Autentikasi berbasis sertifikat Microsoft Entra dengan federasi di iOS
Untuk meningkatkan keamanan, perangkat iOS dapat menggunakan autentikasi berbasis sertifikat (CBA) untuk mengautentikasi ke ID Microsoft Entra menggunakan sertifikat klien di perangkat mereka saat menyambungkan ke aplikasi atau layanan berikut:
- Aplikasi seluler Office seperti Microsoft Outlook dan Microsoft Word
- Klien Exchange ActiveSync (EAS)
Menggunakan sertifikat menghilangkan kebutuhan untuk memasukkan kombinasi nama pengguna dan kata sandi ke dalam email tertentu dan aplikasi Microsoft Office di perangkat seluler Anda.
Dukungan aplikasi seluler Office
| Aplikasi | Dukungan |
|---|---|
| Aplikasi Perlindungan Informasi Azure |  |
| Company Portal | |
| Microsoft Teams | |
| Office (mobile) | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype for Business | |
| Word / Excel / PowerPoint | |
| Yammer | |
Persyaratan
Untuk menggunakan CBA dengan iOS, persyaratan dan pertimbangan berikut berlaku:
- Versi OS perangkat harus iOS 9 atau lebih tinggi.
- Microsoft Authenticator diperlukan untuk aplikasi Office di iOS.
- Preferensi identitas harus dibuat di rantai Kunci macOS yang menyertakan URL autentikasi server LAYANAN Federasi Direktori Aktif. Untuk informasi selengkapnya, lihat Membuat preferensi identitas di Akses Rantai Kunci di Mac.
Persyaratan dan pertimbangan Layanan Federasi Direktori Aktif (AD FS) berikut ini berlaku:
- Server Layanan Federasi Direktori Aktif harus diaktifkan untuk autentikasi sertifikat dan menggunakan autentikasi gabungan.
- Sertifikat harus menggunakan Enhanced Key Usage (EKU) dan berisi UPN pengguna dalam Nama Alternatif Subjek (Nama Utama NT).
Mengonfigurasi Layanan Federasi Direktori Aktif
Agar ID Microsoft Entra mencabut sertifikat klien, token LAYANAN Federasi Direktori Aktif harus memiliki klaim berikut. MICROSOFT Entra ID menambahkan klaim ini ke token refresh jika tersedia dalam token LAYANAN Federasi Direktori Aktif (atau token SAML lainnya). Ketika token refresh perlu divalidasi, informasi ini digunakan untuk memeriksa pencabutan:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>- tambahkan nomor seri sertifikat klien Andahttp://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>- tambahkan string untuk penerbit sertifikat klien Anda
Sebagai praktik terbaik, Anda juga harus memperbarui halaman kesalahan Layanan Federasi Direktori Aktif organisasi Anda dengan informasi berikut:
- Persyaratan untuk menginstal Microsoft Authenticator di iOS.
- Petunjuk tentang cara mendapatkan sertifikat pengguna.
Untuk informasi selengkapnya, lihat Mengkustomisasi halaman masuk AD FS.
Menggunakan autentikasi modern dengan aplikasi Office
Beberapa aplikasi Office dengan autentikasi modern diaktifkan kirim prompt=login ke ID Microsoft Entra dalam permintaan mereka. Secara default, ID Microsoft Entra diterjemahkan prompt=login dalam permintaan ke Layanan Federasi Direktori Aktif sebagai wauth=usernamepassworduri (meminta Layanan Federasi Direktori Aktif untuk melakukan U/P Auth) dan wfresh=0 (meminta LAYANAN Federasi Direktori Aktif untuk mengabaikan status SSO dan melakukan autentikasi baru). Jika Anda ingin mengaktifkan autentikasi berbasis sertifikat untuk aplikasi ini, ubah perilaku Microsoft Entra default.
Untuk memperbarui perilaku default, atur'PromptLoginBehavior' di pengaturan domain terfederasi Anda ke Dinonaktifkan. Anda dapat menggunakan cmdlet New-MgDomainFederationConfiguration untuk melakukan tugas ini, seperti yang ditunjukkan dalam contoh berikut:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Dukungan untuk klien Exchange ActiveSync
Di iOS 9 atau versi lebih baru, klien email iOS asli didukung. Untuk menentukan apakah fitur ini didukung untuk semua aplikasi Exchange ActiveSync lainnya, hubungi pengembang aplikasi Anda.
Langkah berikutnya
Untuk mengonfigurasi autentikasi berbasis sertifikat di lingkungan Anda, lihat Mulai menggunakan autentikasi berbasis sertifikat untuk mendapatkan instruksi.