Share via

Autentikasi berbasis sertifikat Microsoft Entra dengan federasi di Android

  • Artikel

Perangkat Android dapat menggunakan autentikasi berbasis sertifikat (CBA) untuk mengautentikasi ke ID Microsoft Entra menggunakan sertifikat klien di perangkat mereka saat menyambungkan ke:

  • Aplikasi seluler Office seperti Microsoft Outlook dan Microsoft Word
  • Klien Exchange ActiveSync (EAS)

Mengonfigurasi fitur ini menghilangkan kebutuhan untuk memasukkan kombinasi nama pengguna dan sandi ke dalam surat tertentu dan aplikasi Microsoft Office pada perangkat seluler Anda.

Dukungan aplikasi seluler Office

Aplikasi Dukungan
Aplikasi Perlindungan Informasi Azure Check mark signifying support for this application
Portal Perusahaan Intune Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype for Business Check mark signifying support for this application
Word / Excel / PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Persyaratan implementasi

Versi OS perangkat harus Android 5.0 (Lollipop) ke atas.

Server federasi harus dikonfigurasi.

Agar ID Microsoft Entra mencabut sertifikat klien, token LAYANAN Federasi Direktori Aktif harus memiliki klaim berikut:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (Nomor seri sertifikat klien)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (String pengeluar sertifikat klien)

MICROSOFT Entra ID menambahkan klaim ini ke token refresh jika tersedia dalam token LAYANAN Federasi Direktori Aktif (atau token SAML lainnya). Ketika token refresh perlu divalidasi, informasi ini digunakan untuk memeriksa pencabutan.

Sebagai praktik terbaik, Anda harus memperbarui halaman kesalahan Layanan Federasi Direktori Aktif organisasi Anda dengan informasi berikut:

  • Persyaratan untuk menginstal Microsoft Authenticator di Android.
  • Petunjuk tentang cara mendapatkan sertifikat pengguna.

Untuk informasi selengkapnya, lihat Mengkustomisasi Halaman Masuk ADFS.

aplikasi Office dengan autentikasi modern diaktifkan kirim 'prompt=login' ke ID Microsoft Entra dalam permintaan mereka. Secara default, MICROSOFT Entra ID menerjemahkan 'prompt=login' dalam permintaan ke Layanan Federasi Direktori Aktif sebagai 'wauth=usernamepassworduri' (meminta LAYANAN Federasi Direktori Aktif untuk melakukan U/P Auth) dan 'wfresh=0' (meminta LAYANAN Federasi Direktori Aktif untuk mengabaikan status SSO dan melakukan autentikasi baru). Jika Anda ingin mengaktifkan autentikasi berbasis sertifikat untuk aplikasi ini, Anda perlu mengubah perilaku Microsoft Entra default. Atur 'PromptLoginBehavior' di pengaturan domain federasi Anda ke 'Dinonaktifkan'. Anda dapat menggunakan New-MgDomainFederationConfiguration untuk melakukan tugas ini:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Dukungan klien Exchange ActiveSync

Mendukung aplikasi Exchange ActiveSync tertentu di Android 5.0 (Lollipop) atau yang lebih baru. Untuk menentukan apakah aplikasi email Anda mendukung fitur ini, hubungi pengembang aplikasi Anda.

Langkah berikutnya

Jika Anda ingin mengonfigurasi autentikasi berbasis sertifikat di lingkungan Anda, lihat Memulai menggunakan autentikasi berbasis sertifikat di Android untuk mendapatkan petunjuk.