iOS 设备上 Microsoft Entra 基于证书的联合身份验证
为了提高安全性,连接到以下应用程序或服务时,iOS 设备可以通过基于证书的身份验证 (CBA) 在其设备上使用客户端证书向 Microsoft Entra ID 进行身份验证:
- Office 移动应用程序,例如 Microsoft Outlook 和 Microsoft Word
- Exchange ActiveSync (EAS) 客户端
如果使用证书,则无需在移动设备上的某些邮件和 Microsoft Office 应用程序中输入用户名和密码组合。
Microsoft 移动应用程序支持
| 应用 | 支持 |
|---|---|
| Azure 信息保护应用 |  |
| Company Portal | |
| Microsoft Teams | |
| Office(移动) | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype for Business | |
| Word/Excel/PowerPoint | |
| Yammer | |
要求
若要将 CBA 与 iOS 配合使用,请注意以下要求和事项:
- 设备 OS 版本必须为 iOS 9 或更高版本。
- iOS 设备上的 Office 应用程序需要安装 Microsoft Authenticator。
- 必须在 macOS 密钥链中创建一个标识首选项,其中包括 AD FS 服务器的身份验证 URL。 有关详细信息,请参阅在 Mac 上的密钥链访问中创建标识首选项。
存在以下 Active Directory 联合身份验证服务 (AD FS) 要求和注意事项:
- AD FS 服务器必须启用证书身份验证并使用联合身份验证。
- 证书需要采用增强型密钥使用 (EKU) 功能并在“使用者替代名称(NT 主体名称)”中包含用户的 UPN。
配置 AD FS
若要让 Microsoft Entra ID 撤销客户端证书,AD FS 令牌必须具有以下声明。 如果 AD FS 令牌(或任何其他 SAML 令牌)具有这些声明,Microsoft Entra ID 会将它们添加到刷新令牌中。 当需要验证刷新令牌时,可以使用以下信息来检查吊销情况:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>- 添加你的客户端证书的序列号http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>- 添加你的客户端证书颁发者的字符串
最好还使用以下信息更新组织的 AD FS 错误页:
- 在 iOS 设备上安装 Microsoft Authenticator 的要求。
- 有关如何获取用户证书的说明。
有关详细信息,请参阅自定义 AD FS 登录页。
将新式身份验证用于 Office 应用
某些启用了新式身份验证的 Office 应用会在请求中向 Microsoft Entra ID 发送 prompt=login。 默认情况下,Microsoft Entra ID 会将向 AD FS 发出的请求中的 prompt=login 转换为 wauth=usernamepassworduri(要求 AD FS 执行 U/P 身份验证)和 wfresh=0(要求 AD FS 忽略 SSO 状态并执行全新的身份验证)。 如果想要为这些应用启用基于证书的身份验证,请修改默认 Microsoft Entra 行为。
若要更新默认行为,请将联合域设置中的“PromptLoginBehavior”设置为“Disabled”。 可以使用 New-MgDomainFederationConfiguration cmdlet 执行此任务,示例如下:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
对 Exchange ActiveSync 客户端的支持
iOS 9 或更高版本支持本机 iOS 邮件客户端。 若要确定所有其他 Exchange ActiveSync 应用程序是否支持此功能,请联系应用程序开发人员。
后续步骤
若要在环境中配置基于证书的身份验证,请参阅基于证书的身份验证入门来了解相关说明。