Dela via

Microsoft Entra-certifikatbaserad autentisering med federation på Android

  • Artikel

Android-enheter kan använda certifikatbaserad autentisering (CBA) för att autentisera till Microsoft Entra-ID med hjälp av ett klientcertifikat på sin enhet när de ansluter till:

  • Mobila Office-program som Microsoft Outlook och Microsoft Word
  • Exchange ActiveSync-klienter (EAS)

Om du konfigurerar den här funktionen eliminerar du behovet av att ange en kombination av användarnamn och lösenord i vissa e-post- och Microsoft Office-program på din mobila enhet.

Stöd för Microsoft-mobilprogram

Apps Stöd
Azure Information Protection app Bockmarkering som betecknar stöd för det här programmet
Intune-företagsportalen Bockmarkering som betecknar stöd för det här programmet
Microsoft Teams Bockmarkering som betecknar stöd för det här programmet
OneNote Bockmarkering som betecknar stöd för det här programmet
OneDrive Bockmarkering som betecknar stöd för det här programmet
Framtidsutsikt Bockmarkering som betecknar stöd för det här programmet
Power BI Bockmarkering som betecknar stöd för det här programmet
Skype för företag Bockmarkering som betecknar stöd för det här programmet
Word/Excel/PowerPoint Bockmarkering som betecknar stöd för det här programmet
Yammer Bockmarkering som betecknar stöd för det här programmet

Implementeringskrav

Enhetsoperativsystemets version måste vara Android 5.0 (Lollipop) och senare.

En federationsserver måste konfigureras.

För att Microsoft Entra-ID ska kunna återkalla ett klientcertifikat måste AD FS-token ha följande anspråk:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (serienumret för klientcertifikatet)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (strängen för utfärdaren av klientcertifikatet)

Microsoft Entra ID lägger till dessa attribut till refresh-token om de är tillgängliga i AD FS-token (eller andra SAML-token). När uppdateringstoken måste verifieras används den här informationen för att kontrollera återkallningen.

Vi rekommenderar att du uppdaterar organisationens AD FS-felsidor med följande information:

  • Krav för att installera Microsoft Authenticator på Android.
  • Instruktioner för hur du hämtar ett användarcertifikat.

Mer information finns i Anpassa AD FS-inloggningssidorna.

Office-appar med modern autentisering aktiverat skickar "prompt = login" till Microsoft Entra ID i sin begäran. Som standard översätter Microsoft Entra ID "prompt=login" i begäran till AD FS som "wauth=usernamepassworduri" (ber AD FS att göra U/P Auth) och "wfresh=0" (ber AD FS att ignorera SSO-tillstånd och göra en ny autentisering). Om du vill aktivera certifikatbaserad autentisering för dessa appar måste du ändra standardbeteendet för Microsoft Entra. AngePromptLoginBehaviori dina federerade domäninställningar tillInaktiverad. Du kan använda New-MgDomainFederationConfiguration för att utföra den här uppgiften:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Stöd för Exchange ActiveSync-klienter

Vissa Exchange ActiveSync-program på Android 5.0 (Lollipop) eller senare stöds. Kontakta programutvecklaren för att ta reda på om e-postprogrammet stöder den här funktionen.

Nästa steg

Om du vill konfigurera certifikatbaserad autentisering i din miljö kan du läsa mer i Komma igång med certifikatbaserad autentisering på Android-.