Android의 페더레이션이 있는 Microsoft Entra 인증서 기반 인증
Android 디바이스는 CBA(인증서 기반 인증)를 사용하여 다음에 연결할 때 디바이스의 클라이언트 인증서를 사용하여 Microsoft Entra ID를 인증할 수 있습니다.
- Microsoft Outlook 및 Microsoft Word와 같은 Office 모바일 애플리케이션
- EAS(Exchange ActiveSync) 클라이언트
이 기능을 구성하면 모바일 디바이스의 특정 메일 및 Microsoft Office 애플리케이션에 사용자 이름 및 암호 조합을 입력해야 합니다.
Microsoft 모바일 애플리케이션 지원
앱 | 지원 |
---|---|
Azure Information Protection 앱 | |
Intune 회사 포털 | |
Microsoft 팀 | |
OneNote | |
OneDrive | |
Outlook | |
Power BI | |
비즈니스용 Skype | |
Word / Excel / PowerPoint | |
Yammer |
구현 요구 사항
디바이스 OS 버전은 Android 5.0(Lollipop) 이상이어야 합니다.
페더레이션 서버가 구성되어야 합니다.
Microsoft Entra ID에서 클라이언트 인증서를 해지하려면 AD FS 토큰에 다음 클레임이 있어야 합니다.
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>
(클라이언트 인증서의 일련 번호)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>
(클라이언트 인증서의 발급자에 대한 문자열)
Microsoft Entra ID는 이러한 클레임이 AD FS 토큰(또는 다른 SAML 토큰)에서 사용 가능한 경우 새로 고침 토큰에 이러한 클레임을 추가합니다. 새로 고침 토큰의 유효성을 검사해야 하는 경우 이 정보가 해지를 확인하는 데 사용됩니다.
조직의 AD FS 오류 페이지를 다음 정보로 업데이트하는 것이 가장 좋습니다.
- Android에서 Microsoft Authenticator를 설치하기 위한 요구 사항
- 사용자 인증서를 얻는 방법에 대한 지침
자세한 내용은 Customizing the AD FS Sign-in Pages를 참조하세요.
Office 앱(최신 인증 사용)은 요청 시 Microsoft Entra ID에 'prompt=login'을 보냅니다. 기본적으로 Microsoft Entra ID는 AD FS에 대한 요청 시 'prompt=login'을 'wauth=usernamepassworduri'(AD FS에 U/P 인증을 수행하도록 요청함) 및 'wfresh=0'(AD FS에 SSO 상태를 무시하고 새 인증을 수행하도록 요청함)으로 변환합니다. 이러한 앱에 인증서 기반 인증을 사용하려면 기본 Microsoft Entra 동작을 수정해야 합니다. 페더레이션된 도메인 설정에서 'PromptLoginBehavior'를 '사용 안 함'으로 설정합니다. New-MgDomainFederationConfiguration을 사용하여 이 작업을 수행할 수 있습니다.
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync 클라이언트 지원
Android 5.0(Lollipop) 이상의 특정 Exchange ActiveSync 애플리케이션은 지원됩니다. 이메일 애플리케이션에서 이 기능을 지원하는지 확인하려면 애플리케이션 개발자에게 문의하세요.
다음 단계
사용자 환경에서 인증서 기반 인증을 구성하는 방법에 대한 자세한 내용은 Android에서 인증서 기반 인증 시작을 참조하세요.