iOS 上 Azure Active Directory 基于证书的身份验证

连接到以下项时,iOS 设备可以通过基于证书的身份验证 (CBA) 在其设备上使用客户端证书向 Azure Active Directory 进行身份验证:

  • Office 移动应用程序,例如 Microsoft Outlook 和 Microsoft Word
  • Exchange ActiveSync (EAS) 客户端

如果配置了此功能,就无需在移动设备上的某些邮件和 Microsoft Office 应用程序中输入用户名和密码组合。

本主题面向 Office 365 企业版、商业版、教育版和中国计划中的租户用户,提供在 iOS(Android) 设备上配置 CBA 时的要求和受支持方案。

此功能在 Office 365 US Government Defense 和 Federal 计划中以预览形式提供。

Microsoft 移动应用程序支持

应用 支持
Azure 信息保护应用 勾选标记
Intune 公司门户 勾选标记
Microsoft Teams 勾选标记
OneNote 勾选标记
OneDrive 勾选标记
Outlook 勾选标记
Power BI 勾选标记
Skype for Business 勾选标记
Word/Excel/PowerPoint 勾选标记
Yammer 勾选标记

要求

设备 OS 版本必须为 iOS 9 及更高版本

必须配置联合服务器。

iOS 设备上的 Office 应用程序需要安装 Microsoft Authenticator。

若要让 Azure Active Directory 吊销客户端证书,ADFS 令牌必须具有以下声明:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(客户端证书的序列号)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(客户端证书颁发者的字符串)

如果 ADFS 令牌(或任何其他 SAML 令牌)具有这些声明,Azure Active Directory 会将这些声明添加到刷新令牌中。 当需要验证刷新令牌时,此信息可用于检查吊销。

最佳做法是,应该使用以下信息更新组织的 ADFS 错误页:

  • 在 iOS 设备上安装 Microsoft Authenticator 的要求
  • 有关如何获取用户证书的说明。

有关详细信息,请参阅自定义 AD FS 登录页

某些 Office 应用(启用了新式身份验证)在请求中向 Azure AD 发送“prompt=login”。 默认情况下,Azure AD 会将向 ADFS 发出的请求中的“prompt=login”转换为“wauth=usernamepassworduri”(要求 ADFS 执行 U/P 身份验证)和“wfresh=0”(要求 ADFS 忽略 SSO 状态并执行全新的身份验证)。 如果想要为这些应用启用基于证书的身份验证,需要修改默认 Azure AD 行为。 只需将联盟域设置中的“PromptLoginBehavior”设置为“已禁用”即可。 可使用 MSOLDomainFederationSettings cmdlet 执行此任务:

Set-MSOLDomainFederationSettings -domainname <domain> -PromptLoginBehavior Disabled

Exchange ActiveSync 客户端支持

iOS 9 或更高版本支持本机 iOS 邮件客户端。 若要确定其他所有 Exchange ActiveSync 应用程序是否支持此功能,请联系应用程序开发人员。

后续步骤

如果想要在环境中配置基于证书的身份验证,请参阅 Android 上基于证书的身份验证入门了解相关说明。