Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Aby se zlepšilo zabezpečení, můžou zařízení s iOSem při připojování k následujícím aplikacím nebo službám používat ověřování na základě certifikátů (CBA) k ověření v Microsoft Entra ID pomocí klientského certifikátu na svém zařízení:
- Mobilní aplikace Office, jako je Microsoft Outlook a Microsoft Word
- Klienti Exchange ActiveSync (EAS)
Použití certifikátů eliminuje nutnost zadat kombinaci uživatelského jména a hesla do určitých e-mailových aplikací a aplikací Microsoft Office na mobilním zařízení.
Podpora mobilních aplikací Microsoftu
| Aplikace | Podpora |
|---|---|
| Aplikace Azure Information Protection |
|
| Portál společnosti |
|
| Microsoft Teams |
|
| Office (mobilní zařízení) |
|
| OneNote |
|
| OneDrive |
|
| Vyhlídka |
|
| Power BI |
|
| Skype pro firmy |
|
| Word / Excel / PowerPoint |
|
| Yammer |
|
Požadavky
Pokud chcete používat CBA s iOSem, platí následující požadavky a důležité informace:
- Verze operačního systému zařízení musí být iOS 9 nebo vyšší.
- Microsoft Authenticator se vyžaduje pro aplikace Office v iOSu.
- V klíčence macOS musí být vytvořena předvolba identity, která obsahuje autentizační URL serveru AD FS. Další informace najdete v tématu Vytvoření předvolby identity v keychain Access na Macu.
Platí následující požadavky a úvahy služby AD FS (Active Directory Federation Services):
- Server AD FS musí být povolen pro ověřování certifikátem a použití federovaného ověřování.
- Certifikát musí využívat funkci rozšířeného použití klíče (EKU) a obsahovat UPN uživatele v alternativní název subjektu (NT Principal Name).
Konfigurace služby AD FS
Aby mohl Microsoft Entra ID zrušit klientský certifikát, musí token AD FS obsahovat následující deklarace identity. Microsoft Entra ID přidá tato tvrzení do obnovovacího tokenu, pokud jsou k dispozici v tokenu AD FS (nebo jiném tokenu SAML). Pokud je potřeba ověřit obnovovací token, použijí se tyto informace ke kontrole odvolání:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>– přidejte sériové číslo klientského certifikátu. -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>– přidejte text pro vystavitele vašeho klientského certifikátu.
Osvědčeným postupem je také aktualizovat chybové stránky služby AD FS vaší organizace s následujícími informacemi:
- Požadavek na instalaci aplikace Microsoft Authenticator v iOSu
- Pokyny k získání certifikátu uživatele
Další informace najdete v tématu Přizpůsobení přihlašovací stránky služby AD FS.
Použití moderního ověřování s aplikacemi Office
Některé aplikace Office s povoleným moderním ověřováním odesílají prompt=login ve svém požadavku do Microsoft Entra ID. Ve výchozím nastavení Microsoft Entra ID překládá prompt=login v požadavku na službu AD FS jako wauth=usernamepassworduri (žádá službu AD FS o provedení autentizace pomocí uživatelského jména a hesla) a wfresh=0 (žádá službu AD FS, aby ignorovala stav jednotného přihlašování a provedla nové ověření). Pokud chcete pro tyto aplikace povolit ověřování na základě certifikátů, upravte výchozí chování Microsoft Entra.
Pokud chcete aktualizovat výchozí chování, nastavte v nastavení federované doményPromptLoginBehaviorna hodnotu Zakázáno. K provedení této úlohy můžete použít rutinu New-MgDomainFederationConfiguration, jak je znázorněno v následujícím příkladu:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Podpora pro klienty Exchange ActiveSync
V iOSu 9 nebo novějším se podporuje nativní poštovní klient pro iOS. Pokud chcete zjistit, jestli je tato funkce podporovaná pro všechny ostatní aplikace Exchange ActiveSync, obraťte se na vývojáře aplikací.
Další kroky
Pro konfiguraci ověřování na základě certifikátů ve vašem prostředí najdete pokyny v tématu Začínáme s ověřováním založeným na certifikátech.