Autentikasi berbasis sertifikat Microsoft Entra dengan federasi di Android
Perangkat Android dapat menggunakan autentikasi berbasis sertifikat (CBA) untuk mengautentikasi ke ID Microsoft Entra menggunakan sertifikat klien di perangkat mereka saat menyambungkan ke:
- Aplikasi seluler Office seperti Microsoft Outlook dan Microsoft Word
- Klien Exchange ActiveSync (EAS)
Mengonfigurasi fitur ini menghilangkan kebutuhan untuk memasukkan kombinasi nama pengguna dan sandi ke dalam surat tertentu dan aplikasi Microsoft Office pada perangkat seluler Anda.
Dukungan aplikasi seluler Office
Aplikasi | Dukungan |
---|---|
Aplikasi Perlindungan Informasi Azure | |
Portal Perusahaan Intune | |
Microsoft Teams | |
OneNote | |
OneDrive | |
Outlook | |
Power BI | |
Skype for Business | |
Word / Excel / PowerPoint | |
Yammer |
Persyaratan implementasi
Versi OS perangkat harus Android 5.0 (Lollipop) ke atas.
Server federasi harus dikonfigurasi.
Agar ID Microsoft Entra mencabut sertifikat klien, token LAYANAN Federasi Direktori Aktif harus memiliki klaim berikut:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>
(Nomor seri sertifikat klien)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>
(String pengeluar sertifikat klien)
MICROSOFT Entra ID menambahkan klaim ini ke token refresh jika tersedia dalam token LAYANAN Federasi Direktori Aktif (atau token SAML lainnya). Ketika token refresh perlu divalidasi, informasi ini digunakan untuk memeriksa pencabutan.
Sebagai praktik terbaik, Anda harus memperbarui halaman kesalahan Layanan Federasi Direktori Aktif organisasi Anda dengan informasi berikut:
- Persyaratan untuk menginstal Microsoft Authenticator di Android.
- Petunjuk tentang cara mendapatkan sertifikat pengguna.
Untuk informasi selengkapnya, lihat Mengkustomisasi Halaman Masuk ADFS.
aplikasi Office dengan autentikasi modern diaktifkan kirim 'prompt=login' ke ID Microsoft Entra dalam permintaan mereka. Secara default, MICROSOFT Entra ID menerjemahkan 'prompt=login' dalam permintaan ke Layanan Federasi Direktori Aktif sebagai 'wauth=usernamepassworduri' (meminta LAYANAN Federasi Direktori Aktif untuk melakukan U/P Auth) dan 'wfresh=0' (meminta LAYANAN Federasi Direktori Aktif untuk mengabaikan status SSO dan melakukan autentikasi baru). Jika Anda ingin mengaktifkan autentikasi berbasis sertifikat untuk aplikasi ini, Anda perlu mengubah perilaku Microsoft Entra default. Atur 'PromptLoginBehavior' di pengaturan domain federasi Anda ke 'Dinonaktifkan'. Anda dapat menggunakan New-MgDomainFederationConfiguration untuk melakukan tugas ini:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Dukungan klien Exchange ActiveSync
Mendukung aplikasi Exchange ActiveSync tertentu di Android 5.0 (Lollipop) atau yang lebih baru. Untuk menentukan apakah aplikasi email Anda mendukung fitur ini, hubungi pengembang aplikasi Anda.
Langkah berikutnya
Jika Anda ingin mengonfigurasi autentikasi berbasis sertifikat di lingkungan Anda, lihat Memulai menggunakan autentikasi berbasis sertifikat di Android untuk mendapatkan petunjuk.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk