Autenticação baseada em certificado do Microsoft Entra com federação no iOS
Para melhorar a segurança, os dispositivos iOS podem usar CBA (Autenticação Baseada em Certificado) para autenticarem-se no Microsoft Entra ID usando um certificado do cliente nos dispositivos durante a conexão com os seguintes aplicativos ou serviços:
- Aplicativos móveis do Office, como Microsoft Outlook e Microsoft Word
- Clientes do EAS (Exchange ActiveSync)
Usar certificados elimina a necessidade de digitar uma combinação de nome de usuário e senha em determinados emails e aplicativos do Microsoft Office no seu dispositivo móvel.
Suporte a aplicativos móveis da Microsoft
| Aplicativos | Suporte |
|---|---|
| Aplicativo de Proteção de Informações do Azure |  |
| Portal da Empresa | |
| Microsoft Teams | |
| Office (móvel) | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype for Business | |
| Word/Excel/PowerPoint | |
| Yammer | |
Requisitos
Para usar o CBA com o iOS, os seguintes requisitos e considerações se aplicam:
- A versão do sistema operacional do dispositivo deve ser iOS 9 ou superior.
- É necessário um Microsoft Authenticator para aplicativos do Office em iOS.
- Uma preferência de identidade deve ser criada no conjunto de chaves do macOS que inclua a URL de autenticação do servidor AD FS. Para saber mais, confira Criar uma preferência de identidade no acesso ao conjunto de chaves no Mac.
São aplicáveis os seguintes requisitos e considerações de AD FS (Serviços de Federação do Active Directory):
- O servidor dos AD FS deve estar habilitado para autenticação de certificado e usar a autenticação federada.
- O certificado precisa usar o EKU (Uso Avançado de Chave) e conter o UPN do usuário no Nome Alternativo da Entidade (nome da entidade NT) .
Configurar o AD FS
Para que o Microsoft Entra ID revogue um certificado do cliente, o token dos AD FS deve ter as declarações a seguir. O Microsoft Entra ID adiciona essas declarações ao token de atualização se elas estiverem disponíveis no token dos AD FS (ou qualquer outro token SAML). Quando o token de atualização precisa ser validado, essas informações são usadas para verificar a revogação:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>– adicione o número de série do certificado do clientehttp://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>– adicione a cadeia de caracteres para o emissor do certificado do cliente
Como melhor prática, você também deve atualizar as páginas de erro dos AD FS da organização com as seguintes informações:
- O requisito para instalar o Microsoft Authenticator no iOS.
- Instruções sobre como obter um certificado de usuário.
Para saber mais, confira Personalizando as páginas de entrada do AD FS.
Usar a autenticação moderna com aplicativos do Office
Alguns aplicativos do Office (com autenticação moderna habilitada) enviam prompt=login ao Microsoft Entra ID na solicitação. Por padrão, o Microsoft Entra ID converte prompt=login na solicitação ao AD FS para wauth=usernamepassworduri (solicita que o ADFS faça a autenticação U/P) e wfresh=0 (solicita que o ADFS ignore o estado do SSO e faça uma nova autenticação). Se você quiser habilitar a autenticação baseada em certificado para esses aplicativos, modifique o comportamento padrão do Microsoft Entra ID.
Para atualizar o comportamento padrão, defina o "PromptLoginBehavior" em suas configurações de domínio federado como 'Disabled'. Você pode usar o cmdlet New-MgDomainFederationConfiguration para executar essa tarefa, conforme mostrado no exemplo a seguir:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Suporte aos clientes do Exchange ActiveSync
No iOS 9 ou posterior, há suporte para o cliente de email do iOS nativo. Para determinar se há suporte para esse recurso em todos os outros aplicativos do Exchange ActiveSync, contate o desenvolvedor do aplicativo.
Próximas etapas
Para configurar a autenticação baseada em certificado em seu ambiente, confira Introdução à autenticação baseada em certificado para obter instruções.