Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zařízení s Androidem můžou při připojování k microsoft Entra ID použít ověřování na základě certifikátů (CBA) k ověření v Microsoft Entra ID pomocí klientského certifikátu na svém zařízení:
- Mobilní aplikace Office, jako je Microsoft Outlook a Microsoft Word
- Klienti Exchange ActiveSync (EAS)
Konfigurace této funkce eliminuje nutnost zadat kombinaci uživatelského jména a hesla do určitých e-mailových aplikací a aplikací Microsoft Office na mobilním zařízení.
Podpora mobilních aplikací Microsoftu
| Aplikace | Podpora |
|---|---|
| Aplikace Azure Information Protection |
|
| Portál společnosti Intune |
|
| Microsoft Teams |
|
| OneNote |
|
| OneDrive |
|
| Vyhlídka |
|
| Power BI |
|
| Skype pro firmy |
|
| Word / Excel / PowerPoint |
|
| Yammer |
|
Požadavky na implementaci
Verze operačního systému zařízení musí být Android 5.0 (Lollipop) a vyšší.
Federační server musí být nakonfigurovaný.
Aby Microsoft Entra ID mohl odvolat klientský certifikát, musí token služby AD FS obsahovat následující deklarace identity:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(sériové číslo klientského certifikátu) -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(řetězec vystavitele klientského certifikátu)
Microsoft Entra ID tyto deklarace identity přidá do obnovovacího tokenu, pokud jsou k dispozici v tokenu AD FS (nebo jiném tokenu SAML). Když je potřeba ověřit obnovovací token, použijí se tyto informace ke kontrole odvolání.
Osvědčeným postupem je aktualizovat chybové stránky služby AD FS vaší organizace s následujícími informacemi:
- Požadavek na instalaci aplikace Microsoft Authenticator na Android.
- Pokyny k získání certifikátu uživatele
Další informace najdete v tématu Přizpůsobení přihlašovacích stránek služby AD FS.
Aplikace Office s povoleným moderním ověřováním odesílají v žádostiprompt=login' do Microsoft Entra ID. Ve výchozím nastavení Microsoft Entra ID překládá "prompt=login" v požadavku na službu AD FS jako "wauth=usernamepassworduri" (požádá službu AD FS o provedení ověřování U/P) a "wfresh=0" (požádá službu AD FS o ignorování stavu SSO a provede nové ověření). Pokud chcete pro tyto aplikace povolit ověřování na základě certifikátů, musíte upravit výchozí chování Microsoft Entra. V nastavení federované domény nastavte 'PromptLoginBehavior' na hodnotu 'Zakázáno'. K provedení této úlohy můžete použít New-MgDomainFederationConfiguration:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Podpora klientů Exchange ActiveSync
Některé aplikace Exchange ActiveSync v Androidu 5.0 (Lollipop) nebo novější jsou podporované. Pokud chcete zjistit, jestli vaše e-mailová aplikace tuto funkci podporuje, obraťte se na vývojáře aplikace.
Další kroky
Pokud chcete ve svém prostředí nakonfigurovat ověřování založené na certifikátech, pokyny najdete v tématu Začínáme s ověřováním založeným na certifikátech v Androidu.