Verificatie op basis van Microsoft Entra-certificaten met federatie op Android

  • Artikel

Android-apparaten kunnen verificatie op basis van certificaten (CBA) gebruiken om te verifiëren bij Microsoft Entra-id met behulp van een clientcertificaat op hun apparaat wanneer u verbinding maakt met:

  • Mobiele Office-toepassingen zoals Microsoft Outlook en Microsoft Word
  • Exchange ActiveSync-clients (EAS)

Als u deze functie configureert, hoeft u geen combinatie van gebruikersnaam en wachtwoord in te voeren in bepaalde e-mail- en Microsoft Office-toepassingen op uw mobiele apparaat.

Ondersteuning voor mobiele Microsoft-toepassingen

Apps Ondersteuning
Azure Information Protection-app Check mark signifying support for this application
Intune-bedrijfsportal Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype voor Bedrijven Check mark signifying support for this application
Word/Excel/PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Implementatievereisten

De versie van het besturingssysteem van het apparaat moet Android 5.0 (Lollipop) en hoger zijn.

Er moet een federatieserver worden geconfigureerd.

Voor Microsoft Entra ID om een clientcertificaat in te trekken, moet het AD FS-token de volgende claims hebben:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (Het serienummer van het clientcertificaat)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (De tekenreeks voor de verlener van het clientcertificaat)

Microsoft Entra ID voegt deze claims toe aan het vernieuwingstoken als deze beschikbaar zijn in het AD FS-token (of een ander SAML-token). Wanneer het vernieuwingstoken moet worden gevalideerd, wordt deze informatie gebruikt om de intrekking te controleren.

Als best practice moet u de AD FS-foutpagina's van uw organisatie bijwerken met de volgende informatie:

  • De vereiste voor het installeren van Microsoft Authenticator op Android.
  • Instructies voor het ophalen van een gebruikerscertificaat.

Zie De AD FS-aanmeldingspagina's aanpassen voor meer informatie.

Office-app s met moderne verificatie ingeschakeld verzenden 'prompt=login' naar Microsoft Entra ID in hun aanvraag. Standaard vertaalt Microsoft Entra-id 'prompt=login' in de aanvraag naar AD FS als 'wauth=usernamepassworduri' (vraagt AD FS om U/P-verificatie uit te voeren) en 'wfresh=0' (vraagt AD FS om de SSO-status te negeren en een nieuwe verificatie uit te voeren). Als u verificatie op basis van certificaten voor deze apps wilt inschakelen, moet u het standaardgedrag van Microsoft Entra wijzigen. Stel de PromptLoginBehavior in uw federatieve domeininstellingen in op Uitgeschakeld. U kunt New-MgDomainFederationConfiguration gebruiken om deze taak uit te voeren:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Ondersteuning voor Exchange ActiveSync-clients

Bepaalde Exchange ActiveSync toepassingen op Android 5.0 (Lollipop) of hoger worden ondersteund. Neem contact op met de ontwikkelaar van uw toepassing om te bepalen of uw e-mailtoepassing deze functie ondersteunt.

Volgende stappen

Zie Aan de slag met verificatie op basis van certificaten voor Android als u verificatie op basis van certificaten in uw omgeving wilt configureren.