Microsoft Entra 憑證型驗證及聯合認證在 Android 上的使用
Android 裝置可以使用憑證式身份驗證 (CBA),在連線至以下服務時,利用裝置上的用戶端憑證來驗證至 Microsoft Entra ID。
- Office 行動應用程式,例如 Microsoft Outlook 和 Microsoft Word
- Exchange ActiveSync (EAS) 用戶端
設定這項功能不需要在行動裝置上的特定郵件和Microsoft Office 應用程式中輸入使用者名稱和密碼組合。
Microsoft 行動應用程式支援
| 應用程式 | 支援 |
|---|---|
| Azure 資訊保護應用程式 |
|
| Intune 公司入口網站 |
|
| Microsoft Teams |
|
| OneNote |
|
| OneDrive |
|
| 展望 |
|
| Power BI |
|
| 商務用 Skype |
|
| Word / Excel / PowerPoint |
|
| Yammer |
|
實作需求
裝置 OS 版本必須是 Android 5.0 (Lollipop) 和更新版本。
必須設定同盟伺服器。
若要讓Microsoft Entra ID 撤銷用戶端憑證,AD FS 令牌必須具有下列宣告:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(用戶端憑證的序號) -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(用戶端憑證簽發者的字串)
Microsoft Entra ID 會在 AD FS 令牌或任何其他 SAML 令牌中提供這些宣告時,將這些宣告新增至重新整理令牌。 需要驗證刷新令牌時,會使用這項資訊來檢查撤銷。
最佳做法是,您應該使用下列資訊更新組織的 AD FS 錯誤頁面:
- 在Android上安裝 Microsoft Authenticator 的需求。
- 如何取得用戶憑證的指示。
如需詳細資訊,請參閱 自訂 AD FS 登入頁面。
已啟用新式驗證的 Office 應用程式會在其要求中傳送『prompt=login』至 Microsoft Entra ID。 根據預設,Microsoft Entra ID 會將 AD FS 要求中的 'prompt=login' 轉譯為 'wauth=usernamepassworduri' (要求 AD FS 執行 U/P 驗證) 和 'wfresh=0' (要求 AD FS 忽略 SSO 狀態並執行新的驗證)。 如果您想要啟用這些應用程式的憑證式驗證,您必須修改預設Microsoft Entra 行為。 將同盟網域設定中的 'PromptLoginBehavior' 設定為 'Disabled'。 您可以使用 New-MgDomainFederationConfiguration 來執行這項工作:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync 用戶端支援
支援 Android 5.0 (Lollipop) 或更新版本上的某些 Exchange ActiveSync 應用程式。 若要判斷您的電子郵件應用程式是否支援此功能,請連絡您的應用程式開發人員。
後續步驟
如果您想要在環境中設定憑證式驗證,請參閱 在Android 上開始使用憑證式驗證,以取得指示。