Authentification basée sur les certificats Microsoft Entra avec fédération sur Android
Les appareils qui exécutent Android peuvent utiliser l’authentification basée sur un certificat (CBA, certificate-based authentication) pour s’authentifier auprès de Microsoft Entra ID en utilisant un certificat client sur leur appareil lors de la connexion à :
- Des applications mobiles Office, telles que Microsoft Outlook et Microsoft Word ;
- Des clients Exchange ActiveSync (EAS).
La configuration de cette fonctionnalité élimine le besoin d’entrer un nom d’utilisateur et un mot de passe dans certaines applications de messagerie et Microsoft Office sur votre appareil mobile.
Prise en charge des applications mobiles Microsoft
| Applications | Support |
|---|---|
| Application Azure Information Protection |  |
| Portail d'entreprise Intune | |
| Microsoft Teams | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype Entreprise | |
| Word / Excel / PowerPoint | |
| Yammer | |
Exigences d’implémentation
La version du système d’exploitation de l’appareil doit être Android 5.0 (Lollipop) ou toute version ultérieure.
Un serveur de fédération doit être configuré.
Pour que Microsoft Entra ID révoque un certificat client, le jeton AD FS doit posséder les revendications suivantes :
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(le numéro de série du certificat client)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(la chaîne de l’émetteur du certificat client)
Microsoft Entra ID ajoute ces revendications au jeton d’actualisation si elles sont disponibles dans le jeton AD FS (ou n’importe quel autre jeton SAML). Lorsque le jeton d’actualisation doit être validé, ces informations sont utilisées pour vérifier la révocation.
Une bonne pratique consiste à ajouter les informations suivantes aux pages d’erreurs AD FS de votre entrepris :
- La configuration requise pour l’installation de Microsoft Authenticator sur Android
- Instructions sur l’obtention d’un certificat utilisateur.
Pour plus d’informations, consultez Personnalisation des pages de connexion AD FS.
Certaines applications Office avec l’authentification moderne activée envoient « prompt=login » à Microsoft Entra ID dans leur requête. Par défaut, Microsoft Entra ID traduit « prompt=login » dans la requête à AD FS par « wauth=usernamepassworduri » (demande aux AD FS d'effectuer l'authentification U/P) et « wfresh=0 » (demande aux AD FS d'ignorer l'état d'authentification unique et d'effectuer une nouvelle authentification). Si vous souhaitez activer l’authentification par certificat pour ces applications, vous devez modifier le comportement par défaut de Microsoft Entra. Dans les paramètres du domaine fédéré, définissez « PromptLoginBehavior » sur « Désactivé ». Pour effectuer cette tâche, vous pouvez utiliser New-MgDomainFederationConfiguration :
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Prise en charge des clients Exchange ActiveSync
Certaines applications Exchange ActiveSync sur Android 5.0 (Lollipop) ou version ultérieure sont prises en charge. Pour déterminer si votre application de messagerie prend en charge cette fonctionnalité, contactez le développeur de votre application.
Étapes suivantes
Si vous souhaitez configurer l’authentification par certificat dans votre environnement, consultez Bien démarrer avec l’authentification par certificat sur Android pour obtenir des instructions.