Autenticazione basata su certificati Microsoft Entra con la federazione in Android
I dispositivi Android possono usare l'autenticazione basata su certificati (CBA) per eseguire l'autenticazione all'ID Microsoft Entra usando un certificato client nel dispositivo durante la connessione a:
- Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft Word
- Client Exchange ActiveSync (EAS)
La configurazione di questa funzionalità elimina la necessità di immettere una combinazione di nome utente e password in determinate applicazioni di posta e applicazioni Microsoft Office sul dispositivo mobile.
Supporto delle applicazioni per dispositivi mobili Microsoft
| App | Supporto tecnico |
|---|---|
| App Azure Information Protection |  |
| Portale aziendale Intune | |
| Microsoft Teams | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype for Business | |
| Word / Excel / PowerPoint | |
| Yammer | |
Requisiti di implementazione
La versione del sistema operativo del dispositivo deve essere Android 5.0 (Lollipop) o successiva.
È necessario configurare un server federativo.
Affinché Microsoft Entra ID revochi un certificato client, il token AD FS deve avere le attestazioni seguenti:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(Il numero di serie del certificato client)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(La stringa per l'autorità emittente del certificato client)
Microsoft Entra ID aggiunge queste attestazioni al token di aggiornamento se sono disponibili nel token AD FS (o qualsiasi altro token SAML). Quando il token di aggiornamento deve essere convalidato, queste informazioni vengono usate per controllare la revoca.
Come procedura consigliata, è consigliabile aggiornare le pagine di errore di AD FS dell'organizzazione con le informazioni seguenti:
- Il requisito dell'installazione di Microsoft Authenticator in Android.
- Istruzioni su come ottenere un certificato utente.
Per altre informazioni, vedere Customizing the AD FS Sign-in Pages.
app Office con l'autenticazione moderna abilitata inviare 'prompt=login' all'ID Microsoft Entra nella richiesta. Per impostazione predefinita, Microsoft Entra ID converte 'prompt=login' nella richiesta ad AD FS come 'wauth=usernamepassworduri' (chiede ad AD FS di eseguire L'autenticazione U/P) e 'wfresh=0' (chiede ad AD FS di ignorare lo stato SSO ed eseguire una nuova autenticazione). Se si vuole abilitare l'autenticazione basata su certificati per queste app, è necessario modificare il comportamento predefinito di Microsoft Entra. Impostare "PromptLoginBehavior" nelle impostazioni del dominio federato su "Disabilitato". Per eseguire questa attività, è possibile usare New-MgDomainFederationConfiguration :
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Supporto dei client Exchange ActiveSync
Alcune applicazioni Exchange ActiveSync sono supportate in Android 5.0 (Lollipop) o versioni successive. Per determinare se l'applicazione di posta elettronica supporta questa funzionalità, contattare lo sviluppatore dell'applicazione.
Passaggi successivi
Se si desidera configurare l'autenticazione basata su certificati nel proprio ambiente, vedere Introduzione all'autenticazione basata su certificati in Android per le istruzioni.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per