Проверка подлинности на основе сертификата Microsoft Entra с федерацией в iOS

Для повышения безопасности устройства iOS могут использовать проверку подлинности на основе сертификатов (CBA) для проверки подлинности в идентификаторе Microsoft Entra с помощью сертификата клиента на устройстве при подключении к следующим приложениям или службам:

• мобильным приложениям Office, таким как Microsoft Outlook и Microsoft Word;
• клиентам Exchange ActiveSync (EAS).

Использование сертификатов избавляет от необходимости ввода имени пользователя и пароля в определенных почтовых клиентах и приложениях Microsoft Office на мобильных устройствах.

Поддержка мобильных приложений Microsoft

Приложения	Поддержка
Приложение Azure Information Protection
Корпоративный портал
Microsoft Teams
Office (мобильный)
OneNote
OneDrive
Outlook
Power BI
Skype для бизнеса
Word/Excel/PowerPoint
Yammer

Требования

При использовании CBA с iOS применяются следующие требования и рекомендации:

• Устройство должно иметь операционную систему iOS 9 или более поздней версии.
• Для приложений Office на iOS требуется Microsoft Authenticator.
• В цепочке ключей macOS необходимо создать предпочтение удостоверения, включающее URL-адрес проверки подлинности сервера AD FS. Дополнительные сведения см. в статье Создание настройки удостоверения в Keychain Access на Mac.

Применяются следующие требования и рекомендации по службы федерации Active Directory (AD FS) (AD FS).

• Сервер AD FS должен быть включен для проверки подлинности сертификата и использовать федеративную проверку подлинности.
• Сертификат должен применять расширенное использование ключа (EKU) и содержать имя участника-пользователя в альтернативном имени субъекта (имя субъекта NT).

Настройка AD FS

Чтобы идентификатор Microsoft Entra отозвал сертификат клиента, маркер AD FS должен иметь следующие утверждения. Идентификатор Microsoft Entra добавляет эти утверждения в маркер обновления, если они доступны в маркере AD FS (или любом другом токене SAML). Когда требуется проверить маркер обновления, следующая информация используется для проверки отзыва:

• http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> — добавление серийного номера сертификата клиента
• http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> — добавление строки для издателя сертификата клиента

Рекомендуется также обновить страницы ошибок AD FS организации со следующими сведениями:

• требованием установки Microsoft Authenticator для iOS;
• инструкциями о получении сертификата пользователя.

Дополнительные сведения см. в статье Настройка страницы входа в ADFS.

Использование современной проверки подлинности в приложениях Office

Некоторые Приложение Office с современной проверкой подлинности с поддержкой отправки prompt=login в идентификатор Microsoft Entra в своем запросе. По умолчанию идентификатор Microsoft Entra id преобразуется prompt=login в запрос на AD FS как wauth=usernamepassworduri (запрашивает AD FS выполнять проверку подлинности U/P) и wfresh=0 (просит AD FS игнорировать состояние единого входа и выполнять новую проверку подлинности). Если вы хотите включить проверку подлинности на основе сертификатов для этих приложений, измените поведение Microsoft Entra по умолчанию.

Для изменения поведения по умолчанию задайте для параметра PromptLoginBehavior в настройках федеративного домена значение Отключено. Для выполнения этой задачи можно использовать командлет New-MgDomainFederationConfiguration , как показано в следующем примере:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Поддержка клиентов Exchange ActiveSync

В iOS версии 9 и выше поддерживается собственный почтовый клиент iOS. Чтобы определить, поддерживается ли эта функция во всех остальных приложениях Exchange ActiveSync, обратитесь к разработчику приложения.

Следующие шаги

Чтобы настроить проверку подлинности на основе сертификата в своей среде, ознакомьтесь с инструкциями в статье Начало работы с проверкой подлинности на основе сертификата.