Microsoft Entra-certifikatbaserad autentisering med federation på iOS
För att förbättra säkerheten kan iOS-enheter använda certifikatbaserad autentisering (CBA) för att autentisera till Microsoft Entra-ID med ett klientcertifikat på sin enhet när de ansluter till följande program eller tjänster:
- Mobila Office-program som Microsoft Outlook och Microsoft Word
- Exchange ActiveSync-klienter (EAS)
Med hjälp av certifikat eliminerar du behovet av att ange en kombination av användarnamn och lösenord i vissa e-postmeddelanden och Microsoft-Office-appen licenser på din mobila enhet.
Stöd för Microsoft-mobilprogram
| Appar | Support |
|---|---|
| Azure Information Protection-app |  |
| Företagsportal | |
| Microsoft Teams | |
| Office (mobil) | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype för företag | |
| Word/Excel/PowerPoint | |
| Yammer | |
Behov
Om du vill använda CBA med iOS gäller följande krav och överväganden:
- Enhetsoperativsystemets version måste vara iOS 9 eller senare.
- Microsoft Authenticator krävs för Office-appen likeringar i iOS.
- En identitetsinställning måste skapas i macOS-nyckelringen som innehåller autentiserings-URL:en för AD FS-servern. Mer information finns i Skapa en identitetsinställning i Nyckelringsåtkomst på Mac.
Följande krav och överväganden för Active Directory Federation Services (AD FS) (AD FS) gäller:
- AD FS-servern måste vara aktiverad för certifikatautentisering och använda federerad autentisering.
- Certifikatet måste använda förbättrad nyckelanvändning (EKU) och innehålla UPN för användaren i alternativt namn på certifikatmottagare (NT-huvudnamn).
Konfigurera AD FS
För att Microsoft Entra-ID ska kunna återkalla ett klientcertifikat måste AD FS-token ha följande anspråk. Microsoft Entra-ID lägger till dessa anspråk till uppdateringstoken om de är tillgängliga i AD FS-token (eller någon annan SAML-token). När uppdateringstoken måste verifieras används den här informationen för att kontrollera återkallningen:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>– lägg till serienumret för klientcertifikatethttp://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>– lägg till strängen för utfärdaren av klientcertifikatet
Som bästa praxis bör du också uppdatera din organisations AD FS-felsidor med följande information:
- Kravet för att installera Microsoft Authenticator på iOS.
- Instruktioner för hur du hämtar ett användarcertifikat.
Mer information finns i Anpassa AD FS-inloggningssidan.
Använda modern autentisering med Office-appen
Vissa Office-appen med modern autentisering aktiverat skickar prompt=login till Microsoft Entra-ID i sin begäran. Som standard översätts prompt=login Microsoft Entra-ID i begäran till AD FS som wauth=usernamepassworduri (ber AD FS att göra U/P-autentisering) och wfresh=0 (ber AD FS att ignorera SSO-tillstånd och göra en ny autentisering). Om du vill aktivera certifikatbaserad autentisering för dessa appar ändrar du standardbeteendet för Microsoft Entra.
Om du vill uppdatera standardbeteendet anger du "PromptLoginBehavior" i dina federerade domäninställningar till Inaktiverad. Du kan använda cmdleten New-MgDomainFederationConfiguration för att utföra den här uppgiften, som du ser i följande exempel:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Stöd för Exchange ActiveSync-klienter
På iOS 9 eller senare stöds den interna iOS-e-postklienten. Kontakta programutvecklaren om du vill ta reda på om den här funktionen stöds för alla andra Exchange ActiveSync-program.
Nästa steg
Anvisningar finns i Komma igång med certifikatbaserad autentisering för att konfigurera certifikatbaserad autentisering i din miljö.