Zertifikatbasierte Authentifizierung von Microsoft Entra mit Verbund unter iOS
Zur Steigerung der Sicherheit können iOS-Geräte für die Authentifizierung bei Microsoft Entra ID die zertifikatbasierte Authentifizierung verwenden, indem auf den Geräten beim Herstellen einer Verbindung mit folgenden Anwendungen oder Diensten ein Clientzertifikat verwendet wird:
- Mobile Office-Anwendungen wie Microsoft Outlook und Microsoft Word
- Exchange ActiveSync-Clients (EAS)
Bei Verwendung von Zertifikaten ist es bei bestimmten E-Mail- und Microsoft Office-Anwendungen auf Ihrem mobilen Gerät nicht mehr erforderlich, einen Benutzernamen und ein Kennwort einzugeben.
Unterstützung mobiler Microsoft-Anwendungen
| Apps | Support |
|---|---|
| Azure Information Protection-App |  |
| Unternehmensportal | |
| Microsoft Teams | |
| Office (Mobil) | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype for Business | |
| Word/Excel/PowerPoint | |
| Yammer | |
Anforderungen
Beachten Sie bei der Verwendung der zertifikatbasierten Authentifizierung in iOS die folgenden Voraussetzungen und Überlegungen:
- Die Betriebssystemversion des Geräts muss mindestens iOS 9 sein.
- Für Office-Anwendungen unter iOS ist Microsoft Authenticator erforderlich.
- Es muss eine Identitätseinstellung in der macOS-Keychain erstellt werden, die die Authentifizierungs-URL des AD FS-Servers enthält. Weitere Informationen finden Sie unter Erstellen einer Identitätseinstellung in der App „Schlüsselbundverwaltung“ auf dem Mac.
Für Active Directory-Verbunddienste (AD FS) gelten die folgenden Anforderungen und Überlegungen:
- Der AD FS-Server muss für die Zertifikatauthentifizierung aktiviert sein und die Verbundauthentifizierung verwenden.
- Das Zertifikat muss die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) verwenden und den Benutzerprinzipalnamen (UPN) des Benutzers im alternativen Antragstellernamen (NT-Prinzipalname) enthalten.
Konfigurieren von AD FS
Damit Microsoft Entra ID ein Clientzertifikat widerrufen kann, muss das AD FS-Token die folgenden Ansprüche enthalten. Wenn diese Ansprüche im AD FS-Token (oder in einem anderen SAML-Token) enthalten sind, fügt Microsoft Entra ID die Ansprüche dem Aktualisierungstoken hinzu. Wenn das Aktualisierungstoken überprüft werden muss, werden diese Informationen zum Überprüfen der Sperrung verwendet:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>: Fügen Sie die Seriennummer Ihres Clientzertifikats hinzu.http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>: Fügen Sie die Zeichenfolge für den Aussteller des Clientzertifikats hinzu.
Als bewährte Methode sollten Sie auch die AD FS-Fehlerseiten Ihrer Organisation mit folgenden Informationen aktualisieren:
- Voraussetzungen für die Installation von Microsoft Authenticator unter iOS
- Anleitungen zum Abrufen eines Benutzerzertifikats
Weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseite.
Verwenden der modernen Authentifizierung mit Office-Apps
Einige Office-Apps mit aktivierter moderner Authentifizierung senden prompt=login in der Anforderung an Microsoft Entra ID. Microsoft Entra ID übersetzt prompt=login in der Anforderung an AD FS standardmäßig mit wauth=usernamepassworduri (fordert AD FS zum Durchführen der U/P-Authentifizierung auf) und wfresh=0 (fordert AD FS auf, den SSO-Status zu ignorieren und eine erneute Authentifizierung durchzuführen). Wenn Sie die zertifikatbasierte Authentifizierung für diese Apps aktivieren möchten, ändern Sie das Microsoft Entra-Standardverhalten.
Legen Sie zum Anpassen des Standardverhaltens in den Einstellungen der Verbunddomäne PromptLoginBehavior auf Disabled fest. Für diese Aufgabe können Sie das Cmdlet New-MgDomainFederationConfiguration verwenden, wie im folgenden Beispiel gezeigt:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Unterstützung von Exchange ActiveSync-Clients
Unter iOS 9 oder höher wird der native iOS-E-Mail-Client unterstützt. Wenden Sie sich bei allen anderen Exchange ActiveSync-Anwendungen an den Anwendungsentwickler, um zu erfragen, ob dieses Feature unterstützt wird.
Nächste Schritte
Anweisungen zum Konfigurieren der zertifikatbasierten Authentifizierung in Ihrer Umgebung finden Sie unter Erste Schritte mit der zertifikatbasierten Authentifizierung.