Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os dispositivos Android podem usar a CBA (autenticação baseada em certificado) para autenticar na ID do Microsoft Entra usando um certificado de cliente em seu dispositivo ao se conectar a:
- Aplicativos móveis do Office, como o Microsoft Outlook e o Microsoft Word
- Clientes do EAS (Exchange ActiveSync)
Configurar esse recurso elimina a necessidade de inserir uma combinação de nome de usuário e senha em determinados aplicativos de email e do Microsoft Office em seu dispositivo móvel.
Suporte a aplicativos móveis da Microsoft
| Aplicativos | Apoio |
|---|---|
| Aplicativo de Proteção de Informações do Azure |  |
| Portal da Empresa do Intune | |
| Equipes da Microsoft | |
| OneNote | |
| OneDrive | |
| Perspectiva | |
| Power BI | |
| Skype for Business | |
| Word/Excel/PowerPoint | |
| Yammer | |
Requisitos de implementação
A versão do sistema operacional do dispositivo deve ser Android 5.0 (Lollipop) e superior.
Um servidor de federação deve ser configurado.
Para que a ID do Microsoft Entra revogue um certificado de cliente, o token do AD FS deve ter as seguintes declarações:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(O número de série do certificado do cliente)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(A cadeia de caracteres do emissor do certificado do cliente)
O Microsoft Entra ID adiciona essas declarações ao token de atualização se elas estiverem disponíveis no token de AD FS (ou qualquer outro token SAML). Quando o token de atualização precisa ser validado, essas informações são usadas para verificar a revogação.
Como prática recomendada, você deve atualizar as páginas de erro do AD FS da sua organização com as seguintes informações:
- O requisito para instalar o Microsoft Authenticator no Android.
- Instruções sobre como obter um certificado de usuário.
Para obter mais informações, consulte Personalizando as páginas de entrada do AD FS.
Os aplicativos do Office com autenticação moderna habilitada enviam "prompt=login" ao Microsoft Entra ID em sua solicitação. Por padrão, a ID do Microsoft Entra converte 'prompt=login' na solicitação para o AD FS como 'wauth=usernamepassworduri' (pede ao AD FS para fazer U/P Auth) e 'wfresh=0' (pede ao AD FS para ignorar o estado do SSO e fazer uma nova autenticação). Se você quiser habilitar a autenticação baseada em certificado para esses aplicativos, será necessário modificar o comportamento padrão do Microsoft Entra. Defina o 'PromptLoginBehavior' em suas configurações de domínio federadas como 'Desabilitado'. Você pode usar New-MgDomainFederationConfiguration para executar esta tarefa:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Suporte a clientes do Exchange ActiveSync
Há suporte para determinados aplicativos Do Exchange ActiveSync no Android 5.0 (Lollipop) ou posterior. Para determinar se seu aplicativo de email dá suporte a esse recurso, entre em contato com o desenvolvedor do aplicativo.
Próximas etapas
Se você quiser configurar a autenticação baseada em certificado em seu ambiente, consulte Introdução à autenticação baseada em certificado no Android para obter instruções.