Microsoft Entra-certifikatbaserad autentisering med federation på Android
Android-enheter kan använda certifikatbaserad autentisering (CBA) för att autentisera till Microsoft Entra-ID med hjälp av ett klientcertifikat på sin enhet när de ansluter till:
- Mobila Office-program som Microsoft Outlook och Microsoft Word
- Exchange ActiveSync-klienter (EAS)
Om du konfigurerar den här funktionen eliminerar du behovet av att ange en kombination av användarnamn och lösenord i vissa e-postmeddelanden och Microsoft-Office-appen på din mobila enhet.
Stöd för Microsoft-mobilprogram
| Appar | Support |
|---|---|
| Azure Information Protection-app |  |
| Intune-företagsportal | |
| Microsoft Teams | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype för företag | |
| Word/Excel/PowerPoint | |
| Yammer | |
Implementeringskrav
Enhetsoperativsystemets version måste vara Android 5.0 (Lollipop) och senare.
En federationsserver måste konfigureras.
För att Microsoft Entra-ID ska kunna återkalla ett klientcertifikat måste AD FS-token ha följande anspråk:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(Serienumret för klientcertifikatet)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(Strängen för utfärdaren av klientcertifikatet)
Microsoft Entra-ID lägger till dessa anspråk till uppdateringstoken om de är tillgängliga i AD FS-token (eller någon annan SAML-token). När uppdateringstoken måste verifieras används den här informationen för att kontrollera återkallningen.
Vi rekommenderar att du uppdaterar organisationens AD FS-felsidor med följande information:
- Krav för att installera Microsoft Authenticator på Android.
- Instruktioner för hur du hämtar ett användarcertifikat.
Mer information finns i Anpassa AD FS-inloggningssidorna.
Office-appen med modern autentisering aktiverat skickar "prompt=login" till Microsoft Entra-ID i sin begäran. Som standard översätter Microsoft Entra-ID "prompt=login" i begäran till AD FS som "wauth=usernamepassworduri" (ber AD FS att göra U/P-autentisering) och "wfresh=0" (ber AD FS att ignorera SSO-tillstånd och göra en ny autentisering). Om du vill aktivera certifikatbaserad autentisering för dessa appar måste du ändra standardbeteendet för Microsoft Entra. Ange "PromptLoginBehavior" i dina federerade domäninställningar till "Inaktiverad". Du kan använda New-MgDomainFederationConfiguration för att utföra den här uppgiften:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Stöd för Exchange ActiveSync-klienter
Vissa Exchange ActiveSync-program på Android 5.0 (Lollipop) eller senare stöds. Kontakta programutvecklaren för att ta reda på om e-postprogrammet stöder den här funktionen.
Nästa steg
Om du vill konfigurera certifikatbaserad autentisering i din miljö kan du läsa mer i Komma igång med certifikatbaserad autentisering på Android .
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för