Share via

Microsoft Entra tanúsítványalapú hitelesítés összevonással Androidon

  • Cikk

Az Android-eszközök tanúsítványalapú hitelesítéssel (CBA) hitelesíthetik magukat a Microsoft Entra ID-n egy ügyféltanúsítvány használatával az eszközükön, amikor a következőhöz csatlakoznak:

  • Office-mobilalkalmazások, például a Microsoft Outlook és a Microsoft Word
  • Exchange ActiveSync protokoll (EAS) ügyfelek

A funkció konfigurálásával nem szükséges felhasználónevet és jelszót beírni bizonyos levelezési és Microsoft-Office-app licációkba a mobileszközén.

Microsoft mobilalkalmazások támogatása

Alkalmazások Támogatás
Azure Information Protection-alkalmazás Check mark signifying support for this application
Intune Céges portál Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype Vállalati verzió Check mark signifying support for this application
Word / Excel / PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Megvalósítási követelmények

Az eszköz operációs rendszerének verziójának Android 5.0 -nak (Lollipop) és újabbnak kell lennie.

Összevonási kiszolgálót kell konfigurálni.

Ahhoz, hogy a Microsoft Entra ID visszavonjon egy ügyféltanúsítványt, az AD FS-jogkivonatnak a következő jogcímekkel kell rendelkeznie:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (Az ügyféltanúsítvány sorozatszáma)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (Az ügyféltanúsítvány kiállítójának sztringje)

A Microsoft Entra ID hozzáadja ezeket a jogcímeket a frissítési jogkivonathoz, ha elérhetők az AD FS-jogkivonatban (vagy bármely más SAML-jogkivonatban). Amikor a frissítési jogkivonatot ellenőrizni kell, a rendszer ezeket az információkat használja a visszavonás ellenőrzéséhez.

Ajánlott eljárásként frissítse a szervezet AD FS hibaoldalait az alábbi információkkal:

  • A Microsoft Authenticator androidos telepítésének követelménye.
  • Útmutató felhasználói tanúsítvány beszerzéséhez.

További információ: Az AD FS bejelentkezési lapjainak testreszabása.

Office-app a modern hitelesítéssel rendelkezők a kérésükben "prompt=login" üzenetet küldenek a Microsoft Entra-azonosítónak. A Microsoft Entra ID alapértelmezés szerint a kérésben a "prompt=login" kifejezést wauth=usernamepassworduri néven fordítja le az AD FS-nek (az AD FS-t U/P Hitelesítésre kéri) és a "wfresh=0" értéket (arra kéri az AD FS-t, hogy hagyja figyelmen kívül az egyszeri bejelentkezés állapotát, és végezze el a friss hitelesítést). Ha engedélyezni szeretné a tanúsítványalapú hitelesítést ezekhez az alkalmazásokhoz, módosítania kell a Microsoft Entra alapértelmezett viselkedését. Állítsa a "PromptLoginBehavior" értéket az összevont tartomány beállításaiban "Letiltva" értékre. Ezt a feladatot a New-MgDomainFederationConfiguration használatával hajthatja végre:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Exchange ActiveSync protokoll ügyfelek támogatása

Az Android 5.0 (Lollipop) vagy újabb verziók bizonyos Exchange ActiveSync protokoll alkalmazásai támogatottak. Annak megállapításához, hogy az e-mail-alkalmazás támogatja-e ezt a funkciót, forduljon az alkalmazás fejlesztőjéhez.

Következő lépések

Ha tanúsítványalapú hitelesítést szeretne konfigurálni a környezetben, útmutatásért tekintse meg a tanúsítványalapú hitelesítés használatának első lépéseit androidos nyelven.