Zertifikatbasierte Authentifizierung von Microsoft Entra mit Verbund unter Android

  • Artikel

Android-Geräte können für die Authentifizierung bei Microsoft Entra ID die zertifikatbasierte Authentifizierung verwenden, indem auf den Geräten beim Herstellen einer Verbindung mit folgenden Anwendungen oder Clients ein Clientzertifikat verwendet wird:

  • Mobile Office-Anwendungen wie Microsoft Outlook und Microsoft Word
  • Exchange ActiveSync-Clients (EAS)

Wenn Sie dieses Feature konfigurieren, ist es bei bestimmten E-Mail- und Microsoft Office-Anwendungen auf Ihrem mobilen Gerät nicht länger erforderlich, einen Benutzernamen und ein Kennwort einzugeben.

Unterstützung mobiler Microsoft-Anwendungen

Apps Support
Azure Information Protection-App Check mark signifying support for this application
Intune Unternehmensportal Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype for Business Check mark signifying support for this application
Word/Excel/PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Anforderungen an die Implementierung

Die Betriebssystemversion des Geräts muss Android 5.0 (Lollipop) oder eine höhere Version sein.

Ein Verbundserver muss konfiguriert werden.

Damit Microsoft Entra ID ein Clientzertifikat widerrufen kann, muss das AD FS-Token die folgenden Ansprüche enthalten:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (Die Seriennummer des Clientzertifikats)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (Die Zeichenfolge für den Aussteller des Clientzertifikats)

Wenn diese Ansprüche im AD FS-Token (oder in einem anderen SAML-Token) enthalten sind, fügt Microsoft Entra ID die Ansprüche dem Aktualisierungstoken hinzu. Wenn das Aktualisierungstoken überprüft werden muss, werden diese Informationen zum Überprüfen der Sperrung verwendet.

Als bewährte Methode sollten Sie die AD FS-Fehlerseiten Ihrer Organisation mit folgenden Informationen aktualisieren:

  • Voraussetzungen für die Installation von Microsoft Authenticator unter Android
  • Anleitungen zum Abrufen eines Benutzerzertifikats

Weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseiten.

Office-Apps mit aktivierter moderner Authentifizierung senden prompt=login in der Anforderung an Microsoft Entra ID. Microsoft Entra ID übersetzt prompt=login in der Anforderung an AD FS standardmäßig in wauth=usernamepassworduri (fordert AD FS zum Durchführen der U/P-Authentifizierung auf) und wfresh=0 (fordert AD FS auf, den SSO-Status zu ignorieren und eine erneute Authentifizierung durchzuführen). Wenn Sie die zertifikatbasierte Authentifizierung für diese Apps aktivieren möchten, müssen Sie das Microsoft Entra-Standardverhalten ändern. Legen Sie dazu einfach 'PromptLoginBehavior' in den Einstellungen der Verbunddomäne auf 'Deaktiviert' fest. Sie können New-MgDomainFederationConfiguration verwenden, um diese Aufgabe auszuführen:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Unterstützung von Exchange ActiveSync-Clients

Bestimmte Exchange ActiveSync-Anwendungen auf Android 5.0 (Lollipop) oder einer höheren Version werden unterstützt. Wenden Sie sich an Ihren Anwendungsentwickler, um herauszufinden, ob Ihre E-Mail-Anwendung dieses Feature unterstützt.

Nächste Schritte

Wenn Sie die zertifikatbasierte Authentifizierung in Ihrer Umgebung konfigurieren möchten, finden Sie unter Erste Schritte mit der zertifikatbasierten Authentifizierung unter Android entsprechende Anweisungen.