为了提高安全性,iOS 设备可以使用基于证书的身份验证(CBA)在连接到以下应用程序或服务时使用其设备上的客户端证书向 Microsoft Entra ID 进行身份验证:
- Office 移动应用程序,例如 Microsoft Outlook 和 Microsoft Word
- Exchange ActiveSync (EAS) 客户端
使用证书无需将用户名和密码组合输入到移动设备上的某些邮件和Microsoft Office 应用程序。
Microsoft 移动应用程序支持
| 应用程序 | 支持 |
|---|---|
| Azure 信息保护应用 |
|
| 公司门户 |
|
| Microsoft Teams |
|
| Office(移动) |
|
| OneNote(微软笔记应用) |
|
| OneDrive |
|
| 展望 |
|
| Power BI |
|
| Skype for Business |
|
| Word/Excel/PowerPoint |
|
| Yammer |
|
要求
若要将 CBA 与 iOS 配合使用,需要满足以下要求和注意事项:
- 设备 OS 版本必须是 iOS 9 或更高版本。
- iOS 上的 Office 应用程序需要Microsoft Authenticator。
- 必须在 macOS 密钥链中创建标识首选项,其中包括 AD FS 服务器的身份验证 URL。 有关详细信息,请参阅 在 Mac 上的 Keychain Access 中创建标识首选项。
以下 Active Directory 联合身份验证服务(AD FS)要求和注意事项适用:
- 必须为 AD FS 服务器启用证书身份验证并使用联合身份验证。
- 证书需要使用增强型密钥用法(EKU),并在 使用者可选名称(NT 主体名称)中包含用户的 UPN。
配置 AD FS
若要Microsoft Entra ID 来吊销客户端证书,AD FS 令牌必须具有以下声明。 Microsoft Entra ID 将这些声明添加到刷新令牌(如果这些声明在 AD FS 令牌或任何其他 SAML 令牌中可用)。 当需要验证刷新令牌时,可以使用以下信息来检查吊销情况:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>- 添加客户端证书的序列号 -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>- 添加客户端证书颁发者的字符串
最佳做法是,还应使用以下信息更新组织的 AD FS 错误页:
- 在 iOS 上安装 Microsoft Authenticator 的要求。
- 有关如何获取用户证书的说明。
有关详细信息,请参阅 自定义 AD FS 登录页。
将新式身份验证与 Office 应用配合使用
某些启用了新式身份验证的 Office 应用在请求中将 prompt=login 发送给 Microsoft Entra ID。 默认情况下,Microsoft Entra ID 将请求中的 prompt=login 转换为 AD FS 请求中的 wauth=usernamepassworduri (要求 AD FS 执行用户名/密码(U/P)身份验证)和 wfresh=0 (要求 AD FS 忽略单点登录(SSO)状态并执行新的身份验证)。 如果要为这些应用启用基于证书的身份验证,请修改默认Microsoft Entra 行为。
若要更新默认行为,请将联合域设置中的“PromptLoginBehavior”设置为 “已禁用”。 可以使用 New-MgDomainFederationConfiguration cmdlet 执行此任务,如以下示例所示:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
对 Exchange ActiveSync 客户端的支持
iOS 9 或更高版本支持本机 iOS 邮件客户端。 若要确定所有其他 Exchange ActiveSync 应用程序是否支持此功能,请联系应用程序开发人员。
后续步骤
若要在环境中配置基于证书的身份验证,请参阅 基于证书的身份验证入门 ,获取相关说明。