Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los dispositivos Android pueden usar la autenticación basada en certificados (CBA) para autenticarse en el identificador de Microsoft Entra mediante un certificado de cliente en su dispositivo al conectarse a:
- Aplicaciones móviles de Office como Microsoft Outlook y Microsoft Word
- Clientes de Exchange ActiveSync (EAS)
La configuración de esta característica elimina la necesidad de escribir una combinación de nombre de usuario y contraseña en determinados correos y aplicaciones de Microsoft Office en el dispositivo móvil.
Compatibilidad con aplicaciones móviles de Microsoft
| Aplicaciones | Apoyo |
|---|---|
| Aplicación de Azure Information Protection |  |
| Portal de empresa de Intune | |
| Equipos de Microsoft | |
| OneNote | |
| OneDrive | |
| Perspectiva | |
| Power BI | |
| Skype Empresarial | |
| Word/Excel/PowerPoint | |
| Yammer | |
Requisitos de implementación
La versión del sistema operativo del dispositivo debe ser Android 5.0 (Lollipop) y versiones posteriores.
Se debe configurar un servidor de federación.
Para que Microsoft Entra ID revoque un certificado de cliente, el token de AD FS debe tener las siguientes reclamaciones:
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(Número de serie del certificado de cliente)-
http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(la cadena del emisor del certificado de cliente)
Microsoft Entra ID agrega estas notificaciones para el token de actualización, en caso de que estén disponibles en el token de AD FS (o en cualquier otro token SAML). Cuando es necesario validar el token de actualización, esta información se usa para comprobar la revocación.
Como procedimiento recomendado, debe actualizar las páginas de error de AD FS de su organización con la siguiente información:
- Requisito para instalar Microsoft Authenticator en Android.
- Instrucciones sobre cómo obtener un certificado de usuario.
Para obtener más información, consulte Personalización de las páginas de inicio de sesión de AD FS.
Las aplicaciones de Office con autenticación moderna habilitada envían 'prompt=login' al identificador de Microsoft Entra en su solicitud. De forma predeterminada, microsoft Entra ID traduce "prompt=login" en la solicitud a AD FS como "wauth=usernamepassworduri" (pide a AD FS que realice la autenticación U/P) y "wfresh=0" (pide a AD FS que ignore el estado de SSO y realice una autenticación nueva). Si desea habilitar la autenticación basada en certificados para estas aplicaciones, debe modificar el comportamiento predeterminado de Microsoft Entra. Establezca "PromptLoginBehavior" en la configuración del dominio federado en "Disabled". Puede usar New-MgDomainFederationConfiguration para realizar esta tarea:
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Compatibilidad con clientes de Exchange ActiveSync
Se admiten ciertas aplicaciones de Exchange ActiveSync en Android 5.0 (Lollipop) o posterior. Para determinar si la aplicación de correo electrónico admite esta característica, póngase en contacto con el desarrollador de la aplicación.
Pasos siguientes
Si desea configurar la autenticación basada en certificados en su entorno, consulte Introducción a la autenticación basada en certificados en Android para obtener instrucciones.