iOS'ta federasyon ile Microsoft Entra sertifika tabanlı kimlik doğrulaması

2025-03-12

iOS cihazları, güvenliği artırmak için, aşağıdaki uygulama veya hizmetlere bağlanırken cihazlarında bir istemci sertifikası kullanarak Microsoft Entra Id'de kimlik doğrulaması yapmak için sertifika tabanlı kimlik doğrulamasını (CBA) kullanabilir:

Microsoft Outlook ve Microsoft Word gibi Office mobil uygulamaları
Exchange ActiveSync (EAS) istemcileri

Sertifikaların kullanılması, mobil cihazınızdaki belirli posta ve Microsoft Office uygulamalarına kullanıcı adı ve parola bileşimi girme gereksinimini ortadan kaldırır.

Microsoft mobil uygulamaları desteği

Uygulamalar	Destek
Azure Information Protection uygulaması
Şirket Portalı
Microsoft Ekipleri
Office (mobil)
OneNote
OneDrive
Outlook
Power BI
Skype İş İçin
Word / Excel / PowerPoint
Yammer

Gereksinimler

CBA'yı iOS ile kullanmak için aşağıdaki gereksinimler ve dikkat edilmesi gerekenler geçerlidir:

Cihaz işletim sistemi sürümü iOS 9 veya üzeri olmalıdır.
iOS'ta Office uygulamaları için Microsoft Authenticator gereklidir.
macOS Anahtar zincirinde AD FS sunucusunun kimlik doğrulama URL'sini içeren bir kimlik tercihi oluşturulmalıdır. Daha fazla bilgi için bkz. Mac'te Anahtarlık Erişimi'nde Kimlik Tercihi Oluşturma .

Aşağıdaki Active Directory Federasyon Hizmetleri (AD FS) gereksinimleri ve dikkat edilmesi gerekenler geçerlidir:

AD FS sunucusunun sertifika kimlik doğrulaması için etkinleştirilmesi ve federasyon kimlik doğrulaması kullanması gerekir.
Sertifikanın Gelişmiş Anahtar Kullanımı (EKU) kullanması ve Konu Alternatif Adı (NT Asıl Adı)kullanıcının UPN'sini içermesi gerekir.

AD FS'yi yapılandırma

Microsoft Entra Id'nin bir istemci sertifikasını iptal etmesi için AD FS belirtecinin aşağıdaki taleplere sahip olması gerekir. Microsoft Entra Id, AD FS belirtecinde (veya başka bir SAML belirtecinde) kullanılabiliyorsa bu talepleri yenileme belirtecine ekler. Yenileme belirtecinin doğrulanması gerektiğinde, iptali denetlemek için bu bilgiler kullanılır:

http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> - İstemci sertifikanızın seri numarasını ekleyin
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> - İstemci sertifikanızın vereni için dizeyi ekleyin

En iyi uygulama olarak, kuruluşunuzun AD FS hata sayfalarını da aşağıdaki bilgilerle güncelleştirmeniz gerekir:

Microsoft Authenticator'ın iOS'a yüklenmesi gereksinimi.
Kullanıcı sertifikası alma yönergeleri.

Daha fazla bilgi için bkz. AD FS oturum açma sayfasını özelleştirme.

Office uygulamalarıyla modern kimlik doğrulamayı kullanma

Modern kimlik doğrulaması etkinleştirilmiş bazı Office uygulamaları, isteklerinde prompt=login Microsoft Entra Id'ye gönderir. Varsayılan olarak, Microsoft Entra Kimliği, istekteki prompt=login değerini AD FS'ye wauth=usernamepassworduri (AD FS'den kullanıcı/parola (U/P) kimlik doğrulaması yapmasını ister) ve wfresh=0 (AD FS'nin SSO durumunu yoksayarak yeni bir kimlik doğrulaması yapmasını ister) olarak çevirir. Bu uygulamalar için sertifika tabanlı kimlik doğrulamasını etkinleştirmek istiyorsanız, varsayılan Microsoft Entra davranışını değiştirin.

Varsayılan davranışı güncelleştirmek için, federasyon etki alanı ayarlarınızda 'PromptLoginBehavior' değerini Devre Dışı olarak ayarlayın. Aşağıdaki örnekte gösterildiği gibi, bu görevi gerçekleştirmek için New-MgDomainFederationConfiguration cmdlet'ini kullanabilirsiniz:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Exchange ActiveSync istemcileri için destek

iOS 9 veya sonraki sürümlerde, yerel iOS posta istemcisi desteklenir. Bu özelliğin diğer tüm Exchange ActiveSync uygulamalarında desteklenip desteklenmediğini belirlemek için uygulama geliştiricinize başvurun.

Sonraki adımlar

Ortamınızda sertifika tabanlı kimlik doğrulamasını yapılandırmak için yönergeler için bkz. Sertifika tabanlı kimlik doğrulamasını kullanmaya başlama .