenticación moderna con las aplicaciones de Office

Algunas aplicaciones de Office con la autenticación moderna habilitada envían prompt=login al Id. de Microsoft Entra en su solicitud. De manera predeterminada, el Id. de Microsoft Entra traduce prompt=login en la solicitud para AD FS como wauth=usernamepassworduri (pide a AD FS que realice la autenticación de U y P) y wfresh=0 (pide a AD FS que ignore el estado de SSO y realice una autenticación nueva). Si quiere habilitar la autenticación basada en certificados para estas aplicaciones, modifique el comportamiento predeterminado del Id. de Microsoft Entra.

Para actualizar el comportamiento predeterminado, establezca "PromptLoginBehavior" en la configuración del dominio federado como "Disabled". Puede usar el cmdlet New-MgDomainFederationConfiguration para realizar esta tarea, como se muestra en el ejemplo siguiente:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Compatibilidad con clientes de Exchange ActiveSync

En iOS 9 o posterior, se admite el cliente de correo de iOS nativo. Para determinar si esta característica se admite en todas las demás aplicaciones de Exchange ActiveSync, póngase en contacto con el desarrollador de la aplicación.

Pasos siguientes

Para configurar la autenticación basada en certificados en su entorno, consulte las instrucciones de Introducción a la autenticación basada en certificados.