Compartilhar via


Autenticação baseada em certificado do Microsoft Entra com federação no iOS

Para melhorar a segurança, os dispositivos iOS podem usar CBA (Autenticação Baseada em Certificado) para autenticarem-se no Microsoft Entra ID usando um certificado do cliente nos dispositivos durante a conexão com os seguintes aplicativos ou serviços:

  • Aplicativos móveis do Office, como Microsoft Outlook e Microsoft Word
  • Clientes do EAS (Exchange ActiveSync)

Usar certificados elimina a necessidade de digitar uma combinação de nome de usuário e senha em determinados emails e aplicativos do Microsoft Office no seu dispositivo móvel.

Suporte a aplicativos móveis da Microsoft

Aplicativos Suporte
Aplicativo de Proteção de Informações do Azure Check mark signifying support for this application
Portal da Empresa Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
Office (móvel) Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype for Business Check mark signifying support for this application
Word/Excel/PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Requisitos

Para usar o CBA com o iOS, os seguintes requisitos e considerações se aplicam:

  • A versão do sistema operacional do dispositivo deve ser iOS 9 ou superior.
  • É necessário um Microsoft Authenticator para aplicativos do Office em iOS.
  • Uma preferência de identidade deve ser criada no conjunto de chaves do macOS que inclua a URL de autenticação do servidor AD FS. Para saber mais, confira Criar uma preferência de identidade no acesso ao conjunto de chaves no Mac.

São aplicáveis os seguintes requisitos e considerações de AD FS (Serviços de Federação do Active Directory):

  • O servidor dos AD FS deve estar habilitado para autenticação de certificado e usar a autenticação federada.
  • O certificado precisa usar o EKU (Uso Avançado de Chave) e conter o UPN do usuário no Nome Alternativo da Entidade (nome da entidade NT) .

Configurar o AD FS

Para que o Microsoft Entra ID revogue um certificado do cliente, o token dos AD FS deve ter as declarações a seguir. O Microsoft Entra ID adiciona essas declarações ao token de atualização se elas estiverem disponíveis no token dos AD FS (ou qualquer outro token SAML). Quando o token de atualização precisa ser validado, essas informações são usadas para verificar a revogação:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> – adicione o número de série do certificado do cliente
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> – adicione a cadeia de caracteres para o emissor do certificado do cliente

Como melhor prática, você também deve atualizar as páginas de erro dos AD FS da organização com as seguintes informações:

  • O requisito para instalar o Microsoft Authenticator no iOS.
  • Instruções sobre como obter um certificado de usuário.

Para saber mais, confira Personalizando as páginas de entrada do AD FS.

Usar a autenticação moderna com aplicativos do Office

Alguns aplicativos do Office (com autenticação moderna habilitada) enviam prompt=login ao Microsoft Entra ID na solicitação. Por padrão, o Microsoft Entra ID converte prompt=login na solicitação ao AD FS para wauth=usernamepassworduri (solicita que o ADFS faça a autenticação U/P) e wfresh=0 (solicita que o ADFS ignore o estado do SSO e faça uma nova autenticação). Se você quiser habilitar a autenticação baseada em certificado para esses aplicativos, modifique o comportamento padrão do Microsoft Entra ID.

Para atualizar o comportamento padrão, defina o "PromptLoginBehavior" em suas configurações de domínio federado como 'Disabled'. Você pode usar o cmdlet New-MgDomainFederationConfiguration para executar essa tarefa, conforme mostrado no exemplo a seguir:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Suporte aos clientes do Exchange ActiveSync

No iOS 9 ou posterior, há suporte para o cliente de email do iOS nativo. Para determinar se há suporte para esse recurso em todos os outros aplicativos do Exchange ActiveSync, contate o desenvolvedor do aplicativo.

Próximas etapas

Para configurar a autenticação baseada em certificado em seu ambiente, confira Introdução à autenticação baseada em certificado para obter instruções.