Поделиться через


Проверка подлинности на основе сертификата Microsoft Entra с федерацией в iOS

Для повышения безопасности устройства iOS могут использовать проверку подлинности на основе сертификатов (CBA) для проверки подлинности в идентификаторе Microsoft Entra с помощью сертификата клиента на устройстве при подключении к следующим приложениям или службам:

  • мобильным приложениям Office, таким как Microsoft Outlook и Microsoft Word;
  • клиентам Exchange ActiveSync (EAS).

Использование сертификатов избавляет от необходимости ввода имени пользователя и пароля в определенных почтовых клиентах и приложениях Microsoft Office на мобильных устройствах.

Поддержка мобильных приложений Microsoft

Приложения Поддержка
Приложение Azure Information Protection Check mark signifying support for this application
Корпоративный портал Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
Office (мобильный) Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype для бизнеса Check mark signifying support for this application
Word/Excel/PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

Требования

При использовании CBA с iOS применяются следующие требования и рекомендации:

  • Устройство должно иметь операционную систему iOS 9 или более поздней версии.
  • Для приложений Office на iOS требуется Microsoft Authenticator.
  • В цепочке ключей macOS необходимо создать предпочтение удостоверения, включающее URL-адрес проверки подлинности сервера AD FS. Дополнительные сведения см. в статье Создание настройки удостоверения в Keychain Access на Mac.

Применяются следующие требования и рекомендации по службы федерации Active Directory (AD FS) (AD FS).

  • Сервер AD FS должен быть включен для проверки подлинности сертификата и использовать федеративную проверку подлинности.
  • Сертификат должен применять расширенное использование ключа (EKU) и содержать имя участника-пользователя в альтернативном имени субъекта (имя субъекта NT).

Настройка AD FS

Чтобы идентификатор Microsoft Entra отозвал сертификат клиента, маркер AD FS должен иметь следующие утверждения. Идентификатор Microsoft Entra добавляет эти утверждения в маркер обновления, если они доступны в маркере AD FS (или любом другом токене SAML). Когда требуется проверить маркер обновления, следующая информация используется для проверки отзыва:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> — добавление серийного номера сертификата клиента
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> — добавление строки для издателя сертификата клиента

Рекомендуется также обновить страницы ошибок AD FS организации со следующими сведениями:

  • требованием установки Microsoft Authenticator для iOS;
  • инструкциями о получении сертификата пользователя.

Дополнительные сведения см. в статье Настройка страницы входа в ADFS.

Использование современной проверки подлинности в приложениях Office

Некоторые Приложение Office с современной проверкой подлинности с поддержкой отправки prompt=login в идентификатор Microsoft Entra в своем запросе. По умолчанию идентификатор Microsoft Entra id преобразуется prompt=login в запрос на AD FS как wauth=usernamepassworduri (запрашивает AD FS выполнять проверку подлинности U/P) и wfresh=0 (просит AD FS игнорировать состояние единого входа и выполнять новую проверку подлинности). Если вы хотите включить проверку подлинности на основе сертификатов для этих приложений, измените поведение Microsoft Entra по умолчанию.

Для изменения поведения по умолчанию задайте для параметра PromptLoginBehavior в настройках федеративного домена значение Отключено. Для выполнения этой задачи можно использовать командлет New-MgDomainFederationConfiguration , как показано в следующем примере:

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Поддержка клиентов Exchange ActiveSync

В iOS версии 9 и выше поддерживается собственный почтовый клиент iOS. Чтобы определить, поддерживается ли эта функция во всех остальных приложениях Exchange ActiveSync, обратитесь к разработчику приложения.

Следующие шаги

Чтобы настроить проверку подлинности на основе сертификата в своей среде, ознакомьтесь с инструкциями в статье Начало работы с проверкой подлинности на основе сертификата.