Autenticazione basata su certificati Microsoft Entra con la federazione in iOS
Per migliorare la sicurezza, i dispositivi iOS possono usare l'autenticazione basata su certificati (CBA) per eseguire l'autenticazione a Microsoft Entra ID usando un certificato client nel dispositivo quando ci si connette alle applicazioni o ai servizi seguenti:
- Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft Word
- Client Exchange ActiveSync (EAS)
L'uso dei certificati elimina la necessità di immettere una combinazione di nome utente e password in determinate app Office licazioni di posta elettronica e Microsoft nel dispositivo mobile.
Supporto delle applicazioni per dispositivi mobili Microsoft
| App | Supporto |
|---|---|
| App Azure Information Protection |  |
| Portale della società | |
| Microsoft Teams | |
| Office (mobile) | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype for Business | |
| Word / Excel / PowerPoint | |
| Yammer | |
Requisiti
Per usare CBA con iOS, si applicano i requisiti e le considerazioni seguenti:
- La versione del sistema operativo del dispositivo deve essere iOS 9 o successiva.
- Per le applicazioni Office in iOS è richiesto Microsoft Authenticator.
- È necessario creare una preferenza di identità nel Keychain macOS che include l'URL di autenticazione del server AD FS. Per altre informazioni, vedere Creare una preferenza di identità in Accesso keychain in Mac.
Si applicano i requisiti e le considerazioni seguenti di Active Directory Federation Services (AD FS):
- Il server AD FS deve essere abilitato per l'autenticazione del certificato e usare l'autenticazione federata.
- Il certificato deve usare L'utilizzo chiavi avanzato (EKU) e contenere l'UPN dell'utente nel nome alternativo soggetto (nome entità NT).
Configurare AD FS
Affinché Microsoft Entra ID revochi un certificato client, il token AD FS deve avere le attestazioni seguenti. Microsoft Entra ID aggiunge queste attestazioni al token di aggiornamento se sono disponibili nel token AD FS (o qualsiasi altro token SAML). Quando il token di aggiornamento deve essere convalidato, queste informazioni vengono usate per controllare la revoca:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>- aggiungere il numero di serie del certificato clienthttp://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>- aggiungere la stringa per l'autorità emittente del certificato client
Come procedura consigliata, è consigliabile aggiornare anche le pagine di errore di AD FS dell'organizzazione con le informazioni seguenti:
- Requisito per l'installazione di Microsoft Authenticator in iOS.
- Istruzioni su come ottenere un certificato utente.
Per altre informazioni, vedere Personalizzazione della pagina di accesso di AD FS.
Usare l'autenticazione moderna con app Office
Alcune app Office con l'autenticazione moderna abilitata inviano prompt=login all'ID Microsoft Entra nella richiesta. Per impostazione predefinita, Microsoft Entra ID converte prompt=login nella richiesta ad AD FS come wauth=usernamepassworduri (chiede ad AD FS di eseguire l'autenticazione U/P) e wfresh=0 (chiede ad AD FS di ignorare lo stato SSO ed eseguire una nuova autenticazione). Se si vuole abilitare l'autenticazione basata su certificati per queste app, modificare il comportamento predefinito di Microsoft Entra.
Per aggiornare il comportamento predefinito, impostare "PromptLoginBehavior" nelle impostazioni del dominio federato su Disabilitato. È possibile usare il cmdlet New-MgDomainFederationConfiguration per eseguire questa attività, come illustrato nell'esempio seguente:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Supporto per i client Exchange ActiveSync
In iOS 9 o versioni successive è supportato il client di posta iOS nativo. Per determinare se questa funzionalità è supportata per tutte le altre applicazioni di Exchange ActiveSync, contattare lo sviluppatore dell'applicazione.
Passaggi successivi
Per configurare l'autenticazione basata su certificati nell'ambiente, vedere Introduzione all'autenticazione basata su certificati per istruzioni.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per