Azure Active Directory-verificatie op basis van certificaten met federatie op Android

  • Artikel

Android-apparaten kunnen verificatie op basis van certificaten (CBA) gebruiken om te verifiëren bij Azure Active Directory met een clientcertificaat op hun apparaat bij het maken van verbinding met:

  • Mobiele Office-toepassingen zoals Microsoft Outlook en Microsoft Word
  • EAS-clients (Exchange ActiveSync)

Als u deze functie configureert, hoeft u geen combinatie van gebruikersnaam en wachtwoord in te voeren in bepaalde e-mail- en Microsoft Office-toepassingen op uw mobiele apparaat.

Ondersteuning voor mobiele Microsoft-toepassingen

Apps Ondersteuning
Azure Information Protection-app Vinkje dat aangeeft dat deze toepassing wordt ondersteund
Intune Bedrijfsportal Vinkje dat aangeeft dat deze toepassing wordt ondersteund
Microsoft Teams Vinkje dat aangeeft dat deze toepassing wordt ondersteund
OneNote Vinkje dat aangeeft dat deze toepassing wordt ondersteund
OneDrive Vinkje dat aangeeft dat deze toepassing wordt ondersteund
Outlook Vinkje dat aangeeft dat deze toepassing wordt ondersteund
Power BI Vinkje dat aangeeft dat deze toepassing wordt ondersteund
Skype voor Bedrijven Vinkje dat aangeeft dat deze toepassing wordt ondersteund
Word, Excel, PowerPoint Vinkje dat aangeeft dat deze toepassing wordt ondersteund
Yammer Vinkje dat aangeeft dat deze toepassing wordt ondersteund

Implementatievereisten

De versie van het besturingssysteem van het apparaat moet Android 5.0 (Lollipop) en hoger zijn.

Er moet een federatieserver worden geconfigureerd.

Azure Active Directory kan alleen een clientcertificaat intrekken als het AD FS-token de volgende claims heeft:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (Het serienummer van het clientcertificaat)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (De tekenreeks voor de verlener van het clientcertificaat)

Azure Active Directory voegt deze claims toe aan het vernieuwingstoken als ze beschikbaar zijn in het AD FS-token (of een ander SAML-token). Wanneer het vernieuwingstoken moet worden gevalideerd, wordt deze informatie gebruikt om de intrekking te controleren.

Als best practice moet u de AD FS-foutpagina's van uw organisatie bijwerken met de volgende informatie:

  • De vereiste voor het installeren van Microsoft Authenticator op Android.
  • Instructies voor het ophalen van een gebruikerscertificaat.

Zie De AD FS-aanmeldingspagina's aanpassen voor meer informatie.

Office-apps waarvoor moderne verificatie is ingeschakeld, verzenden 'prompt=login' naar Azure AD in hun aanvraag. Standaard vertaalt Azure AD 'prompt=login' in de aanvraag naar AD FS als 'wauth=usernamepassworduri' (vraagt AD FS om U/P-verificatie uit te voeren) en 'wfresh=0' (vraagt AD FS om de status van eenmalige aanmelding te negeren en een nieuwe verificatie uit te voeren). Als u op certificaten gebaseerde verificatie voor deze apps wilt inschakelen, moet u het standaard gedrag van Azure AD wijzigen. Stel de PromptLoginBehavior in uw federatieve domeininstellingen in op Uitgeschakeld. U kunt de cmdlet MSOLDomainFederationSettings gebruiken om deze taak uit te voeren:

Set-MSOLDomainFederationSettings -domainname <domain> -PromptLoginBehavior Disabled

Ondersteuning voor Exchange ActiveSync-clients

Bepaalde Exchange ActiveSync toepassingen op Android 5.0 (Lollipop) of hoger worden ondersteund. Neem contact op met de ontwikkelaar van uw toepassing om te bepalen of uw e-mailtoepassing deze functie ondersteunt.

Volgende stappen

Zie Aan de slag met verificatie op basis van certificaten voor Android als u verificatie op basis van certificaten in uw omgeving wilt configureren.