Microsoft Entra tanúsítványalapú hitelesítés összevonással iOS-en
A biztonság javítása érdekében az iOS-eszközök tanúsítványalapú hitelesítéssel (CBA) hitelesíthetők a Microsoft Entra-azonosítóval az eszközükön található ügyféltanúsítvány használatával, amikor az alábbi alkalmazásokhoz vagy szolgáltatásokhoz csatlakoznak:
- Office-mobilalkalmazások, például a Microsoft Outlook és a Microsoft Word
- Exchange ActiveSync protokoll (EAS) ügyfelek
A tanúsítványok használata szükségtelenné teszi, hogy felhasználónevet és jelszókombinációt adjon meg bizonyos levelezési és Microsoft-Office-app licációkban a mobileszközén.
Microsoft mobilalkalmazások támogatása
Alkalmazások | Támogatás |
---|---|
Azure Information Protection-alkalmazás | |
Vállalati portál | |
Microsoft Teams | |
Office (mobil) | |
OneNote | |
OneDrive | |
Outlook | |
Power BI | |
Skype Vállalati verzió | |
Word / Excel / PowerPoint | |
Yammer |
Követelmények
A CBA iOS-sel való használatához az alábbi követelmények és szempontok vonatkoznak:
- Az eszköz operációs rendszerének iOS 9-es vagy újabb verziójának kell lennie.
- Az iOS-en Office-app licációkhoz a Microsoft Authenticator szükséges.
- Identitásbeállítást kell létrehozni a macOS-kulcskarikában, amely tartalmazza az AD FS-kiszolgáló hitelesítési URL-címét. További információ: Identitásbeállítás létrehozása a Keychain Accessben Macen.
Az alábbi Active Directory összevonási szolgáltatások (AD FS) (AD FS) követelmények és szempontok érvényesek:
- Az AD FS-kiszolgálónak engedélyeznie kell a tanúsítványhitelesítést, és összevont hitelesítést kell használnia.
- A tanúsítványnak bővített kulcshasználatot (EKU) kell használnia, és tartalmaznia kell a felhasználó egyszerű felhasználónevét a Tulajdonos alternatív neve (NT Egyszerű név) nézetben.
Az AD FS konfigurálása
Ahhoz, hogy a Microsoft Entra ID visszavonjon egy ügyféltanúsítványt, az AD FS-jogkivonatnak az alábbi jogcímekkel kell rendelkeznie. A Microsoft Entra ID hozzáadja ezeket a jogcímeket a frissítési jogkivonathoz, ha elérhetők az AD FS-jogkivonatban (vagy bármely más SAML-jogkivonatban). Amikor a frissítési jogkivonatot ellenőrizni kell, a rendszer ezeket az információkat használja a visszavonás ellenőrzéséhez:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>
- adja hozzá az ügyféltanúsítvány sorozatszámáthttp://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>
- adja hozzá az ügyféltanúsítvány kiállítójához tartozó sztringet
Ajánlott eljárásként frissítenie kell a szervezet AD FS hibaoldalait is az alábbi információkkal:
- A Microsoft Authenticator iOS-en való telepítésének követelménye.
- Útmutató felhasználói tanúsítvány beszerzéséhez.
További információ: Az AD FS bejelentkezési oldal testreszabása.
Modern hitelesítés használata Office-app
Egyes Office-app, amelyeken engedélyezve van a modern hitelesítés, a kérésükben elküldhetik prompt=login
a Microsoft Entra-azonosítónak. Alapértelmezés szerint a Microsoft Entra ID az AD FS-nek wauth=usernamepassworduri
fordítja le prompt=login
a kérést(az AD FS-et u/P hitelesítésre kéri), és wfresh=0
(arra kéri az AD FS-t, hogy hagyja figyelmen kívül az egyszeri bejelentkezés állapotát, és végezze el a friss hitelesítést). Ha engedélyezni szeretné a tanúsítványalapú hitelesítést ezekhez az alkalmazásokhoz, módosítsa a Microsoft Entra alapértelmezett viselkedését.
Az alapértelmezett viselkedés frissítéséhez állítsa a "PromptLoginBehavior" értéket az összevont tartomány beállításaiban Letiltva értékre. Ezt a feladatot a New-MgDomainFederationConfiguration parancsmaggal hajthatja végre, ahogyan az alábbi példában látható:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync protokoll ügyfelek támogatása
iOS 9 vagy újabb rendszeren a natív iOS levelezőprogram támogatott. Annak megállapításához, hogy ez a funkció támogatott-e az összes többi Exchange ActiveSync protokoll alkalmazásban, forduljon az alkalmazás fejlesztőjéhez.
Következő lépések
Ha tanúsítványalapú hitelesítést szeretne konfigurálni a környezetben, útmutatásért tekintse meg a tanúsítványalapú hitelesítés használatának első lépéseit.