Проверка подлинности на основе сертификатов Microsoft Entra с помощью федерации в Android

  • Статья

Устройства Android могут использовать проверку подлинности на основе сертификатов (CBA) для проверки подлинности в идентификаторе Microsoft Entra с помощью сертификата клиента на устройстве при подключении к:

  • мобильным приложениям Office, таким как Microsoft Outlook и Microsoft Word;
  • клиентам Exchange ActiveSync (EAS).

Настройка данной функции избавляет от необходимости ввода имени пользователя и пароля в определенных почтовых клиентах и приложениях Microsoft Office на мобильных устройствах.

Поддержка мобильных приложений Microsoft

Приложения Поддержка
Приложение Azure Information Protection Check mark signifying support for this application
Корпоративный портал Intune Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype для бизнеса Check mark signifying support for this application
Word/Excel/PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Требования к реализации

На устройстве должна быть установлена ОС Android версии 5.0 (Lollipop) и выше.

Необходимо настроить сервер федерации.

Чтобы идентификатор Microsoft Entra id отозвал сертификат клиента, маркер AD FS должен иметь следующие утверждения:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (серийный номер сертификата клиента);
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (строка для издателя сертификата клиента).

Идентификатор Microsoft Entra добавляет эти утверждения в маркер обновления, если они доступны в маркере AD FS (или любом другом токене SAML). Когда требуется проверить маркер обновления, эта информация используется для проверки отзыва.

Рекомендуется обновить страницы ошибок AD FS вашей организации со следующими сведениями:

  • требованием установки Microsoft Authenticator для Android;
  • инструкциями о получении сертификата пользователя.

Дополнительные сведения см. в статье о настройке страниц входа AD FS.

Приложение Office с поддержкой современной проверки подлинности отправляет запрос "prompt=login" в идентификатор Microsoft Entra в своем запросе. По умолчанию идентификатор Microsoft Entra преобразует "prompt=login" в запросе к AD FS как "wauth=usernamepassworduri" (запрашивает AD FS выполнять U/P Auth) и "wfresh=0" (просит AD FS игнорировать состояние единого входа и выполнить новую проверку подлинности). Если вы хотите включить проверку подлинности на основе сертификатов для этих приложений, необходимо изменить поведение Microsoft Entra по умолчанию. Задайте для параметра PromptLoginBehavior в настройках федеративного домена значение Отключено. Для выполнения этой задачи можно использовать New-MgDomainFederationConfiguration :

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Поддержка клиентов Exchange ActiveSync

Поддерживаются некоторые приложения Exchange ActiveSync, работающие на Android 5.0 (Lollipop) или более поздней версии. Чтобы определить, поддерживает ли почтовая программа эту функцию, обратитесь к разработчику приложения.

Следующие шаги

Чтобы настроить аутентификацию на основе сертификата в своей среде, ознакомьтесь с инструкциями в статье Get started with certificate-based authentication in Azure Active Directory (Приступая к работе с аутентификацией на основе сертификата в Azure Active Directory).