Microsoft Entra tanúsítványalapú hitelesítés összevonással Androidon
Az Android-eszközök tanúsítványalapú hitelesítéssel (CBA) hitelesíthetik magukat a Microsoft Entra ID-n egy ügyféltanúsítvány használatával az eszközükön, amikor a következőhöz csatlakoznak:
- Office-mobilalkalmazások, például a Microsoft Outlook és a Microsoft Word
- Exchange ActiveSync protokoll (EAS) ügyfelek
A funkció konfigurálásával nem szükséges felhasználónevet és jelszót beírni bizonyos levelezési és Microsoft-Office-app licációkba a mobileszközén.
Microsoft mobilalkalmazások támogatása
Alkalmazások | Támogatás |
---|---|
Azure Information Protection-alkalmazás | |
Intune Céges portál | |
Microsoft Teams | |
OneNote | |
OneDrive | |
Outlook | |
Power BI | |
Skype Vállalati verzió | |
Word / Excel / PowerPoint | |
Yammer |
Megvalósítási követelmények
Az eszköz operációs rendszerének verziójának Android 5.0 -nak (Lollipop) és újabbnak kell lennie.
Összevonási kiszolgálót kell konfigurálni.
Ahhoz, hogy a Microsoft Entra ID visszavonjon egy ügyféltanúsítványt, az AD FS-jogkivonatnak a következő jogcímekkel kell rendelkeznie:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>
(Az ügyféltanúsítvány sorozatszáma)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>
(Az ügyféltanúsítvány kiállítójának sztringje)
A Microsoft Entra ID hozzáadja ezeket a jogcímeket a frissítési jogkivonathoz, ha elérhetők az AD FS-jogkivonatban (vagy bármely más SAML-jogkivonatban). Amikor a frissítési jogkivonatot ellenőrizni kell, a rendszer ezeket az információkat használja a visszavonás ellenőrzéséhez.
Ajánlott eljárásként frissítse a szervezet AD FS hibaoldalait az alábbi információkkal:
- A Microsoft Authenticator androidos telepítésének követelménye.
- Útmutató felhasználói tanúsítvány beszerzéséhez.
További információ: Az AD FS bejelentkezési lapjainak testreszabása.
Office-app a modern hitelesítéssel rendelkezők a kérésükben "prompt=login" üzenetet küldenek a Microsoft Entra-azonosítónak. A Microsoft Entra ID alapértelmezés szerint a kérésben a "prompt=login" kifejezést wauth=usernamepassworduri néven fordítja le az AD FS-nek (az AD FS-t U/P Hitelesítésre kéri) és a "wfresh=0" értéket (arra kéri az AD FS-t, hogy hagyja figyelmen kívül az egyszeri bejelentkezés állapotát, és végezze el a friss hitelesítést). Ha engedélyezni szeretné a tanúsítványalapú hitelesítést ezekhez az alkalmazásokhoz, módosítania kell a Microsoft Entra alapértelmezett viselkedését. Állítsa a "PromptLoginBehavior" értéket az összevont tartomány beállításaiban "Letiltva" értékre. Ezt a feladatot a New-MgDomainFederationConfiguration használatával hajthatja végre:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync protokoll ügyfelek támogatása
Az Android 5.0 (Lollipop) vagy újabb verziók bizonyos Exchange ActiveSync protokoll alkalmazásai támogatottak. Annak megállapításához, hogy az e-mail-alkalmazás támogatja-e ezt a funkciót, forduljon az alkalmazás fejlesztőjéhez.
Következő lépések
Ha tanúsítványalapú hitelesítést szeretne konfigurálni a környezetben, útmutatásért tekintse meg a tanúsítványalapú hitelesítés használatának első lépéseit androidos nyelven.