Dela via

Microsoft Entra-certifikatbaserad autentisering med federation på Android

  • Artikel

Android-enheter kan använda certifikatbaserad autentisering (CBA) för att autentisera till Microsoft Entra-ID med hjälp av ett klientcertifikat på sin enhet när de ansluter till:

  • Mobila Office-program som Microsoft Outlook och Microsoft Word
  • Exchange ActiveSync-klienter (EAS)

Om du konfigurerar den här funktionen eliminerar du behovet av att ange en kombination av användarnamn och lösenord i vissa e-postmeddelanden och Microsoft-Office-appen på din mobila enhet.

Stöd för Microsoft-mobilprogram

Appar Support
Azure Information Protection-app Check mark signifying support for this application
Intune-företagsportal Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype för företag Check mark signifying support for this application
Word/Excel/PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Implementeringskrav

Enhetsoperativsystemets version måste vara Android 5.0 (Lollipop) och senare.

En federationsserver måste konfigureras.

För att Microsoft Entra-ID ska kunna återkalla ett klientcertifikat måste AD FS-token ha följande anspråk:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (Serienumret för klientcertifikatet)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (Strängen för utfärdaren av klientcertifikatet)

Microsoft Entra-ID lägger till dessa anspråk till uppdateringstoken om de är tillgängliga i AD FS-token (eller någon annan SAML-token). När uppdateringstoken måste verifieras används den här informationen för att kontrollera återkallningen.

Vi rekommenderar att du uppdaterar organisationens AD FS-felsidor med följande information:

  • Krav för att installera Microsoft Authenticator på Android.
  • Instruktioner för hur du hämtar ett användarcertifikat.

Mer information finns i Anpassa AD FS-inloggningssidorna.

Office-appen med modern autentisering aktiverat skickar "prompt=login" till Microsoft Entra-ID i sin begäran. Som standard översätter Microsoft Entra-ID "prompt=login" i begäran till AD FS som "wauth=usernamepassworduri" (ber AD FS att göra U/P-autentisering) och "wfresh=0" (ber AD FS att ignorera SSO-tillstånd och göra en ny autentisering). Om du vill aktivera certifikatbaserad autentisering för dessa appar måste du ändra standardbeteendet för Microsoft Entra. Ange "PromptLoginBehavior" i dina federerade domäninställningar till "Inaktiverad". Du kan använda New-MgDomainFederationConfiguration för att utföra den här uppgiften:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Stöd för Exchange ActiveSync-klienter

Vissa Exchange ActiveSync-program på Android 5.0 (Lollipop) eller senare stöds. Kontakta programutvecklaren för att ta reda på om e-postprogrammet stöder den här funktionen.

Nästa steg

Om du vill konfigurera certifikatbaserad autentisering i din miljö kan du läsa mer i Komma igång med certifikatbaserad autentisering på Android .