Android 디바이스는 CBA(인증서 기반 인증)를 사용하여 연결할 때 디바이스에서 클라이언트 인증서를 사용하여 Microsoft Entra ID에 인증할 수 있습니다.
- Microsoft Outlook 및 Microsoft Word와 같은 Office 모바일 응용 프로그램
- EAS(Exchange ActiveSync) 클라이언트
이 기능을 구성하면 모바일 장치의 특정 메일 및 Microsoft Office 응용 프로그램에 사용자 이름과 암호 조합을 입력할 필요가 없습니다.
Microsoft 모바일 애플리케이션 지원
| 앱 | 지원 |
|---|---|
| Azure Information Protection 앱 |
|
| Intune 회사 포털 |
|
| Microsoft 팀 |
|
| Microsoft OneNote (마이크로소프트 원노트) |
|
| OneDrive |
|
| 아웃룩 |
|
| Power BI |
|
| 비즈니스용 Skype |
|
| Word / Excel / PowerPoint |
|
| Yammer (야머) |
|
구현 요구 사항
디바이스 OS 버전은 Android 5.0(Lollipop) 이상이어야 합니다.
페더레이션 서버를 구성해야 합니다.
Microsoft Entra ID가 클라이언트 인증서를 해지하려면 AD FS 토큰에 다음 클레임이 있어야 합니다.
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(클라이언트 인증서의 일련 번호) -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(클라이언트 인증서 발급자의 문자열)
Microsoft Entra ID는 AD FS 토큰(또는 다른 SAML 토큰)에서 사용할 수 있는 경우 이러한 클레임을 새로 고침 토큰에 추가합니다. 새로 고침 토큰의 유효성을 검사해야 하는 경우 이 정보를 사용하여 해지를 확인합니다.
모범 사례로 조직의 AD FS 오류 페이지를 다음 정보로 업데이트해야 합니다.
- Android에 Microsoft Authenticator를 설치하기 위한 요구 사항입니다.
- 사용자 인증서를 가져오는 방법에 대한 지침입니다.
자세한 내용은 AD FS 로그인 페이지사용자 지정을 참조하세요.
최신 인증을 사용하도록 설정된 Office 앱은 요청 시 'prompt=login'을 Microsoft Entra ID로 보냅니다. 기본적으로 Microsoft Entra ID는 AD FS에 대한 요청에서 'prompt=login'을 'wauth=usernamepassworduri'(AD FS에 U/P 인증을 수행하도록 요청) 및 'wfresh=0'(AD FS에 SSO 상태를 무시하고 새 인증을 수행하도록 요청)으로 변환합니다. 이러한 앱에 대해 인증서 기반 인증을 사용하도록 설정하려면 기본 Microsoft Entra 동작을 수정해야 합니다. 페더레이션된 도메인 설정에서 'PromptLoginBehavior'를 '사용 안 함'로 설정합니다. New-MgDomainFederationConfiguration 사용하여 이 작업을 수행할 수 있습니다.
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync 클라이언트 지원
Android 5.0(Lollipop) 이상의 특정 Exchange ActiveSync 애플리케이션이 지원됩니다. 전자 메일 애플리케이션이 이 기능을 지원하는지 확인하려면 애플리케이션 개발자에게 문의하세요.
다음 단계
사용자 환경에서 인증서 기반 인증을 구성하려는 경우 지침은 android 인증서 기반 인증 시작 참조하세요.