Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para mejorar la seguridad, los dispositivos iOS pueden usar la autenticación basada en certificados (CBA) para autenticarse en el identificador de Microsoft Entra mediante un certificado de cliente en su dispositivo al conectarse a las siguientes aplicaciones o servicios:
- Aplicaciones móviles de Office como Microsoft Outlook y Microsoft Word
- Clientes de Exchange ActiveSync (EAS)
El uso de certificados elimina la necesidad de escribir una combinación de nombre de usuario y contraseña en determinados correos y aplicaciones de Microsoft Office en el dispositivo móvil.
Compatibilidad con aplicaciones móviles de Microsoft
| Aplicaciones | Apoyo |
|---|---|
| Aplicación de Azure Information Protection |
|
| Portal de empresa |
|
| Equipos de Microsoft |
|
| Office (móvil) |
|
| OneNote |
|
| OneDrive |
|
| Perspectiva |
|
| Power BI |
|
| Skype Empresarial |
|
| Word/Excel/PowerPoint |
|
| Yammer |
|
Requisitos
Para usar CBA con iOS, se aplican los siguientes requisitos y consideraciones:
- La versión del sistema operativo del dispositivo debe ser iOS 9 o superior.
- Microsoft Authenticator es necesario para las aplicaciones de Office en iOS.
- Se debe crear una preferencia de identidad en la cadena de claves de macOS que incluya la dirección URL de autenticación del servidor de AD FS. Para obtener más información, consulte Crear una preferencia de identidad en Acceso a llaves en Mac.
Se aplican los siguientes requisitos y consideraciones de los Servicios de federación de Active Directory (AD FS):
- El servidor de AD FS debe estar habilitado para la autenticación de certificados y usar la autenticación federada.
- El certificado debe usar el uso mejorado de clave (EKU) y contener el UPN del usuario en el Nombre Alternativo del Sujeto (NT Principal Name).
Configurar AD FS
Para que Microsoft Entra ID revoque un certificado de cliente, el token de AD FS debe tener las siguientes afirmaciones. Microsoft Entra ID agrega estas notificaciones para el token de actualización, en caso de que estén disponibles en el token de AD FS (o en cualquier otro token SAML). Cuando es necesario validar el token de actualización, esta información se usa para comprobar la revocación:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>: agregue el número de serie del certificado de cliente. -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>: agregue la cadena del emisor del certificado de cliente.
Como procedimiento recomendado, también debe actualizar las páginas de error de AD FS de su organización con la siguiente información:
- Requisito para instalar Microsoft Authenticator en iOS.
- Instrucciones sobre cómo obtener un certificado de usuario.
Para obtener más información, consulte Personalización de la página de inicio de sesión de AD FS.
Uso de la autenticación moderna con aplicaciones de Office
Algunas aplicaciones de Office con autenticación moderna habilitada envían prompt=login a Microsoft Entra ID en su solicitud. De forma predeterminada, Microsoft Entra ID modifica prompt=login en la solicitud a AD FS como wauth=usernamepassworduri (solicita a AD FS que realice la autenticación de U/P) y wfresh=0 (solicita a AD FS que ignore el estado de SSO y realice una nueva autenticación). Si desea habilitar la autenticación basada en certificados para estas aplicaciones, modifique el comportamiento predeterminado de Microsoft Entra.
Para actualizar el comportamiento predeterminado, establezca "PromptLoginBehavior" en la configuración del dominio federado en Deshabilitado. Puede usar el cmdlet New-MgDomainFederationConfiguration para realizar esta tarea, como se muestra en el ejemplo siguiente:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Compatibilidad con clientes de Exchange ActiveSync
En iOS 9 o posterior, se admite el cliente de correo nativo de iOS. Para determinar si esta característica es compatible con todas las demás aplicaciones de Exchange ActiveSync, póngase en contacto con el desarrollador de aplicaciones.
Pasos siguientes
Para configurar la autenticación basada en certificados en su entorno, consulte Introducción a la autenticación basada en certificados para obtener instrucciones.