Android 设备上 Microsoft Entra 基于证书的联合身份验证
连接到以下项时,Android 设备可以通过基于证书的身份验证 (CBA) 在其设备上使用客户端证书向 Microsoft Entra ID 进行身份验证:
- Office 移动应用程序,例如 Microsoft Outlook 和 Microsoft Word
- Exchange ActiveSync (EAS) 客户端
如果配置了此功能,就无需在移动设备上的某些邮件和 Microsoft Office 应用程序中输入用户名和密码组合。
Microsoft 移动应用程序支持
| 应用 | 支持 |
|---|---|
| Azure 信息保护应用 |  |
| Intune 公司门户 | |
| Microsoft Teams | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype for Business | |
| Word/Excel/PowerPoint | |
| Yammer | |
实现要求
设备 OS 版本必须为 Android 5.0 (Lollipop) 及更高版本。
必须配置联合服务器。
若要让 Microsoft Entra ID 撤销客户端证书,AD FS 令牌必须具有以下声明:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(客户端证书的序列号)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(客户端证书颁发者的字符串)
如果 AD FS 令牌(或任何其他 SAML 令牌)具有这些声明,Microsoft Entra ID 会将它们添加到刷新令牌中。 当需要验证刷新令牌时,此信息可用于检查吊销。
最佳做法是,应该使用以下信息更新组织的 AD FS 错误页:
- 在 Android 设备上安装 Microsoft Authenticator 的要求。
- 有关如何获取用户证书的说明。
有关详细信息,请参阅自定义 AD FS 登录页。
某些 Office 应用(启用了新式身份验证)在请求中向 Microsoft Entra ID 发送“prompt=login”。 默认情况下,Microsoft Entra ID 将向 ADFS 发出的请求中的“prompt=login”转换为“wauth=usernamepassworduri”(要求 ADFS 执行 U/P 身份验证)和“wfresh=0”(要求 AD FS 忽略 SSO 状态并执行全新的身份验证)。 如果想要为这些应用启用基于证书的身份验证,则需要修改默认 Microsoft Entra 行为。 将联盟域设置中的“PromptLoginBehavior”设置为“已禁用”。 可以使用 New-MgDomainFederationConfiguration 执行此任务:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync 客户端支持
支持 Android 5.0 (Lollipop) 或更高版本上的某些 Exchange ActiveSync 应用程序。 若要确定电子邮件应用程序是否支持此功能,请联系应用程序开发人员。
后续步骤
如果想要在环境中配置基于证书的身份验证,请参阅 Android 上基于证书的身份验证入门了解相关说明。