Microsoft iOS 上具有同盟的 Entra 憑證型驗證
為了改善安全性,iOS 裝置可以使用憑證型驗證 (CBA) 在聯機到下列應用程式或服務時,使用裝置上的用戶端憑證來驗證 Microsoft Entra 識別碼:
- Office 行動應用程式,例如 Microsoft Outlook 和 Microsoft Word
- Exchange ActiveSync (EAS) 用戶端
使用憑證不需要將使用者名稱和密碼組合輸入至行動裝置上的特定郵件和Microsoft Office 應用程式。
Microsoft 移動應用程式支援
| 應用程式 | 支援 |
|---|---|
| Azure 資訊保護應用程式 |
|
| 公司入口網站 |
|
| Microsoft Teams |
|
| Office (行動裝置) |
|
| OneNote |
|
| OneDrive |
|
| 展望 |
|
| Power BI |
|
| 商務用 Skype |
|
| Word / Excel / PowerPoint |
|
| Yammer |
|
要求
若要搭配 iOS 使用 CBA,適用下列需求和考慮:
- 裝置 OS 版本必須是 iOS 9 或更新版本。
- iOS 上的 Office 應用程式需要Microsoft Authenticator。
- 必須在macOS Keychain中建立身分識別喜好設定,其中包含AD FS伺服器的驗證URL。 如需詳細資訊,請參閱 在 Mac 上的 Keychain Access中建立身分識別喜好設定。
下列 Active Directory 同盟服務 (AD FS) 需求和考慮適用:
- AD FS 伺服器必須啟用憑證驗證,並使用同盟驗證。
- 憑證必須使用增強密鑰使用方式 (EKU),並在 主體別名 (NT 主體名稱)中包含使用者的 UPN。
設定 AD FS
若要讓Microsoft Entra ID 撤銷客戶端憑證,AD FS 令牌必須具有下列宣告。 Microsoft Entra ID 如果在 AD FS 令牌或其他任何 SAML 令牌中有這些宣告,就會將它們新增至重新整理令牌。 需要驗證重新整理令牌時,這項資訊會用來檢查撤銷:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>- 新增用戶端憑證的序號 -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>- 新增用戶端憑證簽發者的字串
最佳做法是,您也應該使用下列資訊更新組織的 AD FS 錯誤頁面:
- 在 iOS 上安裝 Microsoft Authenticator 的需求。
- 如何取得用戶憑證的指示。
如需詳細資訊,請參閱 自訂 AD FS 登入頁面。
搭配 Office 應用程式使用新式驗證
某些已啟用新式驗證的 Office 應用程式會在其要求中傳送 prompt=login 至Microsoft Entra ID。 根據預設,Microsoft Entra ID 會將要求中的 prompt=login 轉譯為 AD FS wauth=usernamepassworduri(要求 AD FS 執行 U/P 驗證)和 wfresh=0(要求 AD FS 忽略 SSO 狀態並執行新的驗證)。 如果您想要啟用這些應用程式的憑證式驗證,請修改預設Microsoft Entra 行為。
若要更新預設行為,請將同盟網域設定中的 'PromptLoginBehavior' 設定為 Disabled。 您可以使用 New-MgDomainFederationConfiguration Cmdlet 來執行這項工作,如下列範例所示:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
支援 Exchange ActiveSync 用戶端
在 iOS 9 或更新版本上,支援原生 iOS 郵件用戶端。 若要判斷所有其他 Exchange ActiveSync 應用程式是否支援此功能,請連絡您的應用程式開發人員。
後續步驟
若要在環境中設定憑證式驗證,請參閱 開始使用憑證型驗證 以取得指示。