Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os dispositivos Android podem usar a autenticação baseada em certificado (CBA) para autenticar no Microsoft Entra ID usando um certificado de cliente em seu dispositivo ao se conectar a:
- Aplicativos móveis do Office, como o Microsoft Outlook e o Microsoft Word
- Clientes do Exchange ActiveSync (EAS)
A configuração desse recurso elimina a necessidade de inserir uma combinação de nome de usuário e senha em determinados aplicativos de email e do Microsoft Office em seu dispositivo móvel.
Suporte a aplicativos móveis da Microsoft
| Aplicativos | Suporte |
|---|---|
| Aplicativo Azure Information Protection |
|
| Portal da Empresa do Intune |
|
| Microsoft Teams |
|
| OneNote |
|
| OneDrive |
|
| Perspetivas |
|
| Power BI |
|
| Skype para Empresas |
|
| Word / Excel / PowerPoint |
|
| Yammer |
|
Requisitos de execução
A versão do sistema operacional do dispositivo deve ser Android 5.0 (Lollipop) e superior.
Um servidor de federação deve ser configurado.
Para que o Microsoft Entra ID revogue um certificado de cliente, o token do AD FS deve ter as seguintes declarações:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(O número de série do certificado do cliente) -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(A cadeia de caracteres para o emissor do certificado do cliente)
O Microsoft Entra ID adiciona essas declarações ao token de atualização se estiverem disponíveis no token AD FS (ou em qualquer outro token SAML). Quando o token de atualização precisa ser validado, essas informações são usadas para verificar a revogação.
Como prática recomendada, você deve atualizar as páginas de erro do AD FS da sua organização com as seguintes informações:
- O requisito para instalar o Microsoft Authenticator no Android.
- Instruções sobre como obter um certificado de usuário.
Para obter mais informações, consulte Personalizando as páginas de entrada do AD FS.
As aplicações do Office com autenticação moderna habilitada enviam 'prompt=login' para o Microsoft Entra ID na sua solicitação. Por padrão, o Microsoft Entra ID traduz 'prompt=login' na solicitação para o AD FS como 'wauth=usernamepassworduri' (pede ao AD FS para fazer U/P Auth) e 'wfresh=0' (pede ao AD FS para ignorar o estado SSO e fazer uma nova autenticação). Se você quiser habilitar a autenticação baseada em certificado para esses aplicativos, precisará modificar o comportamento padrão do Microsoft Entra. Defina o 'PromptLoginBehavior' nas configurações de domínio federado para 'Desativado'. Você pode usar New-MgDomainFederationConfiguration para executar esta tarefa:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Suporte a clientes do Exchange ActiveSync
Determinados aplicativos do Exchange ActiveSync no Android 5.0 (Lollipop) ou posterior são suportados. Para determinar se seu aplicativo de e-mail suporta esse recurso, entre em contato com o desenvolvedor do aplicativo.
Próximos passos
Se você quiser configurar a autenticação baseada em certificado em seu ambiente, consulte Introdução à autenticação baseada em certificado no Android para obter instruções.