Compartir vía


La autenticación basada en certificados de Microsoft Entra con federación en Android

Los dispositivos Android pueden usar la autenticación basada en certificados (CBA) para autenticarse en Microsoft Entra ID con un certificado de cliente en el dispositivo cuando se conecten a:

  • aplicaciones móviles de Office como Microsoft Outlook y Microsoft Word,
  • clientes de Exchange ActiveSync (EAS).

Al configurar esta función, no tendrá que escribir una combinación de nombre de usuario y contraseña en determinadas aplicaciones de correo electrónico y Microsoft Office de su dispositivo móvil.

Compatibilidad con aplicaciones móviles de Microsoft

Aplicaciones Soporte técnico
Aplicación Azure Information Protection Check mark signifying support for this application
Intune Portal de empresa Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype Empresarial Check mark signifying support for this application
Word, Excel y PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Requisitos de implementación

La versión del sistema operativo del dispositivo debe ser Android 5.0 (Lollipop) y superior.

Se debe configurar un servidor de federación.

Para que Microsoft Entra ID revoque un certificado de cliente, el token de AD FS debe tener las siguientes notificaciones:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (el número de serie del certificado de cliente)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (la cadena del emisor del certificado de cliente)

El Id. de Microsoft Entra agrega estas notificaciones para el token de actualización, en caso de que estén disponibles en el token de AD FS (o en cualquier otro token SAML). Cuando hay que validar el token de actualización, esta información se utiliza para comprobar la revocación.

Se recomienda actualizar las páginas de error de AD FS de su organización con la siguiente información:

  • El requisito de instalar Microsoft Authenticator en Android
  • Instrucciones sobre cómo obtener un certificado de usuario

Para más información, consulte el artículo sobre la personalización de las páginas de inicio de sesión de AD FS.

Las aplicaciones de Office con la autenticación moderna habilitada envían "prompt=login" a Microsoft Entra ID en su solicitud. De manera predeterminada, Microsoft Entra ID traduce "prompt=login" en la solicitud para AD FS como "wauth=usernamepassworduri" (pide a AD FS que utilice la autenticación con nombre de usuario y contraseña) y "wfresh=0" (pide a AD FS que ignore el estado de SSO y lleve a cabo una nueva autenticación). Si desea habilitar la autenticación basada en certificados para estas aplicaciones, es preciso que modifique el comportamiento predeterminado de Azure AD. Establezca "PromptLoginBehavior" en la configuración del dominio federado como "Disabled". Puede usar New-MgDomainFederationConfiguration para realizar esta tarea:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Compatibilidad con clientes de Exchange ActiveSync

Hay algunas aplicaciones de Exchange ActiveSync que son compatibles con Android 5.0 (Lollipop) o posterior. Para determinar si la aplicación de correo electrónico admite esta característica, póngase en contacto con el desarrollador de la aplicación.

Pasos siguientes

Si quiere configurar la autenticación basada en certificados en su entorno, consulte las instrucciones de Introducción a la autenticación basada en certificados en Android.