在 iOS 上使用同盟的 Microsoft Entra 憑證式驗證
為了改善安全性,iOS 裝置可以使用憑證式驗證 (CBA),在連線到下列應用程式或服務時,於其裝置上使用用戶端憑證來向 Microsoft Entra ID 進行驗證:
- Office 行動應用程式,例如 Microsoft Outlook 與 Microsoft Word
- Exchange ActiveSync (EAS) 用戶端
使用憑證就不需要在行動裝置上的特定郵件和 Microsoft Office 應用程式中,輸入使用者名稱和密碼的組合。
Microsoft 行動應用程式支援
| 應用程式 | 支援 |
|---|---|
| Azure 資訊保護應用程式 |  |
| 公司入口網站 | |
| Microsoft Teams | |
| Office (行動版) | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| 商務用 Skype | |
| Word / Excel / PowerPoint | |
| Yammer | |
需求
若要搭配使用 CBA 與 iOS,所適用的需求和考量如下:
- 裝置作業系統版本必須是 iOS 9 和更新版本。
- iOS 上的 Office 應用程式都需要 Microsoft Authenticator。
- 必須在 macOS 金鑰鏈中建立包含 AD FS 伺服器驗證 URL 的身份識別喜好設定。 如需詳細資訊,請參閱在 Mac 上的「鑰匙圈存取」中製作身份偏好設定。
以下 Active Directory 同盟服務 (AD FS) 需求與考量如下:
- AD FS 伺服器必須啟用憑證驗證功能並使用同盟驗證。
- 憑證必須使用增強金鑰使用方法 (EKU),並在主體別名 (NT 主體名稱) 中包含使用者的 UPN。
設定 AD FS
AD FS 權杖必須要有下列宣告,Microsoft Entra ID 才能撤銷用戶端憑證。 如果 AD FS 權杖 (或任何其他 SAML 權杖) 中有上述宣告,Microsoft Entra ID 就會將這些宣告新增至重新整理權杖。 當需要驗證重新整理權杖時,這項資訊會用於檢查撤銷:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>- 新增用戶端憑證的序號http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>- 新增用戶端憑證的簽發者字串
最佳做法是也應該以下列資訊來更新組織的 AD FS 錯誤頁面︰
- 在 iOS 上安裝 Microsoft Authenticator 的需求。
- 如何取得使用者憑證的指示。
如需詳細資訊,請參閱自訂 AD FS 登入頁面。
搭配使用新式驗證與 Office 應用程式
某些已啟用新式驗證的 Office 應用程式會在其要求中將 prompt=login 傳送至 Microsoft Entra ID。 根據預設,Microsoft Entra ID 會在給 AD FS 的要求中將 prompt=login 轉譯為 wauth=usernamepassworduri (要求 AD FS 進行 U/P 驗證) 和 wfresh=0 (要求 AD FS 忽略 SSO 狀態並進行全新驗證)。 如果您想要啟用這些應用程式的憑證型驗證,請修改預設的 Microsoft Entra 行為。
若要更新預設行為,請將您同盟網域設定中的 'PromptLoginBehavior' 設定為 [Disabled]。 您可以使用 New-MgDomainFederationConfiguration Cmdlet 來執行這項工作,如下列範例所示:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync 用戶端的支援
iOS 9 或更新版本支援原生 iOS 郵件用戶端。 若要判斷這項功能是否支援用於其他所有 Exchange ActiveSync 應用程式,請連絡您的應用程式開發人員。
下一步
若要在環境中設定憑證式驗證,相關指示請參閱開始使用憑證式驗證。