Authentification basée sur les certificats Microsoft Entra avec fédération sur iOS

  • Article

Afin d’améliorer la sécurité, les appareils iOS peuvent utiliser l’authentification basée sur les certificats pour s’authentifier auprès de Microsoft Entra ID à l’aide d’un certificat client quand ils se connectent aux applications ou services suivants :

  • Des applications mobiles Office, telles que Microsoft Outlook et Microsoft Word ;
  • Des clients Exchange ActiveSync (EAS).

L’utilisation de certificats élimine le besoin d’entrer un nom d’utilisateur et un mot de passe dans certaines applications de messagerie et Microsoft Office sur votre appareil mobile.

Prise en charge des applications mobiles Microsoft

Applications Support
Application Azure Information Protection Check mark signifying support for this application
Portail d'entreprise Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
Office (mobile) Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype Entreprise Check mark signifying support for this application
Word / Excel / PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Spécifications

Pour utiliser l’authentification par certificat avec iOS, les conditions requises et considérations suivantes s’appliquent :

  • La version du système d’exploitation de l’appareil doit être iOS 9 ou toute version ultérieure.
  • Microsoft Authenticator est requis pour les applications Office sur iOS.
  • Une préférence d’identité doit être créée dans les trousseaux macOS qui inclut l’URL d’authentification du serveur AD FS. Pour plus d’informations, consultez Créer une préférence d’identité dans Trousseaux d’accès sur Mac.

Ces conditions requises et considérations relatives aux services de fédération Active Directory (AD FS) s’appliquent :

  • Le serveur AD FS doit être activé pour l’authentification par certificat et utiliser l’authentification fédérée.
  • Le certificat doit avoir recours à l’utilisation améliorée de la clé et contenir l’UPN de l’utilisateur dans l’autre nom de l’objet (nom du principal NT) .

Configurer AD FS

Pour que Microsoft Entra ID révoque un certificat client, le jeton AD FS doit posséder les revendications suivantes. Microsoft Entra ID ajoute ces revendications au jeton d’actualisation si elles sont disponibles dans le jeton AD FS (ou n’importe quel autre jeton SAML). Lorsque le jeton d’actualisation doit être validé, ces informations sont utilisées pour vérifier la révocation :

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> : ajoute le numéro de série de votre certificat client
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> : ajoute la chaîne de l’émetteur de votre certificat client

Une meilleure pratique consiste également à mettre à jour les pages d’erreurs AD FS de votre organisation à l’aide des informations suivantes :

  • La configuration requise pour l’installation de Microsoft Authenticator sur iOS.
  • Instructions sur l’obtention d’un certificat utilisateur.

Pour plus d’informations, consultez Personnalisation de la page de connexion AD FS.

Utiliser l’authentification moderne avec les applications Office

Certaines applications Office pour lesquelles l’authentification moderne est activée envoient prompt=login à Microsoft Entra ID dans leur requête. Par défaut, Microsoft Entra ID traduit prompt=login dans la requête envoyée à AD FS en wauth=usernamepassworduri (demande à AD FS d’effectuer l’authentification U/P) et wfresh=0 (demande à AD FS d’ignorer l’état d’authentification unique et d’effectuer une nouvelle authentification). Si vous souhaitez activer l’authentification basée sur les certificats pour ces applications, modifiez le comportement par défaut de Microsoft Entra.

Pour mettre à jour le comportement par défaut, définissez « PromptLoginBehavior » dans vos paramètres de domaine fédéré sur Désactivé. Vous pouvez utiliser la cmdlet New-MgDomainFederationConfiguration pour effectuer cette tâche, comme illustré dans l’exemple suivant :

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Prise en charge pour les clients Exchange ActiveSync

Dans iOS 9 ou version ultérieure, le client de messagerie iOS natif est pris en charge. Pour savoir si cette fonctionnalité est prise en charge pour toutes les autres applications Exchange ActiveSync, contactez le développeur de votre application.

Étapes suivantes

Pour configurer l’authentification par certificat dans votre environnement, consultez Bien démarrer avec l’authentification par certificat pour obtenir des instructions.