Autenticazione basata su certificati Microsoft Entra con la federazione in Android

I dispositivi Android possono usare l'autenticazione basata su certificati (CBA) per eseguire l'autenticazione all'ID Microsoft Entra usando un certificato client nel dispositivo durante la connessione a:

  • Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft Word
  • Client Exchange ActiveSync (EAS)

La configurazione di questa funzionalità elimina la necessità di immettere una combinazione di nome utente e password in determinate applicazioni di posta e applicazioni Microsoft Office sul dispositivo mobile.

Supporto delle applicazioni per dispositivi mobili Microsoft

App Supporto tecnico
App Azure Information Protection Check mark signifying support for this application
Portale aziendale Intune Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype for Business Check mark signifying support for this application
Word / Excel / PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Requisiti di implementazione

La versione del sistema operativo del dispositivo deve essere Android 5.0 (Lollipop) o successiva.

È necessario configurare un server federativo.

Affinché Microsoft Entra ID revochi un certificato client, il token AD FS deve avere le attestazioni seguenti:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (Il numero di serie del certificato client)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (La stringa per l'autorità emittente del certificato client)

Microsoft Entra ID aggiunge queste attestazioni al token di aggiornamento se sono disponibili nel token AD FS (o qualsiasi altro token SAML). Quando il token di aggiornamento deve essere convalidato, queste informazioni vengono usate per controllare la revoca.

Come procedura consigliata, è consigliabile aggiornare le pagine di errore di AD FS dell'organizzazione con le informazioni seguenti:

  • Il requisito dell'installazione di Microsoft Authenticator in Android.
  • Istruzioni su come ottenere un certificato utente.

Per altre informazioni, vedere Customizing the AD FS Sign-in Pages.

app Office con l'autenticazione moderna abilitata inviare 'prompt=login' all'ID Microsoft Entra nella richiesta. Per impostazione predefinita, Microsoft Entra ID converte 'prompt=login' nella richiesta ad AD FS come 'wauth=usernamepassworduri' (chiede ad AD FS di eseguire L'autenticazione U/P) e 'wfresh=0' (chiede ad AD FS di ignorare lo stato SSO ed eseguire una nuova autenticazione). Se si vuole abilitare l'autenticazione basata su certificati per queste app, è necessario modificare il comportamento predefinito di Microsoft Entra. Impostare "PromptLoginBehavior" nelle impostazioni del dominio federato su "Disabilitato". Per eseguire questa attività, è possibile usare New-MgDomainFederationConfiguration :

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Supporto dei client Exchange ActiveSync

Alcune applicazioni Exchange ActiveSync sono supportate in Android 5.0 (Lollipop) o versioni successive. Per determinare se l'applicazione di posta elettronica supporta questa funzionalità, contattare lo sviluppatore dell'applicazione.

Passaggi successivi

Se si desidera configurare l'autenticazione basata su certificati nel proprio ambiente, vedere Introduzione all'autenticazione basata su certificati in Android per le istruzioni.