你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Android 上使用联合身份验证的基于 Azure Active Directory 证书的身份验证

连接到以下项时,Android 设备可以通过基于证书的身份验证 (CBA) 在其设备上使用客户端证书向 Azure Active Directory 进行身份验证:

  • Office 移动应用程序,例如 Microsoft Outlook 和 Microsoft Word
  • Exchange ActiveSync (EAS) 客户端

如果配置了此功能,就无需在移动设备上的某些邮件和 Microsoft Office 应用程序中输入用户名和密码组合。

Microsoft 移动应用程序支持

应用 支持
Azure 信息保护应用 对号,表示支持此应用程序
Intune 公司门户 对号,表示支持此应用程序
Microsoft Teams 对号,表示支持此应用程序
OneNote 对号,表示支持此应用程序
OneDrive 对号,表示支持此应用程序
Outlook 对号,表示支持此应用程序
Power BI 对号,表示支持此应用程序
Skype for Business 对号,表示支持此应用程序
Word/Excel/PowerPoint 对号,表示支持此应用程序
Yammer 对号,表示支持此应用程序

实现要求

设备 OS 版本必须为 Android 5.0 (Lollipop) 及更高版本。

必须配置联合服务器。

若要让 Azure Active Directory 吊销客户端证书,AD FS 令牌必须具有以下声明:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(客户端证书的序列号)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(客户端证书颁发者的字符串)

如果 AD FS 令牌(或任何其他 SAML 令牌)具有这些声明,Azure Active Directory 会将这些声明添加到刷新令牌中。 当需要验证刷新令牌时,此信息可用于检查吊销。

最佳做法是,应该使用以下信息更新组织的 AD FS 错误页:

  • 在 Android 设备上安装 Microsoft Authenticator 的要求。
  • 有关如何获取用户证书的说明。

有关详细信息,请参阅自定义 AD FS 登录页

启用了新式身份验证的 Office 应用在请求中向 Azure AD 发送“prompt=login”。 默认情况下,Azure AD 会将向 ADFS 发出的请求中的“prompt=login”转换为“wauth=usernamepassworduri”(要求 ADFS 执行 U/P 身份验证)和“wfresh=0”(要求 AD FS 忽略 SSO 状态并执行全新的身份验证)。 如果想要为这些应用启用基于证书的身份验证,需要修改默认 Azure AD 行为。 将联盟域设置中的“PromptLoginBehavior”设置为“已禁用”。 可使用 MSOLDomainFederationSettings cmdlet 执行此任务:

Set-MSOLDomainFederationSettings -domainname <domain> -PromptLoginBehavior Disabled

Exchange ActiveSync 客户端支持

支持 Android 5.0 (Lollipop) 或更高版本上的某些 Exchange ActiveSync 应用程序。 若要确定电子邮件应用程序是否支持此功能,请联系应用程序开发人员。

后续步骤

如果想要在环境中配置基于证书的身份验证,请参阅 Android 上基于证书的身份验证入门了解相关说明。