Android 设备在连接到以下资源时,可以使用基于证书的身份验证(CBA),通过设备上的客户端证书向 Microsoft Entra ID 进行身份验证:
- Office 移动版应用程序,如 Microsoft Outlook 和 Microsoft Word
- Exchange ActiveSync (EAS) 客户端
配置此功能无需在移动设备上的某些邮件和Microsoft Office 应用程序中输入用户名和密码组合。
Microsoft移动应用程序支持
| Apps | Support |
|---|---|
| Azure 信息保护 应用 |
|
| Intune 公司门户 |
|
| Microsoft Teams |
|
| OneNote |
|
| OneDrive |
|
| Outlook |
|
| Power BI |
|
| Skype for Business |
|
| Word/Excel/PowerPoint |
|
| Yammer |
|
实现要求
设备 OS 版本必须是 Android 5.0(Lollipop)及更高版本。
必须配置联合服务器。
若要Microsoft Entra ID吊销客户端证书,AD FS 令牌必须具有以下声明:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(客户端证书的序列号) -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(客户端证书颁发者的字符串)
Microsoft Entra ID 将这些声明添加到刷新令牌(如果这些声明在 AD FS 令牌或任何其他 SAML 令牌中可用)。 当需要验证刷新令牌时,此信息用于检查该刷新令牌是否已被吊销。
最佳做法是,应使用以下信息更新组织的 AD FS 错误页:
- 在 Android 上安装Microsoft Authenticator的要求。
- 有关如何获取用户证书的说明。
有关详细信息,请参阅 自定义 AD FS 登录页。
启用了现代身份验证的 Office 应用会在其请求中向 Microsoft Entra ID 发送“prompt=login”。 默认情况下,Microsoft Entra ID将请求中的“prompt=login”转换为 AD FS 作为“wauth=usernamepassworduri”(要求 AD FS 执行 U/P 身份验证)和“wfresh=0”(要求 AD FS 忽略 SSO 状态并执行新的身份验证)。 如果要为这些应用启用基于证书的身份验证,则需要修改默认Microsoft Entra行为。 将联合域设置中的“PromptLoginBehavior”设置为“Disabled”。 可以使用 New-MgDomainFederationConfiguration 执行此任务:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync客户端支持
支持 Android 5.0(Lollipop)或更高版本上的某些 Exchange ActiveSync 应用程序。 若要确定电子邮件应用程序是否支持此功能,请联系应用程序开发人员。
后续步骤
如果要在环境中配置基于证书的身份验证,请参阅 Android 上的基于证书的身份验证入门 ,获取相关说明。