Verificatie op basis van Microsoft Entra-certificaten met federatie op iOS

Om de beveiliging te verbeteren, kunnen iOS-apparaten gebruikmaken van verificatie op basis van certificaten (CBA) om te verifiëren bij Microsoft Entra ID met behulp van een clientcertificaat op hun apparaat wanneer ze verbinding maken met de volgende toepassingen of services:

• Mobiele Office-toepassingen, zoals Microsoft Outlook en Microsoft Word
• Exchange ActiveSync-clients (EAS)

Als u certificaten gebruikt, hoeft u geen combinatie van gebruikersnaam en wachtwoord in te voeren in bepaalde e-mail- en Microsoft Office-toepassingen op uw mobiele apparaat.

Ondersteuning voor mobiele Microsoft-toepassingen

Apps	Ondersteuning
Azure Information Protection-app
Bedrijfsportal
Microsoft Teams
Office (mobiel)
OneNote
OneDrive
Vooruitzicht
Power BI
Skype voor Bedrijven
Word/Excel/PowerPoint
Yammer

Eisen

Als u CBA met iOS wilt gebruiken, zijn de volgende vereisten en overwegingen van toepassing:

• De versie van het besturingssysteem van het apparaat moet iOS 9 of hoger zijn.
• Microsoft Authenticator is vereist voor Office-toepassingen in iOS.
• Er moet een identiteitsvoorkeur worden gemaakt in de macOS-sleutelhanger die de verificatie-URL van de AD FS-server bevat. Zie Een identiteitsvoorkeur maken in Sleutelhangertoegang op Macvoor meer informatie.

De volgende Ad FS-vereisten (Active Directory Federation Services) en overwegingen zijn van toepassing:

• De AD FS-server moet zijn ingeschakeld voor certificaatverificatie en federatieve verificatie gebruiken.
• Het certificaat moet Verbeterde sleutelgebruik (EKU) gebruiken en de UPN van de gebruiker bevatten in de Alternatieve naam van het onderwerp (NT Principal Name).

AD FS configureren

Voor Microsoft Entra ID om een clientcertificaat in te trekken, moet het AD FS-token de volgende claims hebben. Microsoft Entra ID voegt deze claims toe aan het refresh-token als de claims beschikbaar zijn in het AD FS-token (of een ander SAML-token). Wanneer het vernieuwingstoken moet worden gevalideerd, wordt deze informatie gebruikt om de intrekking te controleren:

• http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> - het serienummer van uw clientcertificaat toevoegen
• http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> - voeg de string toe voor de verstrekker van uw cliëntcertificaat

Als best practice moet u ook de AD FS-foutpagina's van uw organisatie bijwerken met de volgende informatie:

• De vereiste voor het installeren van Microsoft Authenticator op iOS.
• Instructies voor het ophalen van een gebruikerscertificaat.

Zie De aanmeldingspagina van AD FS aanpassenvoor meer informatie.

Moderne verificatie gebruiken met Office-apps

Sommige Office-apps waarvoor moderne verificatie is ingeschakeld, verzenden prompt=login naar Microsoft Entra ID in hun verzoek. Standaard vertaalt Microsoft Entra-id prompt=login in de aanvraag naar AD FS als wauth=usernamepassworduri (vraagt AD FS om U/P-verificatie uit te voeren) en wfresh=0 (vraagt AD FS om de SSO-status te negeren en een nieuwe verificatie uit te voeren). Als u verificatie op basis van certificaten voor deze apps wilt inschakelen, wijzigt u het standaardgedrag van Microsoft Entra.

Als u het standaardgedrag wilt bijwerken, stelt u de 'PromptLoginBehavior' in uw federatieve domeininstellingen in op Uitgeschakelde. U kunt de cmdlet New-MgDomainFederationConfiguration gebruiken om deze taak uit te voeren, zoals wordt weergegeven in het volgende voorbeeld:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Ondersteuning voor Exchange ActiveSync-clients

Op iOS 9 of hoger wordt de systeemeigen iOS-e-mailclient ondersteund. Neem contact op met de ontwikkelaar van uw toepassing om te bepalen of deze functie wordt ondersteund voor alle andere Exchange ActiveSync-toepassingen.

Volgende stappen

Als u verificatie op basis van certificaten in uw omgeving wilt configureren, raadpleegt u Aan de slag met verificatie op basis van certificaten voor instructies.