Uwierzytelnianie oparte na certyfikatach firmy Microsoft z federacją w systemie iOS
Aby zwiększyć bezpieczeństwo, urządzenia z systemem iOS mogą używać uwierzytelniania opartego na certyfikatach (CBA) do uwierzytelniania w usłudze Microsoft Entra ID przy użyciu certyfikatu klienta na urządzeniu podczas nawiązywania połączenia z następującymi aplikacjami lub usługami:
- Aplikacje mobilne pakietu Office, takie jak Microsoft Outlook i Microsoft Word
- Klienci programu Exchange ActiveSync (EAS)
Użycie certyfikatów eliminuje konieczność wprowadzania kombinacji nazwy użytkownika i hasła do określonych wiadomości e-mail i microsoft aplikacja pakietu Office lication na urządzeniu przenośnym.
Obsługa aplikacji mobilnych firmy Microsoft
Aplikacje | Pomoc techniczna |
---|---|
Aplikacja usługi Azure Information Protection | |
Portal firmy | |
Microsoft Teams | |
Office (dla urządzeń przenośnych) | |
OneNote | |
OneDrive | |
Outlook | |
Power BI | |
Skype dla firm | |
Word/Excel/PowerPoint | |
Yammer |
Wymagania
Aby korzystać z cba z systemem iOS, mają zastosowanie następujące wymagania i zagadnienia:
- Wersja systemu operacyjnego urządzenia musi być systemem iOS 9 lub nowszym.
- Aplikacja Microsoft Authenticator jest wymagana do aplikacja pakietu Office lications w systemie iOS.
- Preferencja tożsamości musi zostać utworzona w pęku kluczy systemu macOS, który zawiera adres URL uwierzytelniania serwera usług AD FS. Aby uzyskać więcej informacji, zobacz Create an identity preference in Keychain Access on Mac (Tworzenie preferencji tożsamości w programie Keychain Access na komputerze Mac).
Obowiązują następujące wymagania i zagadnienia dotyczące usług Active Directory Federation Services (AD FS):
- Serwer usług AD FS musi być włączony do uwierzytelniania certyfikatu i używać uwierzytelniania federacyjnego.
- Certyfikat musi używać rozszerzonego użycia klucza (EKU) i zawierać nazwę UPN użytkownika w alternatywnej nazwie podmiotu (NAZWA główna NT).
Konfigurowanie usług AD FS
Aby identyfikator Entra firmy Microsoft odwołał certyfikat klienta, token usług AD FS musi mieć następujące oświadczenia. Identyfikator Entra firmy Microsoft dodaje te oświadczenia do tokenu odświeżania, jeśli są dostępne w tokenie usług AD FS (lub innym tokenie SAML). Gdy token odświeżania musi zostać zweryfikowany, te informacje są używane do sprawdzania odwołania:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>
— dodawanie numeru seryjnego certyfikatu klientahttp://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>
— dodawanie ciągu wystawcy certyfikatu klienta
Najlepszym rozwiązaniem jest również zaktualizowanie stron błędów usług AD FS organizacji przy użyciu następujących informacji:
- Wymaganie dotyczące instalowania aplikacji Microsoft Authenticator w systemie iOS.
- Instrukcje dotyczące uzyskiwania certyfikatu użytkownika.
Aby uzyskać więcej informacji, zobacz Dostosowywanie strony logowania usług AD FS.
Używanie nowoczesnego uwierzytelniania z aplikacja pakietu Office
Niektóre aplikacja pakietu Office z włączonym nowoczesnym uwierzytelnianiem wysyłane prompt=login
do identyfikatora Entra firmy Microsoft w żądaniu. Domyślnie identyfikator Entra firmy Microsoft tłumaczy się prompt=login
na żądanie do usług AD FS jako wauth=usernamepassworduri
(prosi usług AD FS do wykonania uwierzytelniania U/P) i wfresh=0
(prosi usług AD FS o zignorowanie stanu logowania jednokrotnego i przeprowadzenie nowego uwierzytelniania). Jeśli chcesz włączyć uwierzytelnianie oparte na certyfikatach dla tych aplikacji, zmodyfikuj domyślne zachowanie firmy Microsoft Entra.
Aby zaktualizować domyślne zachowanie, ustaw wartość "PromptLoginBehavior" w ustawieniach domeny federacyjnej na wartość Wyłączone. Aby wykonać to zadanie, można użyć polecenia cmdlet New-MgDomainFederationConfiguration , jak pokazano w poniższym przykładzie:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Obsługa klientów programu Exchange ActiveSync
W systemie iOS 9 lub nowszym natywny klient poczty systemu iOS jest obsługiwany. Aby ustalić, czy ta funkcja jest obsługiwana dla wszystkich innych aplikacji programu Exchange ActiveSync, skontaktuj się z deweloperem aplikacji.
Następne kroki
Aby skonfigurować uwierzytelnianie oparte na certyfikatach w środowisku, zobacz Wprowadzenie do uwierzytelniania opartego na certyfikatach, aby uzyskać instrukcje.