Share via

Microsoft Entra tanúsítványalapú hitelesítés összevonással iOS-en

  • Cikk

A biztonság javítása érdekében az iOS-eszközök tanúsítványalapú hitelesítéssel (CBA) hitelesíthetők a Microsoft Entra-azonosítóval az eszközükön található ügyféltanúsítvány használatával, amikor az alábbi alkalmazásokhoz vagy szolgáltatásokhoz csatlakoznak:

  • Office-mobilalkalmazások, például a Microsoft Outlook és a Microsoft Word
  • Exchange ActiveSync protokoll (EAS) ügyfelek

A tanúsítványok használata szükségtelenné teszi, hogy felhasználónevet és jelszókombinációt adjon meg bizonyos levelezési és Microsoft-Office-app licációkban a mobileszközén.

Microsoft mobilalkalmazások támogatása

Alkalmazások Támogatás
Azure Information Protection-alkalmazás Check mark signifying support for this application
Vállalati portál Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
Office (mobil) Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype Vállalati verzió Check mark signifying support for this application
Word / Excel / PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Követelmények

A CBA iOS-sel való használatához az alábbi követelmények és szempontok vonatkoznak:

  • Az eszköz operációs rendszerének iOS 9-es vagy újabb verziójának kell lennie.
  • Az iOS-en Office-app licációkhoz a Microsoft Authenticator szükséges.
  • Identitásbeállítást kell létrehozni a macOS-kulcskarikában, amely tartalmazza az AD FS-kiszolgáló hitelesítési URL-címét. További információ: Identitásbeállítás létrehozása a Keychain Accessben Macen.

Az alábbi Active Directory összevonási szolgáltatások (AD FS) (AD FS) követelmények és szempontok érvényesek:

  • Az AD FS-kiszolgálónak engedélyeznie kell a tanúsítványhitelesítést, és összevont hitelesítést kell használnia.
  • A tanúsítványnak bővített kulcshasználatot (EKU) kell használnia, és tartalmaznia kell a felhasználó egyszerű felhasználónevét a Tulajdonos alternatív neve (NT Egyszerű név) nézetben.

Az AD FS konfigurálása

Ahhoz, hogy a Microsoft Entra ID visszavonjon egy ügyféltanúsítványt, az AD FS-jogkivonatnak az alábbi jogcímekkel kell rendelkeznie. A Microsoft Entra ID hozzáadja ezeket a jogcímeket a frissítési jogkivonathoz, ha elérhetők az AD FS-jogkivonatban (vagy bármely más SAML-jogkivonatban). Amikor a frissítési jogkivonatot ellenőrizni kell, a rendszer ezeket az információkat használja a visszavonás ellenőrzéséhez:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> - adja hozzá az ügyféltanúsítvány sorozatszámát
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> - adja hozzá az ügyféltanúsítvány kiállítójához tartozó sztringet

Ajánlott eljárásként frissítenie kell a szervezet AD FS hibaoldalait is az alábbi információkkal:

  • A Microsoft Authenticator iOS-en való telepítésének követelménye.
  • Útmutató felhasználói tanúsítvány beszerzéséhez.

További információ: Az AD FS bejelentkezési oldal testreszabása.

Modern hitelesítés használata Office-app

Egyes Office-app, amelyeken engedélyezve van a modern hitelesítés, a kérésükben elküldhetik prompt=login a Microsoft Entra-azonosítónak. Alapértelmezés szerint a Microsoft Entra ID az AD FS-nek wauth=usernamepassworduri fordítja le prompt=login a kérést(az AD FS-et u/P hitelesítésre kéri), és wfresh=0 (arra kéri az AD FS-t, hogy hagyja figyelmen kívül az egyszeri bejelentkezés állapotát, és végezze el a friss hitelesítést). Ha engedélyezni szeretné a tanúsítványalapú hitelesítést ezekhez az alkalmazásokhoz, módosítsa a Microsoft Entra alapértelmezett viselkedését.

Az alapértelmezett viselkedés frissítéséhez állítsa a "PromptLoginBehavior" értéket az összevont tartomány beállításaiban Letiltva értékre. Ezt a feladatot a New-MgDomainFederationConfiguration parancsmaggal hajthatja végre, ahogyan az alábbi példában látható:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Exchange ActiveSync protokoll ügyfelek támogatása

iOS 9 vagy újabb rendszeren a natív iOS levelezőprogram támogatott. Annak megállapításához, hogy ez a funkció támogatott-e az összes többi Exchange ActiveSync protokoll alkalmazásban, forduljon az alkalmazás fejlesztőjéhez.

Következő lépések

Ha tanúsítványalapú hitelesítést szeretne konfigurálni a környezetben, útmutatásért tekintse meg a tanúsítványalapú hitelesítés használatának első lépéseit.