Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um die Sicherheit zu verbessern, können iOS-Geräte zertifikatbasierte Authentifizierung (CBA) verwenden, um sich bei Microsoft Entra-ID mithilfe eines Clientzertifikats auf ihrem Gerät zu authentifizieren, wenn Sie eine Verbindung mit den folgenden Anwendungen oder Diensten herstellen:
- Mobile Office-Anwendungen wie Microsoft Outlook und Microsoft Word
- Exchange ActiveSync (EAS)-Clients
Durch die Verwendung von Zertifikaten ist es nicht erforderlich, eine Kombination aus Benutzername und Kennwort in bestimmte E-Mail- und Microsoft Office-Anwendungen auf Ihrem mobilen Gerät einzugeben.
Unterstützung mobiler Microsoft-Anwendungen
| Anwendungen | Unterstützung |
|---|---|
| Azure Information Protection-App |  |
| Unternehmensportal | |
| Microsoft Teams | |
| Office (Mobil) | |
| OneNote | |
| OneDrive | |
| Aussicht | |
| Power BI | |
| Skype for Business | |
| Word/Excel/PowerPoint | |
| Yammer | |
Anforderungen
Für die Verwendung von CBA mit iOS gelten die folgenden Anforderungen und Überlegungen:
- Die Betriebssystemversion des Geräts muss iOS 9 oder höher sein.
- Microsoft Authenticator ist für Office-Anwendungen unter iOS erforderlich.
- Eine Identitätseinstellung muss in der macOS-Schlüsselkette erstellt werden, die die Authentifizierungs-URL des AD FS-Servers enthält. Weitere Informationen finden Sie unter Erstellen einer Identitätseinstellung im Schlüsselbundzugriff auf dem Mac.
Die folgenden Active Directory-Verbunddienste (AD FS)-Anforderungen und Überlegungen gelten:
- Der AD FS-Server muss für die Zertifikatauthentifizierung aktiviert sein und die Verbundauthentifizierung verwenden.
- Das Zertifikat muss die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) verwenden und den Benutzerprinzipalnamen (User Principal Name, UPN) der benutzenden Person im alternativen Antragstellernamen (NT-Prinzipalname) enthalten.
Konfigurieren von AD FS
Damit Microsoft Entra-ID ein Clientzertifikat widerrufen kann, muss das AD FS-Token über die folgenden Ansprüche verfügen. Microsoft Entra ID fügt diese Ansprüche dem Aktualisierungstoken hinzu, wenn sie im AD FS-Token (oder einem anderen SAML-Token) verfügbar sind. Wenn das Aktualisierungstoken überprüft werden muss, werden diese Informationen verwendet, um den Widerruf zu überprüfen:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>– Fügen Sie die Seriennummer Ihres Clientzertifikats hinzu.http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>- Fügen Sie die Zeichenfolge für den Aussteller Ihres Clientzertifikats hinzu.
Als bewährte Methode sollten Sie auch die AD FS-Fehlerseiten Ihrer Organisation mit den folgenden Informationen aktualisieren:
- Die Anforderung für die Installation von Microsoft Authenticator unter iOS.
- Anweisungen zum Abrufen eines Benutzerzertifikats.
Weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseite.
Verwenden der modernen Authentifizierung mit Office-Apps
Einige Office-Apps mit aktivierter moderner Authentifizierung senden prompt=login in der Anforderung an Microsoft Entra ID. Standardmäßig übersetzt Microsoft Entra ID prompt=login in der Anforderung an AD FS in wauth=usernamepassworduri (dabei wird AD FS aufgefordert, U/P-Authentifizierung durchzuführen) und wfresh=0 (dabei wird AD FS aufgefordert, den SSO-Status zu ignorieren und eine neue Authentifizierung zu initiieren). Wenn Sie die zertifikatbasierte Authentifizierung für diese Apps aktivieren möchten, ändern Sie das Standardverhalten von Microsoft Entra.
Um das Standardverhalten zu aktualisieren, legen Sie die Einstellung "PromptLoginBehavior" in ihren Verbunddomäneneinstellungen auf "Deaktiviert" fest. Sie können das Cmdlet New-MgDomainFederationConfiguration verwenden, um diese Aufgabe auszuführen, wie im folgenden Beispiel gezeigt:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Unterstützung von Exchange ActiveSync-Clients
Unter iOS 9 oder höher wird der native iOS-E-Mail-Client unterstützt. Um festzustellen, ob dieses Feature für alle anderen Exchange ActiveSync-Anwendungen unterstützt wird, wenden Sie sich an den Anwendungsentwickler.
Nächste Schritte
Informationen zum Konfigurieren der zertifikatbasierten Authentifizierung in Ihrer Umgebung finden Sie unter "Erste Schritte mit zertifikatbasierter Authentifizierung ".