Autenticazione basata su certificati Microsoft Entra con la federazione in iOS

Per migliorare la sicurezza, i dispositivi iOS possono usare l'autenticazione basata su certificati (CBA) per eseguire l'autenticazione a Microsoft Entra ID usando un certificato client nel dispositivo quando ci si connette alle applicazioni o ai servizi seguenti:

  • Applicazioni Office per dispositivi mobili, come Microsoft Outlook e Microsoft Word
  • Client Exchange ActiveSync (EAS)

L'uso dei certificati elimina la necessità di immettere una combinazione di nome utente e password in determinate app Office licazioni di posta elettronica e Microsoft nel dispositivo mobile.

Supporto delle applicazioni per dispositivi mobili Microsoft

App Supporto
App Azure Information Protection Check mark signifying support for this application
Portale della società Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
Office (mobile) Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype for Business Check mark signifying support for this application
Word / Excel / PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Requisiti

Per usare CBA con iOS, si applicano i requisiti e le considerazioni seguenti:

  • La versione del sistema operativo del dispositivo deve essere iOS 9 o successiva.
  • Per le applicazioni Office in iOS è richiesto Microsoft Authenticator.
  • È necessario creare una preferenza di identità nel Keychain macOS che include l'URL di autenticazione del server AD FS. Per altre informazioni, vedere Creare una preferenza di identità in Accesso keychain in Mac.

Si applicano i requisiti e le considerazioni seguenti di Active Directory Federation Services (AD FS):

  • Il server AD FS deve essere abilitato per l'autenticazione del certificato e usare l'autenticazione federata.
  • Il certificato deve usare L'utilizzo chiavi avanzato (EKU) e contenere l'UPN dell'utente nel nome alternativo soggetto (nome entità NT).

Configurare AD FS

Affinché Microsoft Entra ID revochi un certificato client, il token AD FS deve avere le attestazioni seguenti. Microsoft Entra ID aggiunge queste attestazioni al token di aggiornamento se sono disponibili nel token AD FS (o qualsiasi altro token SAML). Quando il token di aggiornamento deve essere convalidato, queste informazioni vengono usate per controllare la revoca:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> - aggiungere il numero di serie del certificato client
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> - aggiungere la stringa per l'autorità emittente del certificato client

Come procedura consigliata, è consigliabile aggiornare anche le pagine di errore di AD FS dell'organizzazione con le informazioni seguenti:

  • Requisito per l'installazione di Microsoft Authenticator in iOS.
  • Istruzioni su come ottenere un certificato utente.

Per altre informazioni, vedere Personalizzazione della pagina di accesso di AD FS.

Usare l'autenticazione moderna con app Office

Alcune app Office con l'autenticazione moderna abilitata inviano prompt=login all'ID Microsoft Entra nella richiesta. Per impostazione predefinita, Microsoft Entra ID converte prompt=login nella richiesta ad AD FS come wauth=usernamepassworduri (chiede ad AD FS di eseguire l'autenticazione U/P) e wfresh=0 (chiede ad AD FS di ignorare lo stato SSO ed eseguire una nuova autenticazione). Se si vuole abilitare l'autenticazione basata su certificati per queste app, modificare il comportamento predefinito di Microsoft Entra.

Per aggiornare il comportamento predefinito, impostare "PromptLoginBehavior" nelle impostazioni del dominio federato su Disabilitato. È possibile usare il cmdlet New-MgDomainFederationConfiguration per eseguire questa attività, come illustrato nell'esempio seguente:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Supporto per i client Exchange ActiveSync

In iOS 9 o versioni successive è supportato il client di posta iOS nativo. Per determinare se questa funzionalità è supportata per tutte le altre applicazioni di Exchange ActiveSync, contattare lo sviluppatore dell'applicazione.

Passaggi successivi

Per configurare l'autenticazione basata su certificati nell'ambiente, vedere Introduzione all'autenticazione basata su certificati per istruzioni.