Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Para melhorar a segurança, os dispositivos iOS podem usar a autenticação baseada em certificado (CBA) para autenticar no Microsoft Entra ID usando um certificado de cliente em seu dispositivo ao se conectar aos seguintes aplicativos ou serviços:
- Aplicativos móveis do Office, como o Microsoft Outlook e o Microsoft Word
- Clientes do Exchange ActiveSync (EAS)
O uso de certificados elimina a necessidade de inserir uma combinação de nome de usuário e senha em determinados aplicativos de email e Microsoft Office em seu dispositivo móvel.
Suporte a aplicativos móveis da Microsoft
| Aplicativos | Suporte |
|---|---|
| Aplicativo Azure Information Protection |
|
| Portal da Empresa |
|
| Microsoft Teams |
|
| Escritório (móvel) |
|
| OneNote |
|
| OneDrive |
|
| Perspetivas |
|
| Power BI |
|
| Skype para Empresas |
|
| Word / Excel / PowerPoint |
|
| Yammer |
|
Requerimentos
Para usar o CBA com iOS, aplicam-se os seguintes requisitos e considerações:
- A versão do sistema operacional do dispositivo deve ser iOS 9 ou superior.
- O Microsoft Authenticator é necessário para aplicativos do Office no iOS.
- Deve ser criada uma preferência de identidade no Porta-chaves macOS que inclua o URL de autenticação do servidor AD FS. Para obter mais informações, consulte Criar uma preferência de identidade em Acesso às Chaves no Mac.
Aplicam-se os seguintes requisitos e considerações dos Serviços de Federação do Active Directory (AD FS):
- O servidor AD FS deve estar habilitado para autenticação de certificado e usar autenticação federada.
- O certificado precisa usar o Enhanced Key Usage (EKU) e conter o UPN do usuário no Subject Alternative Name (NT Principal Name).
Configurar o AD FS
Para que o Microsoft Entra ID revogue um certificado de cliente, o token do AD FS deve ter as seguintes declarações. O Microsoft Entra ID adiciona essas declarações ao token de atualização se estiverem disponíveis no token AD FS (ou em qualquer outro token SAML). Quando o token de atualização precisa ser validado, essas informações são usadas para verificar a revogação:
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>- adicione o número de série do seu certificado de cliente -
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>- adicione a cadeia de caracteres para o emissor do seu certificado de cliente
Como prática recomendada, você também deve atualizar as páginas de erro do AD FS da sua organização com as seguintes informações:
- O requisito para instalar o Microsoft Authenticator no iOS.
- Instruções sobre como obter um certificado de usuário.
Para obter mais informações, consulte Personalizando a página de entrada do AD FS.
Usar autenticação moderna com aplicativos do Office
Algumas aplicações do Office com autenticação moderna habilitada enviam prompt=login para a ID do Microsoft Entra na sua solicitação. Por padrão, a ID do Microsoft Entra converte prompt=login na solicitação para o AD FS como wauth=usernamepassworduri (solicita que o AD FS faça autenticação U/P) e wfresh=0 (solicita que o AD FS ignore o estado SSO e faça uma nova autenticação). Se você quiser habilitar a autenticação baseada em certificado para esses aplicativos, modifique o comportamento padrão do Microsoft Entra.
Para atualizar o comportamento padrão, defina o 'PromptLoginBehavior' em suas configurações de domínio federado como Disabled. Você pode usar o cmdlet New-MgDomainFederationConfiguration para executar essa tarefa, conforme mostrado no exemplo a seguir:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Suporte para clientes Exchange ActiveSync
No iOS 9 ou posterior, o cliente de email iOS nativo é suportado. Para determinar se esse recurso é suportado para todos os outros aplicativos do Exchange ActiveSync, contate o desenvolvedor do aplicativo.
Próximos passos
Para configurar a autenticação baseada em certificado em seu ambiente, consulte Introdução à autenticação baseada em certificado para obter instruções.