Autenticação baseada em certificado Microsoft Entra com federação no Android

Os dispositivos Android podem executar a autenticação baseada em certificado (CBA) para autenticação no Microsoft Entra ID usando um certificado de cliente no dispositivo ao se conectar ao seguinte:

  • Aplicativos móveis do Office, como Microsoft Outlook e Microsoft Word
  • Clientes do EAS (Exchange ActiveSync)

Configurar esse recurso elimina a necessidade de digitar uma combinação de nome de usuário e senha em determinados emails e aplicativos do Microsoft Office no seu dispositivo móvel.

Suporte a aplicativos móveis da Microsoft

Aplicativos Suporte
Aplicativo de Proteção de Informações do Azure Check mark signifying support for this application
Intune Portal da empresa Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype for Business Check mark signifying support for this application
Word/Excel/PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Requisitos de implementação

A versão do sistema operacional do dispositivo deve ser Android 5.0 (Lollipop) e superior.

Um servidor de federação deve ser configurado.

Para que o Microsoft Entra ID revogue um certificado do cliente, o token de AD FS deve ter as seguintes declarações:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (O número de série do certificado do cliente)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (A cadeia de caracteres para o emissor do certificado do cliente)

O Microsoft Entra ID adiciona essas declarações ao token de atualização se elas estiverem disponíveis no token dos AD FS (ou qualquer outro token SAML). Quando o token de atualização precisa ser validado, essas informações são usadas para verificar a revogação.

Como prática recomendada, você deve atualizar as páginas de erro do AD FS da sua organização com as seguintes informações:

  • O requisito para instalar o Microsoft Authenticator no Android.
  • Instruções sobre como obter um certificado de usuário.

Para obter mais informações, consulte Personalizando as páginas de entrada do AD FS.

Os aplicativos do Office com autenticação moderna habilitada enviam "prompt=login" ao Microsoft Entra ID em sua solicitação. Por padrão, o Microsoft Entra ID traduz "prompt=login" na solicitação para AD FS como "wauth=usernamepassworduri" (pede ao AD FS para fazer U/P Auth) e "wfresh=0" (pede ao AD FS para ignorar o estado SSO e fazer uma nova autenticação). Se você quiser habilitar a autenticação baseada em certificado para esses aplicativos, você precisa de modificar o comportamento padrão do Microsoft Entra ID. Defina "PromptLoginBehavior" nas configurações do domínio federado como "Disabled". Você pode usar New-MgDomainFederationConfiguration para executar esta tarefa:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Suporte aos clientes do Exchange ActiveSync

Há suporte para determinados aplicativos do Exchange ActiveSync no Android 5.0 (Lollipop) ou superior. Para determinar se o aplicativo de email dá suporte a esse recurso, contate o desenvolvedor do aplicativo.

Próximas etapas

Se você quiser configurar a autenticação baseada em certificado em seu ambiente, confira Get started with certificate-based authentication on Android (Introdução à autenticação baseada em certificado no Android) para obter instruções.