Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para melhorar a segurança, os dispositivos iOS podem usar a CBA (autenticação baseada em certificado) para autenticar na ID do Microsoft Entra usando um certificado de cliente em seu dispositivo ao se conectar aos seguintes aplicativos ou serviços:
- Aplicativos móveis do Office, como o Microsoft Outlook e o Microsoft Word
- Clientes do EAS (Exchange ActiveSync)
O uso de certificados elimina a necessidade de inserir uma combinação de nome de usuário e senha em determinados aplicativos de email e do Microsoft Office em seu dispositivo móvel.
Suporte a aplicativos móveis da Microsoft
| Aplicativos | Apoio |
|---|---|
| Aplicativo de Proteção de Informações do Azure |
|
| Portal da Empresa |
|
| Equipes da Microsoft |
|
| Office (móvel) |
|
| OneNote |
|
| OneDrive |
|
| Perspectiva |
|
| Power BI |
|
| Skype for Business |
|
| Word/Excel/PowerPoint |
|
| Yammer |
|
Requisitos
Para usar a CBA com o iOS, os seguintes requisitos e considerações se aplicam:
- A versão do sistema operacional do dispositivo deve ser iOS 9 ou superior.
- O Microsoft Authenticator é necessário para aplicativos do Office no iOS.
- Uma preferência de identidade deve ser criada no conjunto de chaves do macOS que inclui a URL de autenticação do servidor AD FS. Para obter mais informações, consulte Criar uma preferência de identidade no Acesso ao Conjunto de Chaves no Mac.
Os seguintes requisitos e considerações dos Serviços de Federação do Active Directory (AD FS) se aplicam:
- O servidor do AD FS deve ser habilitado para autenticação de certificado e usar a autenticação federada.
- O certificado deve usar o EKU (Uso Avançado de Chave) e conter o UPN do usuário no Nome Alternativo da Entidade (Nome Principal NT).
Configurar o AD FS
Para que a ID do Microsoft Entra revogue um certificado de cliente, o token do AD FS deve ter as seguintes declarações. O Microsoft Entra ID adiciona essas declarações ao token de atualização se elas estiverem disponíveis no token de AD FS (ou qualquer outro token SAML). Quando o token de atualização precisa ser validado, essas informações são usadas para verificar a revogação:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>– adicionar o número de série do certificado do cliente -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>– adicionar a cadeia de caracteres para o emissor do certificado do cliente
Como prática recomendada, você também deve atualizar as páginas de erro do AD FS da sua organização com as seguintes informações:
- O requisito para instalar o Microsoft Authenticator no iOS.
- Instruções sobre como obter um certificado de usuário.
Para obter mais informações, consulte Personalizando a página de entrada do AD FS.
Usar a autenticação moderna com aplicativos do Office
Alguns aplicativos do Office com autenticação moderna habilitada enviam prompt=login para a Microsoft Entra ID na sua solicitação. Por padrão, o Microsoft Entra ID traduz prompt=login na solicitação para o AD FS como wauth=usernamepassworduri (solicita ao AD FS que realize a autenticação de usuário/senha) e wfresh=0 (solicita ao AD FS que ignore o estado do SSO e realize uma nova autenticação). Se você quiser habilitar a autenticação baseada em certificado para esses aplicativos, modifique o comportamento padrão do Microsoft Entra.
Para atualizar o comportamento padrão, defina o 'PromptLoginBehavior' em suas configurações de domínio federadas como Desabilitado. Você pode usar o cmdlet New-MgDomainFederationConfiguration para executar essa tarefa, conforme mostrado no exemplo a seguir:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Suporte para clientes do Exchange ActiveSync
No iOS 9 ou posterior, há suporte para o cliente de email nativo do iOS. Para determinar se esse recurso tem suporte para todos os outros aplicativos do Exchange ActiveSync, entre em contato com o desenvolvedor do aplicativo.
Próximas etapas
Para configurar a autenticação baseada em certificado em seu ambiente, consulte Introdução à autenticação baseada em certificado para obter instruções.