iOS'ta federasyon ile Microsoft Entra sertifika tabanlı kimlik doğrulaması
iOS cihazları, güvenliği artırmak için, aşağıdaki uygulama veya hizmetlere bağlanırken cihazlarında bir istemci sertifikası kullanarak Microsoft Entra Id'de kimlik doğrulaması yapmak için sertifika tabanlı kimlik doğrulamasını (CBA) kullanabilir:
- Microsoft Outlook ve Microsoft Word gibi Office mobil uygulamaları
- Exchange ActiveSync (EAS) istemcileri
Sertifikaların kullanılması, mobil cihazınızda belirli postalara ve Microsoft Office uygulaması belgelerine kullanıcı adı ve parola bileşimi girme gereksinimini ortadan kaldırır.
Microsoft mobil uygulamaları desteği
Uygulamalar | Destek |
---|---|
Azure Information Protection uygulaması | |
Şirket Portalı | |
Microsoft Teams | |
Office (mobil) | |
OneNote | |
OneDrive | |
Outlook | |
Power BI | |
Skype Kurumsal | |
Word / Excel / PowerPoint | |
Yammer |
Gereksinimler
CBA'yı iOS ile kullanmak için aşağıdaki gereksinimler ve dikkat edilmesi gerekenler geçerlidir:
- Cihaz işletim sistemi sürümü iOS 9 veya üzeri olmalıdır.
- iOS'ta Office uygulaması için Microsoft Authenticator gereklidir.
- macOS Anahtar zincirinde AD FS sunucusunun kimlik doğrulama URL'sini içeren bir kimlik tercihi oluşturulmalıdır. Daha fazla bilgi için bkz . Mac'te Anahtarlık Erişimi'nde kimlik tercihi oluşturma.
Aşağıdaki Active Directory Federasyon Hizmetleri (AD FS) (AD FS) gereksinimleri ve dikkat edilmesi gerekenler geçerlidir:
- AD FS sunucusunun sertifika kimlik doğrulaması için etkinleştirilmesi ve federasyon kimlik doğrulaması kullanması gerekir.
- Sertifikanın Gelişmiş Anahtar Kullanımı (EKU) kullanması ve Konu Alternatif Adı'nda (NT Asıl Adı) kullanıcının UPN'sini içermesi gerekir.
AD FS'yi yapılandırma
Microsoft Entra Id'nin bir istemci sertifikasını iptal etmesi için AD FS belirtecinin aşağıdaki taleplere sahip olması gerekir. Microsoft Entra Id, AD FS belirtecinde (veya başka bir SAML belirtecinde) kullanılabiliyorsa bu talepleri yenileme belirtecine ekler. Yenileme belirtecinin doğrulanması gerektiğinde, iptali denetlemek için bu bilgiler kullanılır:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>
- istemci sertifikanızın seri numarasını ekleyinhttp://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>
- istemci sertifikanızın vereni için dizeyi ekleyin
En iyi uygulama olarak, kuruluşunuzun AD FS hata sayfalarını da aşağıdaki bilgilerle güncelleştirmeniz gerekir:
- Microsoft Authenticator'ın iOS'a yüklenmesi gereksinimi.
- Kullanıcı sertifikası alma yönergeleri.
Daha fazla bilgi için bkz . AD FS oturum açma sayfasını özelleştirme.
Office uygulaması ile modern kimlik doğrulaması kullanma
Modern kimlik doğrulaması etkinleştirilmiş bazı Office uygulaması isteklerinde Microsoft Entra Id'ye gönderirprompt=login
. Varsayılan olarak, Microsoft Entra Id isteği AD FS'ye çevirir prompt=login
wauth=usernamepassworduri
(AD FS'den U/P Kimlik Doğrulaması gerçekleştirmesini ister) ve wfresh=0
(AD FS'den SSO durumunu yoksaymasını ve yeni bir kimlik doğrulaması gerçekleştirmesini ister). Bu uygulamalar için sertifika tabanlı kimlik doğrulamasını etkinleştirmek istiyorsanız, varsayılan Microsoft Entra davranışını değiştirin.
Varsayılan davranışı güncelleştirmek için federasyon etki alanı ayarlarınızdaki 'PromptLoginBehavior' değerini Devre Dışı olarak ayarlayın. Aşağıdaki örnekte gösterildiği gibi, bu görevi gerçekleştirmek için New-MgDomainFederationConfiguration cmdlet'ini kullanabilirsiniz:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync istemcileri için destek
iOS 9 veya sonraki sürümlerde, yerel iOS posta istemcisi desteklenir. Bu özelliğin diğer tüm Exchange ActiveSync uygulamalarında desteklenip desteklenmediğini belirlemek için uygulama geliştiricinize başvurun.
Sonraki adımlar
Ortamınızda sertifika tabanlı kimlik doğrulamasını yapılandırmak için yönergeler için bkz . Sertifika tabanlı kimlik doğrulamasını kullanmaya başlama.