Condividi tramite

Autenticazione con federazione basata su certificati Microsoft Entra su Android

  • Articolo

I dispositivi Android possono usare l'autenticazione basata su certificati (CBA) per eseguire l'autenticazione all'ID Microsoft Entra usando un certificato client nel dispositivo durante la connessione a:

  • Applicazioni per dispositivi mobili di Office, ad esempio Microsoft Outlook e Microsoft Word
  • Client Exchange ActiveSync (EAS)

La configurazione di questa funzionalità elimina la necessità di immettere una combinazione di nome utente e password in determinate applicazioni di posta elettronica e Microsoft Office nel dispositivo mobile.

Supporto delle applicazioni per dispositivi mobili Microsoft

Applicazioni Appoggiare
Applicazione Azure Information Protection Segno di spunta che indica supporto per questa applicazione
Portale aziendale di Intune Segno di spunta che indica supporto per questa applicazione
Microsoft Teams Segno di spunta che indica supporto per questa applicazione
OneNote Segno di spunta che indica il supporto per questa applicazione
OneDrive Segno di spunta che indica il supporto per questa applicazione
Prospettiva Segno di spunta che indica il supporto per questa applicazione
Power BI Segno di spunta che indica il supporto per questa applicazione
Skype for Business Segno di spunta che indica il supporto per questa applicazione
Word/Excel/PowerPoint Segno di spunta che indica supporto per questa applicazione
Yammer Segno di spunta che indica supporto per questa applicazione

Requisiti di implementazione

La versione del sistema operativo del dispositivo deve essere Android 5.0 (Lollipop) e versioni successive.

È necessario configurare un server federativo.

Affinché Microsoft Entra ID revochi un certificato client, il token AD FS deve avere le attestazioni seguenti:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (numero di serie del certificato client)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (stringa per l'autorità emittente del certificato client)

Microsoft Entra ID aggiunge queste attestazioni al token di aggiornamento se sono disponibili nel token AD FS (o qualsiasi altro token SAML). Quando il token di aggiornamento deve essere convalidato, queste informazioni vengono usate per controllare la revoca.

Come procedura consigliata, è consigliabile aggiornare le pagine di errore di AD FS dell'organizzazione con le informazioni seguenti:

  • Requisito per l'installazione di Microsoft Authenticator in Android.
  • Istruzioni su come ottenere un certificato utente.

Per altre informazioni, vedere Personalizzazione delle pagine di accesso di AD FS.

Le app di Office con autenticazione moderna abilitata inviano 'prompt=login' all'ID Microsoft Entra nella loro richiesta. Per impostazione predefinita, Microsoft Entra ID converte 'prompt=login' nella richiesta ad AD FS come 'wauth=usernamepassworduri' (chiede ad AD FS di eseguire l'autenticazione U/P) e 'wfresh=0' (chiede ad AD FS di ignorare lo stato SSO ed eseguire una nuova autenticazione). Se si vuole abilitare l'autenticazione basata su certificati per queste app, è necessario modificare il comportamento predefinito di Microsoft Entra. Impostare "PromptLoginBehavior" nelle impostazioni del dominio federato su "Disabilitato". Per eseguire questa attività, è possibile usare New-MgDomainFederationConfiguration:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Supporto dei client Exchange ActiveSync

Alcune applicazioni Exchange ActiveSync in Android 5.0 (Lollipop) o versioni successive sono supportate. Per determinare se l'applicazione di posta elettronica supporta questa funzionalità, contattare lo sviluppatore dell'applicazione.

Passaggi successivi

Per configurare l'autenticazione basata su certificati nell'ambiente, vedere Introduzione all'autenticazione basata su certificati in Android per istruzioni.