Microsoft Entra-certifikatbaserad autentisering med federation på iOS
För att förbättra säkerheten kan iOS-enheter använda certifikatbaserad autentisering (CBA) för att autentisera till Microsoft Entra-ID med ett klientcertifikat på sin enhet när de ansluter till följande program eller tjänster:
- Mobila Office-program som Microsoft Outlook och Microsoft Word
- Exchange ActiveSync-klienter (EAS)
Med hjälp av certifikat eliminerar du behovet av att ange en kombination av användarnamn och lösenord i vissa e-post- och Microsoft Office-program på din mobila enhet.
Stöd för Microsoft-mobilprogram
| Apps | Stöd |
|---|---|
| Azure Information Protection app |
|
| Företagsportal |
|
| Microsoft Teams |
|
| Office (mobil) |
|
| OneNote |
|
| OneDrive |
|
| Framtidsutsikt |
|
| Power BI |
|
| Skype för företag |
|
| Word/Excel/PowerPoint |
|
| Yammer |
|
Krav
Om du vill använda CBA med iOS gäller följande krav och överväganden:
- Enhetsoperativsystemets version måste vara iOS 9 eller senare.
- Microsoft Authenticator krävs för Office-program i iOS.
- En identitetsinställning måste skapas i macOS-nyckelringen som innehåller autentiserings-URL:en för AD FS-servern. Mer information finns i Skapa en identitetsinställning i Nyckelringsåtkomst på Mac.
Följande krav och överväganden för Active Directory Federation Services (AD FS) gäller:
- AD FS-servern måste vara aktiverad för certifikatautentisering och använda federerad autentisering.
- Certifikatet måste använda Förbättrad nyckelanvändning (EKU) och innehålla UPN för användaren i Alternativt namn för ämnet (NT-huvudnamn).
Konfigurera AD FS
För att Microsoft Entra-ID ska kunna återkalla ett klientcertifikat måste AD FS-token ha följande anspråk. Microsoft Entra-ID lägger till dessa anspråk till uppdateringstoken om de är tillgängliga i AD FS-token (eller någon annan SAML-token). När uppdateringstoken måste verifieras används den här informationen för att kontrollera återkallningen:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>– lägg till serienumret för klientcertifikatet -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>– lägg till strängen för utfärdaren av klientcertifikatet
Som bästa praxis bör du också uppdatera din organisations AD FS-felsidor med följande information:
- Kravet för att installera Microsoft Authenticator på iOS.
- Instruktioner för hur du hämtar ett användarcertifikat.
Mer information finns i Anpassa AD FS-inloggningssidan.
Använda modern autentisering med Office-appar
Vissa Office-appar med modern autentisering aktiverat skickar prompt=login till Microsoft Entra-ID i sin begäran. Som standard översätter Microsoft Entra-ID prompt=login i begäran till AD FS som wauth=usernamepassworduri (ber AD FS att göra U/P-autentisering) och wfresh=0 (ber AD FS att ignorera SSO-tillstånd och göra en ny autentisering). Om du vill aktivera certifikatbaserad autentisering för dessa appar ändrar du standardbeteendet för Microsoft Entra.
Om du vill uppdatera standardbeteendet anger duPromptLoginBehaviori dina federerade domäninställningar till Inaktiverad. Du kan använda cmdleten New-MgDomainFederationConfiguration för att utföra den här uppgiften, enligt följande exempel:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Stöd för Exchange ActiveSync-klienter
På iOS 9 eller senare stöds den interna iOS-e-postklienten. Kontakta programutvecklaren om du vill ta reda på om den här funktionen stöds för alla andra Exchange ActiveSync-program.
Nästa steg
Information om hur du konfigurerar certifikatbaserad autentisering i din miljö finns i Komma igång med certifikatbaserad autentisering.