Autenticação baseada em certificado Microsoft Entra com federação no iOS
Para melhorar a segurança, os dispositivos iOS podem usar a autenticação baseada em certificado (CBA) para autenticar no Microsoft Entra ID usando um certificado de cliente em seu dispositivo ao se conectar aos seguintes aplicativos ou serviços:
- Aplicativos móveis do Office, como o Microsoft Outlook e o Microsoft Word
- Clientes do Exchange ActiveSync (EAS)
O uso de certificados elimina a necessidade de inserir uma combinação de nome de usuário e senha em determinados aplicativos de email e Microsoft Office em seu dispositivo móvel.
Suporte a aplicativos móveis da Microsoft
| Aplicações | Suporte |
|---|---|
| Aplicativo Azure Information Protection |  |
| Portal da Empresa | |
| Microsoft Teams | |
| Escritório (móvel) | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype para Empresas | |
| Word / Excel / PowerPoint | |
| Yammer | |
Requisitos
Para usar o CBA com iOS, aplicam-se os seguintes requisitos e considerações:
- A versão do sistema operacional do dispositivo deve ser iOS 9 ou superior.
- O Microsoft Authenticator é necessário para aplicativos do Office no iOS.
- Deve ser criada uma preferência de identidade no Porta-chaves macOS que inclua o URL de autenticação do servidor AD FS. Para obter mais informações, consulte Criar uma preferência de identidade no Acesso às Chaves no Mac.
Aplicam-se os seguintes requisitos e considerações dos Serviços de Federação do Ative Directory (AD FS):
- O servidor AD FS deve estar habilitado para autenticação de certificado e usar autenticação federada.
- O certificado precisa usar o Uso Avançado de Chave (EKU) e conter o UPN do usuário no Nome Alternativo da Entidade (Nome Principal do NT).
Configurar o AD FS
Para que o Microsoft Entra ID revogue um certificado de cliente, o token do AD FS deve ter as seguintes declarações. O Microsoft Entra ID adiciona essas declarações ao token de atualização se estiverem disponíveis no token AD FS (ou em qualquer outro token SAML). Quando o token de atualização precisa ser validado, essas informações são usadas para verificar a revogação:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>- adicione o número de série do seu certificado de clientehttp://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>- adicionar a string para o emissor do seu certificado de cliente
Como prática recomendada, você também deve atualizar as páginas de erro do AD FS da sua organização com as seguintes informações:
- O requisito para instalar o Microsoft Authenticator no iOS.
- Instruções sobre como obter um certificado de usuário.
Para obter mais informações, consulte Personalizando a página de entrada do AD FS.
Usar autenticação moderna com aplicativos do Office
Alguns aplicativos do Office com autenticação moderna habilitada são enviados prompt=login para a ID do Microsoft Entra em sua solicitação. Por padrão, a ID prompt=login do Microsoft Entra traduz a solicitação para o AD FS como wauth=usernamepassworduri (solicita ao AD FS para fazer autenticação U/P) e (solicita que o AD FS ignore o estado SSO e wfresh=0 faça uma nova autenticação). Se você quiser habilitar a autenticação baseada em certificado para esses aplicativos, modifique o comportamento padrão do Microsoft Entra.
Para atualizar o comportamento padrão, defina o 'PromptLoginBehavior' nas configurações de domínio federado como Desativado. Você pode usar o cmdlet New-MgDomainFederationConfiguration para executar essa tarefa, conforme mostrado no exemplo a seguir:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Suporte para clientes Exchange ActiveSync
No iOS 9 ou posterior, o cliente de email iOS nativo é suportado. Para determinar se esse recurso é suportado para todos os outros aplicativos do Exchange ActiveSync, contate o desenvolvedor do aplicativo.
Próximos passos
Para configurar a autenticação baseada em certificado em seu ambiente, consulte Introdução à autenticação baseada em certificado para obter instruções.