Delen via

Verificatie op basis van Microsoft Entra-certificaten met federatie op Android

  • Artikel

Android-apparaten kunnen verificatie op basis van certificaten (CBA) gebruiken om te verifiëren bij Microsoft Entra-id met behulp van een clientcertificaat op hun apparaat wanneer u verbinding maakt met:

  • Mobiele Office-toepassingen, zoals Microsoft Outlook en Microsoft Word
  • Exchange ActiveSync-clients (EAS)

Als u deze functie configureert, hoeft u geen combinatie van gebruikersnaam en wachtwoord in bepaalde e-mail- en Microsoft Office-toepassingen op uw mobiele apparaat in te voeren.

Ondersteuning voor mobiele Microsoft-toepassingen

Apps Ondersteuning
Azure Information Protection-app vinkje voor ondersteuning voor deze toepassing
Intune-bedrijfsportal vinkje voor ondersteuning voor deze toepassing
Microsoft Teams vinkje voor ondersteuning voor deze toepassing
OneNote vinkje voor ondersteuning voor deze toepassing
OneDrive vinkje voor ondersteuning voor deze toepassing
Vooruitzicht vinkje voor ondersteuning voor deze toepassing
Power BI vinkje voor ondersteuning voor deze toepassing
Skype voor Bedrijven vinkje voor ondersteuning voor deze toepassing
Word/Excel/PowerPoint vinkje voor ondersteuning voor deze toepassing
Yammer vinkje voor ondersteuning voor deze toepassing

Implementatievereisten

De versie van het besturingssysteem van het apparaat moet Android 5.0 (Lollipop) en hoger zijn.

Er moet een federatieserver worden geconfigureerd.

Opdat Microsoft Entra ID een clientcertificaat kan intrekken, moet het AD FS-token de volgende claims bevatten:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (het serienummer van het clientcertificaat)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (de tekenreeks voor de uitgever van het client-certificaat)

Microsoft Entra ID voegt deze claims toe aan het vernieuwingstoken als deze beschikbaar zijn in het AD FS-token (of een ander SAML-token). Wanneer het vernieuwingstoken moet worden gevalideerd, wordt deze informatie gebruikt om de intrekking te controleren.

Als best practice moet u de AD FS-foutpagina's van uw organisatie bijwerken met de volgende informatie:

  • De vereiste voor het installeren van de Microsoft Authenticator op Android.
  • Instructies voor het ophalen van een gebruikerscertificaat.

Zie De AD FS-aanmeldingspagina's aanpassenvoor meer informatie.

Office-apps waarvoor moderne verificatie is ingeschakeld, verzenden 'prompt=login' naar Microsoft Entra ID in hun aanvraag. Standaard vertaalt Microsoft Entra-id 'prompt=login' in de aanvraag naar AD FS als 'wauth=usernamepassworduri' (vraagt AD FS om U/P-verificatie uit te voeren) en 'wfresh=0' (vraagt AD FS om de SSO-status te negeren en een nieuwe verificatie uit te voeren). Als u verificatie op basis van certificaten voor deze apps wilt inschakelen, moet u het standaardgedrag van Microsoft Entra wijzigen. Stel de 'PromptLoginBehavior' in uw federatieve domeininstellingen in op 'Uitgeschakeld'. U kunt New-MgDomainFederationConfiguration gebruiken om deze taak uit te voeren:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Ondersteuning voor Exchange ActiveSync-clients

Bepaalde Exchange ActiveSync-toepassingen op Android 5.0 (Lollipop) of hoger worden ondersteund. Neem contact op met de ontwikkelaar van uw toepassing om te bepalen of uw e-mailtoepassing deze functie ondersteunt.

Volgende stappen

Als u verificatie op basis van certificaten in uw omgeving wilt configureren, raadpleegt u Aan de slag met verificatie op basis van certificaten op Android- voor instructies.