Udostępnij za pośrednictwem

Uwierzytelnianie oparte na certyfikatach Microsoft przy użyciu federacji w systemie Android

Urządzenia z systemem Android mogą używać uwierzytelniania opartego na certyfikatach (CBA) do uwierzytelniania w usłudze Microsoft Entra ID przy użyciu certyfikatu klienta na urządzeniu podczas nawiązywania połączenia z:

  • Aplikacje mobilne pakietu Office, takie jak Microsoft Outlook i Microsoft Word
  • Klienci programu Exchange ActiveSync (EAS)

Skonfigurowanie tej funkcji eliminuje konieczność wprowadzania kombinacji nazwy użytkownika i hasła w niektórych aplikacjach poczty i pakietu Microsoft Office na urządzeniu przenośnym.

Obsługa aplikacji mobilnych firmy Microsoft

Aplikacje Wsparcie
Aplikacja usługi Azure Information Protection Znak wyboru oznaczający wsparcie dla tej aplikacji
Portal firmy Intune Znak wyboru oznaczający wsparcie dla tej aplikacji
Microsoft Teams Znak wyboru oznaczający wsparcie dla tej aplikacji
OneNote Znak wyboru oznaczający wsparcie dla tej aplikacji
OneDrive Znak wyboru oznaczający wsparcie dla tej aplikacji
Program Outlook Znak wyboru oznaczający wsparcie dla tej aplikacji
Power BI Znak wyboru oznaczający wsparcie dla tej aplikacji
Skype dla firm Znak wyboru oznaczający wsparcie dla tej aplikacji
Word/Excel/PowerPoint Znak wyboru oznaczający wsparcie dla tej aplikacji
Yammer Znak wyboru oznaczający wsparcie dla tej aplikacji

Wymagania dotyczące implementacji

Wersja systemu operacyjnego urządzenia musi być systemem Android 5.0 (Lollipop) lub nowszym.

Należy skonfigurować serwer federacyjny.

Aby Microsoft Entra ID odwołał certyfikat klienta, token AD FS musi mieć następujące klauzule:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (numer seryjny certyfikatu klienta)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (ciąg wystawcy certyfikatu klienta)

Identyfikator Microsoft Entra ID dodaje te oświadczenia do tokenu odświeżania, jeśli są dostępne w tokenie AD FS (lub jakimkolwiek innym tokenie SAML). Gdy token odświeżania musi zostać zweryfikowany, te informacje są używane do sprawdzania odwołania.

Najlepszym rozwiązaniem jest zaktualizowanie stron błędów usług AD FS organizacji przy użyciu następujących informacji:

  • Wymaganie dotyczące instalowania aplikacji Microsoft Authenticator w systemie Android.
  • Instrukcje dotyczące uzyskiwania certyfikatu użytkownika.

Aby uzyskać więcej informacji, zobacz Dostosowywanie stron logowania usług AD FS.

Aplikacje pakietu Office z nowoczesnym uwierzytelnianiem włączonym wysyłają 'prompt=login' w swoim żądaniu do Microsoft Entra ID. Domyślnie identyfikator Entra firmy Microsoft tłumaczy „prompt=login” w żądaniu do usługi AD FS jako „wauth=usernamepassworduri”, (prosi usługę AD FS o wykonanie uwierzytelniania U/P) i „wfresh=0” (prosi usługę AD FS o zignorowanie stanu SSO i przeprowadzenie nowego uwierzytelniania). Jeśli chcesz włączyć uwierzytelnianie oparte na certyfikatach dla tych aplikacji, musisz zmodyfikować domyślne zachowanie firmy Microsoft Entra. Ustaw 'PromptLoginBehavior' w ustawieniach domeny federacyjnej na 'Disabled'. Aby wykonać to zadanie, możesz użyć New-MgDomainFederationConfiguration:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Obsługa klientów programu Exchange ActiveSync

Obsługiwane są niektóre aplikacje exchange ActiveSync w systemie Android 5.0 (Lollipop) lub nowszym. Aby określić, czy aplikacja poczty e-mail obsługuje tę funkcję, skontaktuj się z deweloperem aplikacji.

Następne kroki

Jeśli chcesz skonfigurować uwierzytelnianie oparte na certyfikatach w środowisku, zobacz Wprowadzenie do uwierzytelniania opartego na certyfikatach w systemie Android, aby uzyskać instrukcje.