Einrichten der zertifikatbasierten Authentifizierung von Microsoft Entra

Ihre Organisation kann phishingsichere, moderne und kennwortlose Authentifizierung über Benutzer X.509-Zertifikate mithilfe Microsoft Entra zertifikatbasierten Authentifizierung (CBA) implementieren.

In diesem Artikel erfahren Sie, wie Sie Ihren Microsoft Entra-Mandanten so konfigurieren, dass Mandantenbenutzer die Authentifizierung mit X.509-Zertifikaten zulassen oder erfordern. Ein Benutzer erstellt ein X.509-Zertifikat mithilfe einer Public Key-Infrastruktur (PKI) für die Anwendungs- und Browseranmeldung.

Wenn Microsoft Entra CBA eingerichtet ist, sieht ein Benutzer während der Anmeldung eine Option zum Authentifizieren mithilfe eines Zertifikats, anstatt ein Kennwort einzugeben. Wenn sich mehrere übereinstimmende Zertifikate auf dem Gerät befinden, wählt der Benutzer das entsprechende Zertifikat aus, und das Zertifikat wird mit dem Benutzerkonto überprüft. Wenn die Überprüfung erfolgreich ist, meldet sich der Benutzer an.

Führen Sie die in diesem Artikel beschriebenen Schritte aus, um Microsoft Entra CBA für Mandanten in Office 365 Enterprise- und US Government-Plänen zu konfigurieren und zu verwenden. Sie müssen bereits eine PKI konfiguriert haben.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Mindestens eine Zertifizierungsstelle und alle zwischengeschalteten Zertifizierungsstellen werden in Microsoft Entra ID konfiguriert.
  • Der Benutzer hat Zugriff auf ein Benutzerzertifikat, das von einer vertrauenswürdigen PKI ausgestellt wurde, die im Tenant für die Clientauthentifizierung in Microsoft Entra ID konfiguriert ist.
  • Jede Zertifizierungsstelle verfügt über eine Zertifikatsperrliste (Certificate Revocation List, CRL), auf die über internetgerichtete URLs verwiesen werden kann. Wenn die vertrauenswürdige Zertifizierungsstelle keine CRL konfiguriert hat, führt Microsoft Entra ID keine CRL-Überprüfung durch, das Widerrufen von Benutzerzertifikaten funktioniert nicht, und die Authentifizierung wird nicht blockiert.

Überlegungen

  • Stellen Sie sicher, dass die PKI sicher ist und nicht einfach kompromittiert werden kann. Wenn eine Sicherheitsverletzung auftritt, kann der Angreifer Clientzertifikate erstellen und signieren und jeden Benutzer im Mandanten kompromittieren, einschließlich der Benutzer, die aus lokalen Umgebungen synchronisiert werden. Eine starke Schlüsselschutzstrategie und andere physische und logische Kontrollen können eine umfassende Verteidigung bieten, um zu verhindern, dass externe Angreifer oder Insider-Bedrohungen die Integrität der PKI beeinträchtigen. Weitere Informationen finden Sie unter Schützen einer Public Key-Infrastruktur.

  • Bewährte Methoden für Microsoft Kryptografie, einschließlich Auswahl von Algorithmus, Schlüssellänge und Datenschutz, finden Sie unter Microsoft Empfehlungen. Achten Sie darauf, einen der empfohlenen Algorithmen, eine empfohlene Schlüssellänge und NIST-genehmigte Kurven zu verwenden.

  • Im Rahmen fortlaufender Sicherheitsverbesserungen haben Azure und Microsoft 365 Endpunkte Unterstützung für TLS 1.3 hinzugefügt. Der Prozess wird voraussichtlich einige Monate dauern, um die Tausende von Dienstendpunkten über Azure und Microsoft 365 abzudecken. Der Microsoft Entra Endpunkt, der Microsoft Entra CBA verwendet, ist im Update enthalten: *.certauth.login.microsoftonline.com und *.certauth.login.microsoftonline.us.

    TLS 1.3 ist die neueste Version des am häufigsten bereitgestellten Sicherheitsprotokolls des Internets. TLS 1.3 verschlüsselt Daten, um einen sicheren Kommunikationskanal zwischen zwei Endpunkten bereitzustellen. Es beseitigt veraltete kryptografische Algorithmen, verbessert die Sicherheit gegenüber früheren Versionen und verschlüsselt so viel wie möglich vom Handshake. Es wird dringend empfohlen, mit dem Testen von TLS 1.3 in Ihren Anwendungen und Diensten zu beginnen.

  • Wenn Sie eine PKI auswerten, ist es wichtig, Zertifikatausstellungsrichtlinien und -erzwingung zu überprüfen. Wie weiter oben beschrieben, ermöglicht das Hinzufügen von CAs zu einer Microsoft Entra-Konfiguration von Zertifikaten, die von diesen Zertifizierungsstellen ausgestellt wurden, die Authentifizierung von Benutzern in Microsoft Entra ID.

    Es ist wichtig zu berücksichtigen, wie und wann CAs Zertifikate ausgeben dürfen und wie sie wiederverwendbare Bezeichner implementieren. Administratoren müssen nur sicherstellen, dass ein bestimmtes Zertifikat für die Authentifizierung eines Benutzers verwendet werden kann. Sie sollten jedoch ausschließlich Bindungen mit hoher Affinität verwenden, um eine höhere Zuverlässigkeit zu erzielen, dass nur ein bestimmtes Zertifikat den Benutzer authentifizieren kann. Weitere Informationen finden Sie unter "Bindungen mit hoher Affinität".

Konfigurieren und Testen von Microsoft Entra CBA

Sie müssen einige Konfigurationsschritte ausführen, bevor Sie Microsoft Entra CBA aktivieren.

Eine für die Administration zuständige Person muss die vertrauenswürdigen Zertifizierungsstellen konfigurieren, die Benutzerzertifikate ausstellen. Wie im folgenden Diagramm gezeigt, verwendet Azure rollenbasierte Zugriffssteuerung (RBAC), um sicherzustellen, dass nur Administratoren mit den geringsten Rechten Änderungen vornehmen müssen.

Wichtig

Microsoft empfiehlt, Rollen mit den wenigsten Berechtigungen zu verwenden. Diese Vorgehensweise trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. „Globaler Administrator“ ist eine Rolle mit umfangreichen Berechtigungen, die auf Notfallszenarios beschränkt sein sollte oder die verwendet wird, wenn Sie keine vorhandene Rolle verwenden können.

Optional können Sie Authentifizierungsbindungen so konfigurieren, dass Zertifikate der einzelstufigen Authentifizierung oder der mehrstufigen Authentifizierung (Multifactor Authentication, MFA) zugeordnet werden. Konfigurieren Sie Benutzernamenbindungen, um das Zertifikatfeld einem Attribut des Benutzerobjekts zuzuordnen. Ein Authentifizierungsrichtlinienadministrator kann benutzerbezogene Einstellungen konfigurieren.

Wenn alle Konfigurationen abgeschlossen sind, aktivieren Sie Microsoft Entra CBA für den Mandanten.

Diagramm mit einer Übersicht über die erforderlichen Schritte zum Aktivieren Microsoft Entra zertifikatbasierten Authentifizierung.

Schritt 1: Konfigurieren der Zertifizierungsstellen mit einem PKI-basierten Vertrauensspeicher

Microsoft Entra verfügt über einen neuen PKI-basierten Ca Trust Store. Der Vertrauensspeicher speichert CAs innerhalb eines Containerobjekts für jede PKI. Administratoren können CAs in einem Container auf Basis von PKI einfacher verwalten, als eine flache Liste von CAs zu verwalten.

Der PKI-basierte Vertrauensspeicher hat höhere Grenzwerte als der klassische Vertrauensspeicher für die Anzahl der Zertifizierungsstellen und die Größe jeder Zertifizierungsstelle-Datei. Ein PKI-basierter Vertrauensspeicher unterstützt bis zu 250 CAs und 8 KB für jedes CA-Objekt.

Wenn Sie den klassischen Vertrauensspeicher zum Konfigurieren von CAs verwenden, wird dringend empfohlen, einen PKI-basierten Vertrauensspeicher einzurichten. Der PKI-basierte Vertrauensspeicher ist skalierbar und unterstützt neue Funktionen, z. B. Ausstellerhinweise.

Eine für die Administration zuständige Person muss die vertrauenswürdigen Zertifizierungsstellen konfigurieren, die Benutzerzertifikate ausstellen. Es sind nur Administratoren mit den geringsten Rechten erforderlich, um Änderungen vorzunehmen. Einem PKI-basierten Vertrauensspeicher wird die Rolle "Privileged Authentication Administrator " zugewiesen.

Das PKI-Uploadfeature des PKI-basierten Vertrauensspeichers ist nur mit einer Microsoft Entra ID P1- oder P2-Lizenz verfügbar. Mit der Microsoft Entra kostenlosen Lizenz kann ein Administrator jedoch alle CAs einzeln hochladen, anstatt eine PKI-Datei hochzuladen. Anschließend können sie den PKI-basierten Vertrauensspeicher konfigurieren und ihre hochgeladenen CA-Dateien hinzufügen.

Konfigurieren Sie CAs mithilfe des Microsoft Entra Verwaltungszentrums

Erstellen eines PKI-Containerobjekts (Microsoft Entra admin center)

So erstellen Sie ein PKI-Containerobjekt:

  1. Melden Sie sich bei dem Microsoft Entra admin center mit einem Konto an, dem die Rolle Privileged Authentication Administrator zugewiesen ist.

  2. Wechseln Sie zu Entra ID>Identity Secure Score>Public key infrastructure.

  3. Wählen Sie "PKI erstellen" aus.

  4. Geben Sie für den Anzeigenamen einen Namen ein.

  5. Wählen Sie "Erstellen" aus.

    Diagramm, das die zum Erstellen einer PKI erforderlichen Schritte zeigt.

  6. Wenn Sie Spalten hinzufügen oder löschen möchten, wählen Sie "Spalten bearbeiten" aus.

  7. Um die Liste der PKIs zu aktualisieren, wählen Sie "Aktualisieren" aus.

Löschen eines PKI-Containerobjekts

Um eine PKI zu löschen, wählen Sie die PKI und dann Löschen aus. Wenn die PKI CAs enthält, geben Sie den Namen der PKI ein, um die Löschung aller CAs in der PKI zu bestätigen. Wählen Sie dann "Löschen" aus.

Diagramm, das die zum Löschen einer PKI erforderlichen Schritte zeigt.

Hochladen einzelner CAs in ein PKI-Containerobjekt

Um eine Zertifizierungsautorität in einen PKI-Container hochzuladen:

  1. Wählen Sie "Zertifizierungsstelle hinzufügen" aus.

  2. Wählen Sie die ZS-Datei aus.

  3. E-Mail als alternativen AnmeldeNamen aktivieren Ja. Wählen Sie andernfalls "Nein" aus.

  4. Geben Sie die URL der Zertifikatsperrliste für die internetöffentliche Basis-CRL der Zertifizierungsstelle ein, die alle widerrufenen Zertifikate enthält. Wenn die URL nicht festgelegt ist, schlägt der Versuch der Authentifizierung mit einem widerrufenen Zertifikat nicht fehl.

  5. Geben Sie für die URL der Delta-Zertifikatsperrliste die internetbezogene URL für die CRL ein, die alle widerrufenen Zertifikate enthält, seit die letzte Basis-CRL veröffentlicht wurde.

  6. Wenn die CA nicht in die Ausstellerhinweise einbezogen werden soll, schalten Sie die Ausstellerhinweise aus. Das Flag "Ausstellerhinweise" ist standardmäßig deaktiviert.

  7. Wählen Sie Speichern aus.

  8. Um eine Zertifizierungsstelle zu löschen, wählen Sie die Zertifizierungsstelle und dann "Löschen" aus.

    Diagramm zum Löschen eines CA-Zertifikats.

  9. Wenn Sie Spalten hinzufügen oder löschen möchten, wählen Sie "Spalten bearbeiten" aus.

  10. Um die Liste der PKIs zu aktualisieren, wählen Sie "Aktualisieren" aus.

Anfangs werden 100 CA-Zertifikate angezeigt. Weitere werden angezeigt, wenn Sie im Bereich nach unten scrollen.

Hochladen aller CAs in ein PKI-Containerobjekt

Um alle CAs in einen PKI-Container hochzuladen:

  1. Erstellen Sie ein PKI-Containerobjekt, oder öffnen Sie einen vorhandenen Container.

  2. Wählen Sie die Option PKI hochladen aus.

  3. Geben Sie die Internet-HTTP-URL der .p7b-Datei ein.

  4. Geben Sie die SHA-256-Prüfsumme der Datei ein.

  5. Wählen Sie „Hochladen“ aus.

    Der PKI-Uploadprozess ist asynchron. Während die einzelnen Zertifizierungsstellen hochgeladen werden, sind sie in der PKI verfügbar. Der gesamte PKI-Upload kann bis zu 30 Minuten dauern.

  6. Wählen Sie Aktualisieren aus, um die Liste der Zertifizierungsstellen zu aktualisieren.

  7. Jede hochgeladene CA CRL-Endpunkt Attribut wird mit der ersten verfügbaren HTTP-URL des CA-Zertifikats aktualisiert, die als aufgeführt ist CRL-Verteilungspunkten Attribut. Sie müssen alle Blattzertifikate manuell aktualisieren.

Um die SHA-256-Prüfsumme der PKI-Datei .p7b zu generieren, führen Sie Folgendes aus:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Bearbeiten einer PKI

  1. Wählen Sie in der Zeile PKI ... und dann "Bearbeiten" aus.
  2. Geben Sie einen neuen PKI-Namen ein.
  3. Wählen Sie Speichern aus.

Bearbeiten einer Zertifizierungsstelle

  1. Wählen Sie in der CA-Zeile ... aus und dann Bearbeiten.
  2. Geben Sie neue Werte für den CA-Typ (Root oder Intermediate), die CRL-URL, die Delta-CRL-URL oder das Flag für den Hinweis auf den Herausgeber ein, je nach Ihren Anforderungen.
  3. Wählen Sie Speichern aus.

Der Herausgeber-Hinweis-Attribut im Massenverfahren bearbeiten

  1. Um mehrere Zertifizierungsstellen zu bearbeiten und das Attribut 'Ausstellerhinweise aktiviert' ein- oder auszuschalten, wählen Sie mehrere Zertifizierungsstellen aus.
  2. Wählen Sie "Bearbeiten" und dann " Ausstellerhinweise bearbeiten" aus.
  3. Aktivieren Sie das Kontrollkästchen "Aktivierte Ausstellerhinweise" für alle ausgewählten Zertifizierungsstellen oder deaktivieren Sie die Auswahl, um die Markierung "Aktivierte Ausstellerhinweise" für alle ausgewählten Zertifizierungsstellen zu deaktivieren. Der Standardwert ist unbestimmt.
  4. Wählen Sie Speichern aus.

Wiederherstellen einer PKI

  1. Wählen Sie die Registerkarte Gelöschte PKIs aus.
  2. Wählen Sie die PKI und dann PKI wiederherstellen aus.

Wiederherstellen einer Zertifizierungsstelle

  1. Wählen Sie die Registerkarte Gelöschte Zertifizierungsstellen aus.
  2. Wählen Sie die Zertifizierungsstelle-Datei aus, und wählen Sie dann " Zertifizierungsstelle wiederherstellen" aus.

Konfigurieren des isIssuerHintEnabled-Attributs für eine Zertifizierungsstelle

Aussteller-Hints senden eine vertrauenswürdiger CA Indikator als Teil des Transport Layer Security (TLS) Handshake. Die Liste der vertrauenswürdigen CAs ist auf den Betreff der CAs gesetzt, die der Mandant in den Microsoft Entra Trust Store hochlädt. Weitere Informationen finden Sie unter "Grundlegendes zu Ausstellerhinweisen".

Standardmäßig werden die Antragstellernamen aller CAs im Microsoft Entra-Vertrauensspeicher als Hinweise gesendet. Wenn Sie einen Hinweis nur für bestimmte Zertifizierungsstellen zurücksenden möchten, legen Sie das Attribut für den Ausstellerhinweis isIssuerHintEnabled auf true.

Der Server kann dem TLS-Client eine maximale Antwort von 16 KB für die Ausstellerhinweise (den Namen des ZertifizierungsstellenSubjekts) zurücksenden. Wir empfehlen Ihnen, das isIssuerHintEnabled Attribut zu true nur für die CAs, die Benutzerzertifikate ausstellen.

Wenn mehrere Zwischenzertifizierungsstellen aus demselben Stammzertifikat Benutzerzertifikate ausstellen, werden standardmäßig alle Zertifikate in der Zertifikatauswahl angezeigt. Wenn Sie festlegen isIssuerHintEnabled to true für bestimmte CAs werden im Zertifikatauswahlfeld nur die relevanten Benutzerzertifikate angezeigt.

Konfigurieren von CAs mithilfe von Microsoft Graph-APIs

Die folgenden Beispiele zeigen, wie Sie Microsoft Graph zum Ausführen von Create-, Read-, Update- und Delete-Vorgängen (CRUD) über HTTP-Methoden für eine PKI oder eine Zertifizierungsstelle verwenden.

Erstellen eines PKI-Containerobjekts (Microsoft Graph)

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Abrufen aller PKI-Objekte

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Abrufen eines PKI-Objekts nach PKI-ID

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/
ConsistencyLevel: eventual

Hochladen von CAs mithilfe einer P7b-Datei

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-id>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
     "uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
     "sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Abrufen aller Zertifizierungsstellen in einer PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities
ConsistencyLevel: eventual

Eine bestimmte Zertifizierungsstelle in einer PKI anhand der CA-ID abrufen

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
ConsistencyLevel: eventual

Aktualisieren eines spezifischen CA-Aussteller-Hinweisflags

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Konfigurieren von CAs mithilfe von PowerShell

Verwenden Sie für diese Schritte Microsoft Graph PowerShell.

  1. Starten Sie PowerShell mithilfe der Option "Als Administrator ausführen ".

  2. Installieren und importieren Sie die Microsoft Graph PowerShell SDK:

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Stellen Sie eine Verbindung mit dem Mandanten her und akzeptieren Sie alle:

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Priorisierung zwischen einem PKI-basierten Vertrauensspeicher und einem klassischen Zertifizierungsstellenspeicher

Wenn eine CA sowohl in einem PKI-basierten CA-Speicher als auch in einem klassischen CA-Speicher vorhanden ist, wird der PKI-basierte Trust Store priorisiert.

Ein klassischer CA-Speicher wird in diesen Szenarien priorisiert:

  • Ein CA befindet sich auf beiden Speichern. Der PKI-basierte Speicher hat keine CRL, aber der klassische Speicher-CA hat eine gültige CRL.
  • Eine CA ist in beiden Stores vorhanden, und die PKI-basierte CA-CRL unterscheidet sich von der klassischen Store-CA-CRL.

Anmeldeprotokoll

Ein unterbrochener Microsoft Entra-Anmeldeprotokolleintrag hat zwei Attribute unter Additional Details, um anzugeben, ob der klassische oder der Legacy-Vertrauensspeicher während der Authentifizierung überhaupt verwendet wurde.

  • Wird Legacy Store verwendet hat einen Wert von 0, um anzugeben, dass ein auf PKI basierender Store verwendet wird. Ein Wert von 1 gibt an, dass ein klassischer oder älteren Speicher verwendet wird.
  • LegacySpeicherverwendungsinformationen zeigen den Grund an, warum der klassische oder ältere Speicher verwendet wird.

Screenshot eines Anmeldeprotokoll-Eintrags für die Nutzung eines PKI-basierten Speichers oder eines klassischen CA-Speichers

Überwachungsprotokoll

alle CRUD-Vorgänge, die Sie auf einer PKI oder CA innerhalb des Trust Store ausführen, werden in den Microsoft Entra-Auditprotokollen angezeigt.

Screenshot des Bereichs

Migrieren von einem klassischen Zertifizierungsstellenspeicher zu einem PKI-basierten Speicher

Ein Mandantenadministrator kann alle CAs in den PKI-basierten Speicher hochladen. Der PKI-Zertifizierungsspeicher hat dann Vorrang vor einem klassischen Speicher, und alle CBA-Authentifizierung erfolgt über den PKI-basierten Speicher. Ein Mandantenadministrator kann die CAs aus einem klassischen oder älteren Speicher entfernen, nachdem sie bestätigt haben, dass in den Anmeldeprotokollen kein Hinweis darauf besteht, dass der klassische oder ältere Speicher verwendet wurde.

Häufig gestellte Fragen

Warum schlägt der PKI-Upload fehl?

Überprüfen Sie, ob die PKI-Datei gültig ist und ohne Probleme darauf zugegriffen werden kann. Die maximale Größe der PKI-Datei beträgt 2 MB (250 CAs und 8 KB für jedes CA-Objekt).

Was ist der Servicelevelvertrag für den PKI-Upload?

Der PKI-Upload ist ein asynchroner Vorgang und kann bis zu 30 Minuten dauern.

Wie kann ich eine SHA-256-Prüfsumme für eine PKI-Datei generieren?

Führen Sie den folgenden Befehl aus, um die SHA-256-Prüfsumme der PKI-Datei .p7b zu generieren:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Schritt 2: Aktivieren der CBA für den Mandanten

Wichtig

Ein Benutzer gilt als fähig zur Durchführung von MFA, wenn der Benutzer in der Authentifizierungsmethodenrichtlinie für CBA im Geltungsbereich liegt. Diese Richtlinienanforderung bedeutet, dass ein Benutzer den Identitätsnachweis nicht als Teil seiner Authentifizierung verwenden kann, um andere verfügbare Methoden zu registrieren. Wenn der Benutzer keinen Zugriff auf Zertifikate hat, ist er gesperrt und kann keine anderen Methoden für MFA registrieren. Administratoren, denen die Rolle "Authentifizierungsrichtlinienadministrator" zugewiesen ist, müssen die CBA nur für Benutzer aktivieren, die über gültige Zertifikate verfügen. Schließen Sie nicht alle Benutzer für die zertifikatbasierte Authentifizierung ein. Verwenden Sie nur Gruppen von Benutzern, die über gültige Zertifikate verfügen. Weitere Informationen finden Sie unter Microsoft Entra mehrstufige Authentifizierung.

So aktivieren Sie CBA über das Microsoft Entra Admin Center:

  1. Melden Sie sich bei der Microsoft Entra admin center mit einem Konto an, dem mindestens die Rolle Authentication Policy Administrator zugewiesen ist.

  2. Wechseln Sie zu "Alle>Gruppen".

  3. Wählen Sie "Neue Gruppe" aus, und erstellen Sie eine Gruppe für CBA-Benutzer.

  4. Wechseln Sie zu Entra ID>Authentication-Methoden>Certificate-based authentication.

  5. Wählen Sie unter "Aktivieren" und "Ziel" die Option "Aktivieren" und dann das Kontrollkästchen "Ich bestätigen" aus.

  6. Wählen Sie Gruppen auswählen>Gruppen hinzufügen aus.

  7. Wählen Sie bestimmte Gruppen aus, z. B. die von Ihnen erstellte Gruppe, und wählen Sie dann "Auswählen" aus. Verwenden Sie bestimmte Gruppen anstelle aller Benutzer.

  8. Wählen Sie Speichern aus.

    Screenshot, der zeigt, wie Sie die CBA aktivieren.

Nachdem CBA für den Mandanten aktiviert ist, sehen alle Benutzer im Mandanten die Option zum Anmelden mithilfe eines Zertifikats. Nur Benutzer, die CBA verwenden können, können sich mit einem X.509-Zertifikat authentifizieren.

Hinweis

Der Netzwerkadministrator sollte zusätzlich zum login.microsoftonline.com Endpunkt der Zertifikatauthentifizierung den Zugriff auf den Zertifikatauthentifizierungsendpunkt für die Cloudumgebung der Organisation zulassen. Deaktivieren Sie die TLS-Überprüfung auf dem Zertifikatauthentifizierungsendpunkt, um sicherzustellen, dass die Clientzertifikatanforderung als Teil des TLS-Handshake erfolgreich ist.

Schritt 3: Konfigurieren einer Authentifizierungsbindungsrichtlinie

Eine Authentifizierungsbindungsrichtlinie hilft dabei, die Stärke der Authentifizierung entweder auf einen einzelnen Faktor oder auf MFA festzulegen. Die Standard-Schutzstufe für alle Zertifikate im Mandanten ist die Multi-Faktor-Authentifizierung.

Die Standardmäßige Affinitätsbindung auf Mandantenebene ist eine niedrige Affinität. Ein Authentifizierungsrichtlinienadministrator kann den Standardwert von der einzelstufigen Authentifizierung in MFA ändern. Falls sich die Schutzebene ändert, werden alle Zertifikate des Mandanten auf Multi-Faktor-Authentifizierung (MFA) umgestellt. Ebenso kann die Affinitätsbindung auf Mandantenebene auf hohe Affinität festgelegt werden. Alle Zertifikate werden dann mithilfe von Attributen mit hoher Affinität überprüft.

Wichtig

Ein Administrator muss den Mandantenstandard auf einen Wert festlegen, der für die meisten Zertifikate gilt. Erstellen Sie benutzerdefinierte Regeln nur für bestimmte Zertifikate, die eine andere Schutzstufe oder Affinitätsbindung benötigen als die Mandantenstandardeinstellung. Alle Konfigurationen von Authentifizierungsmethoden befinden sich in derselben Richtliniendatei. Das Erstellen mehrerer redundanter Regeln überschreitet möglicherweise den Grenzwert für die Richtliniendatei.

Authentifizierungsbindungsregeln ordnen Zertifikatattribute wie Issuer, Policy Object ID (OID) und Issuer and Policy OID einem angegebenen Wert zu. Die Regeln legen die Standardschutzebene und die Affinitätsbindung für diese Regel fest.

So ändern Sie die Standardmandanteneinstellungen und erstellen benutzerdefinierte Regeln über das Microsoft Entra Admin Center:

  1. Melden Sie sich bei der Microsoft Entra admin center mit einem Konto an, dem mindestens die Rolle Authentication Policy Administrator zugewiesen ist.

  2. Wechseln Sie zu Entra ID>Authentication-Methoden>Policies.

  3. Wählen Sie unter "Migrationen verwalten" die Zertifikatbasierte Authentifizierungsmethoden> aus.

    Screenshot, der zeigt, wie eine Authentifizierungsrichtlinie festgelegt wird.

  4. Um die Authentifizierungsbindung und die Benutzernamenbindung einzurichten, wählen Sie "Konfigurieren" aus.

  5. Um den Standardwert in MFA zu ändern, wählen Sie die mehrstufige Authentifizierung aus. Das Schutzebenenattribut weist den Standardwert Einstufige Authentifizierung auf.

    Hinweis

    Die Standardschutzebene ist wirksam, wenn keine benutzerdefinierten Regeln hinzugefügt werden. Wenn Sie eine benutzerdefinierte Regel hinzufügen, wird die auf der Regelebene definierte Schutzebene anstelle der Standardschutzebene berücksichtigt.

    Screenshot, der zeigt, wie Sie die Standardauthentifizierungsrichtlinie in MFA ändern.

  6. Sie können auch benutzerdefinierte Authentifizierungsbindungsregeln einrichten, um die Schutzebene für Clientzertifikate zu ermitteln, die unterschiedliche Werte für Schutzebene oder Affinitätsbindung benötigen als die Mandantenstandardeinstellung. Sie können die Regeln konfigurieren, indem Sie entweder den AusstellerSubjekt- oder den Richtlinien-OID oder beide Felder im Zertifikat verwenden.

    Authentifizierungsbindungsregeln ordnen die Zertifikatattribute (Aussteller oder Richtlinien-OID) einem Wert zu. Der Wert legt die Standardschutzebene für diese Regel fest. Es können mehrere Regeln erstellt werden. Im folgenden Beispiel wird davon ausgegangen, dass die Mandantenstandardeinstellung ist Richtlinienvorlage für die Verwaltung der und niedrig für Affinitätsbindung

    Um benutzerdefinierte Regeln hinzuzufügen, wählen Sie Regel hinzufügen aus.

    Screenshot, der zeigt, wie eine benutzerdefinierte Regel hinzugefügt wird.

    So erstellen Sie eine Regel nach Zertifikataussteller:

    1. Wählen Sie den Zertifikataussteller aus.

    2. Wählen Sie für den Zertifikatausstellerbezeichner einen relevanten Wert aus.

    3. Wählen Sie für die Authentifizierungsstärke die mehrstufige Authentifizierung aus.

    4. Wählen Sie für die Affinitätsbindung"Niedrig" aus.

    5. Wählen Sie Hinzufügen aus.

    6. Wenn Sie dazu aufgefordert werden, aktivieren Sie das Kontrollkästchen "Ich bestätigen ", um die Regel hinzuzufügen.

      Screenshot, der zeigt, wie eine MFA-Richtlinie einer Bindung mit hoher Affinität zugeordnet wird.

    So erstellen Sie eine Regel nach Richtlinien-OID:

    1. Wählen Sie "Richtlinien-OID" aus.

    2. Geben Sie für Policy OID einen Wert ein.

    3. Wählen Sie für die Authentifizierungsstärkedie einzelstufige Authentifizierung aus.

    4. Wählen Sie für Affinitätsbindungdie Option "Niedrig " für die Affinitätsbindung aus.

    5. Wählen Sie Hinzufügen aus.

    6. Wenn Sie dazu aufgefordert werden, aktivieren Sie das Kontrollkästchen "Ich bestätigen ", um die Regel hinzuzufügen.

      Screenshot, der die Zuordnung zum Richtlinien-OID mit einer Bindung mit geringer Affinität zeigt.

    Überprüfen Sie den RegistrierungsStatus nach dem Aktualisieren:

    1. Wählen Sie den Zertifikataussteller und die Richtlinien-OID aus.

    2. Wählen Sie einen Aussteller aus, und geben Sie die Richtlinien-OID ein.

    3. Wählen Sie für die Authentifizierungsstärke die mehrstufige Authentifizierung aus.

    4. Wählen Sie für die Affinitätsbindung"Niedrig" aus.

    5. Wählen Sie Hinzufügen aus.

      Screenshot, der zeigt, wie Sie eine Bindung mit niedriger Affinität auswählen.

      Screenshot, der zeigt, wie Sie eine Bindung mit niedriger Affinität hinzufügen.

    6. Authentifizieren Sie sich mit einem Zertifikat, das eine Richtlinien-OID von 3.4.5.6 hat und von CN=CBATestRootProd ausgestellt wird. Überprüfen Sie, ob die Authentifizierung für einen Mehrfaktoranspruch erfolgreich ist.

    So erstellen Sie eine Regel nach Aussteller und Seriennummer:

    1. Hinzufügen einer Authentifizierungsbindungsrichtlinie Die Richtlinie erfordert, dass jedes Zertifikat, das von CN=CBATestRootProd mit einer Richtlinien-OID von 1.2.3.4.6 ausgestellt wurde, nur eine Bindung mit hoher Affinität benötigt. Der Aussteller und die Seriennummer werden verwendet.

      Screenshot, der den Aussteller und die Seriennummer anzeigt, die im Microsoft Entra Admin Center hinzugefügt wurden.

    2. Wählen Sie das Zertifikatfeld aus. Wählen Sie in diesem Beispiel "Aussteller" und "Seriennummer" aus.

      Screenshot, der zeigt, wie Aussteller und Seriennummer ausgewählt werden.

    3. Das einzige unterstützte Benutzerattribute ist certificateUserIds. Wählen Sie certificateUserIds und wählen Sie Hinzufügen aus.

      Screenshot, der zeigt, wie Aussteller und Seriennummer hinzugefügt werden.

    4. Wählen Sie Speichern aus.

      Das Anmeldeprotokoll zeigt an, welche Bindung für die Anmeldung und die Details aus dem Zertifikat verwendet wurde.

      Screenshot mit Details des Anmeldeprotokolls.

  7. Wählen Sie "OK" aus, um benutzerdefinierte Regeln zu speichern.

Wichtig

Geben Sie die Richtlinien-OID mithilfe des Objektbezeichnerformats ein. gesetzt ist. Wenn beispielsweise die Zertifikatsrichtlinie besagt alle Ausstellungsrichtlinien, geben Sie die Richtlinien-OID als 2.5.29.32.0 beim Hinzufügen der Regel. Die Zeichenfolge Alle Ausstellungsrichtlinien ist für den Regel-Editor ungültig und nicht wirksam.

Schritt 4: Konfigurieren der Richtlinie für die Benutzernamenbindung

Die Richtlinie für die Benutzernamenbindung hilft beim Überprüfen des Zertifikats eines Benutzers. Um den Benutzer zu ermitteln, ordnen Sie den Prinzipalnamen im Zertifikat standardmäßig dem Benutzerobjekt zu userPrincipalName .

Ein Authentifizierungsrichtlinienadministrator kann die Standardeinstellung überschreiben und eine benutzerdefinierte Zuordnung erstellen. Weitere Informationen finden Sie unter Funktionsweise der Benutzernamenbindung.

Weitere Szenarien, die das certificateUserIds Attribut verwenden, finden Sie unter Zertifikatbenutzer-IDs.

Wichtig

Wenn eine Benutzernamenbindungsrichtlinie synchronisierte Attribute wie certificateUserIds, onPremisesUserPrincipalName und das attribut userPrincipalName des Benutzerobjekts verwendet, können Konten, die über Administratorberechtigungen in lokalen Windows Server Active Directory verfügen, Änderungen vornehmen, die sich auf diese Attribute in Microsoft Entra ID auswirken. Konten mit delegierten Rechten für Benutzerobjekte oder eine Administratorrolle auf Microsoft Entra Connect Server können diese Arten von Änderungen vornehmen.

  1. Erstellen Sie die Benutzernamenbindung, indem Sie eines der X.509-Zertifikatfelder auswählen, um eine Bindung mit einem der Benutzerattribute herzustellen. Die Reihenfolge der Benutzernamenbindung stellt die Prioritätsebene der Bindung dar. Die erste Benutzernamenbindung hat die höchste Priorität usw.

    Screenshot einer Richtlinie für die Benutzernamenbindung.

    Wenn das angegebene X.509-Zertifikatfeld im Zertifikat gefunden wird, aber Microsoft Entra ID kein Benutzerobjekt mit einem entsprechenden Wert findet, schlägt die Authentifizierung fehl. Anschließend versucht Microsoft Entra ID die nächste Bindung in der Liste.

  2. Wählen Sie Speichern aus.

Ihre endgültige Konfiguration sieht ähnlich wie in diesem Beispiel aus:

Screenshot der endgültigen Konfiguration.

Schritt 5: Testen der Konfiguration

In diesem Abschnitt wird beschrieben, wie Sie Ihre Zertifikat- und benutzerdefinierten Authentifizierungsbindungsregeln testen.

Testen Ihres Zertifikats

Versuchen Sie im ersten Konfigurationstest, sich mit Ihrem Gerätebrowser beim MyApps-Portal anzumelden.

  1. Geben Sie Ihren Benutzerprinzipalnamen (UPN) ein.

    stammt aus verschiedenen Bedingungen, darunter:

  2. Wählen Sie Weiter aus.

    Screenshot, der eine Anmeldung mithilfe eines Zertifikats zeigt.

    Wenn Sie andere Authentifizierungsmethoden verfügbar gemacht haben, z. B. die Telefonanmeldung oder FIDO2, wird ihren Benutzern möglicherweise ein anderes Anmeldedialogfeld angezeigt.

    Screenshot eines alternativen Anmeldedialogfelds.

  3. Klicken Sie auf Mit Zertifikat anmelden.

  4. Wählen Sie das richtige Benutzerzertifikat in der Benutzeroberfläche für die Clientzertifikatauswahl aus, und wählen Sie "OK" aus.

    Screenshot der Benutzeroberfläche der Zertifikatauswahl.

  5. Vergewissern Sie sich, dass Sie beim MyApps-Portal angemeldet sind.

Wenn die Anmeldung erfolgreich ist, wissen Sie:

  • Das Benutzerzertifikat wird auf Ihrem Testgerät bereitgestellt.
  • Microsoft Entra ID ist ordnungsgemäß für die Verwendung vertrauenswürdiger CAs konfiguriert.
  • Die Benutzernamenbindung ist ordnungsgemäß konfiguriert. Der Benutzer wird gefunden und authentifiziert.

Testen von benutzerdefinierten Authentifizierungsbindungsregeln

Führen Sie als Nächstes ein Szenario aus, in dem Sie eine starke Authentifizierung überprüfen. Sie erstellen zwei Authentifizierungsrichtlinienregeln: eine, indem Sie einen Aussteller verwenden, der die einzelstufige Authentifizierung erfüllt, und eine andere mithilfe der Richtlinie OID, um die mehrstufige Authentifizierung zu erfüllen.

  1. Erstellen Sie eine Aussteller-Subjektsregel mit einer Schutzstufe der Einzelfaktor-Authentifizierung. Legen Sie den Wert auf Ihren CA-Subjektwert fest.

    Zum Beispiel:

    CN=WoodgroveCA

  2. Erstellen Sie eine Richtlinien-OID-Regel mit einer Schutzebene für die mehrstufige Authentifizierung. Legen Sie den Wert auf eine der Richtlinien-OIDs in Ihrem Zertifikat fest. Beispiel ist 1.2.3.4.

    Screenshot, der eine Richtlinien-OID-Regel zeigt.

  3. Erstellen Sie eine Microsoft Entra-Conditional-Access-Richtlinie, um Multi-Faktor-Authentifizierung (MFA) für den Benutzer erforderlich zu machen. Führen Sie die unter "Bedingten Zugriff" beschriebenen Schritte aus: MFA erforderlich.

  4. Wechseln Sie zum Portal "MyApps". Geben Sie Ihren UPN ein, und wählen Sie Weiter aus.

    stammt aus verschiedenen Bedingungen, darunter:

  5. Wählen Sie "Zertifikat oder Smartcard verwenden" aus.

    Screenshot der Anmeldung mithilfe eines Zertifikats.

    Wenn Sie andere Authentifizierungsmethoden verfügbar gemacht haben, z. B. die Telefonanmeldung oder Sicherheitsschlüssel, wird ihren Benutzern möglicherweise ein anderes Anmeldedialogfeld angezeigt.

    Screenshot der alternativen Anmeldung.

  6. Wählen Sie das Clientzertifikat aus, und wählen Sie dann "Zertifikatinformationen" aus.

    Screenshot that zeigt die client picker.

    Das Zertifikat wird angezeigt, und Sie können den Aussteller und OID-Werte der Richtlinie überprüfen.

    Screenshot, der den Aussteller zeigt.

  7. Um Richtlinien-OID-Werte anzuzeigen, wählen Sie "Details" aus.

    Screenshot der Authentifizierungsdetails.

  8. Wählen Sie das Clientzertifikat aus, und wählen Sie OK.

Die Richtlinien-OID im Zertifikat entspricht dem konfigurierten Wert 1.2.3.4 und erfüllt MFA. Der Aussteller im Zertifikat stimmt mit dem konfigurierten Wert von überein CN=WoodgroveCA und erfüllt die einstufige Authentifizierung.

Da die Richtlinien-OID-Regel Vorrang vor der Ausstellerregel hat, erfüllt das Zertifikat die Anforderungen der Multi-Faktor-Authentifizierung.

Die Richtlinie für den bedingten Zugriff für den Benutzer erfordert MFA und das Zertifikat erfüllt MFA, sodass sich der Benutzer bei der Anwendung anmelden kann.

Die Richtlinie für Benutzernamebindung testen

Die Bindungsrichtlinie für Benutzernamen hilft beim Überprüfen des Benutzerzertifikats. Für die Richtlinie für die Benutzernamenbindung werden drei Bindungen unterstützt:

  • IssuerAndSerialNumber > certificateUserIds
  • IssuerAndSubject > certificateUserIds
  • Subject > certificateUserIds

Standardmäßig ordnet Microsoft Entra ID PrinzipalName im Zertifikat userPrincipalName im Benutzerobjekt, um den Benutzer zu bestimmen. Ein Authentifizierungsrichtlinienadministrator kann die Standardeinstellung außer Kraft setzen und wie zuvor beschrieben eine benutzerdefinierte Zuordnung erstellen.

Ein Authentifizierungsrichtlinienadministrator muss die neuen Bindungen einrichten. Zur Vorbereitung müssen sie sicherstellen, dass die richtigen Werte für die entsprechenden Benutzernamenbindungen im certificateUserIds Attribut des Benutzerobjekts aktualisiert werden:

Wichtig

Das Format der Werte " Aussteller", " Betreff" und " Seriennummer " muss in umgekehrter Reihenfolge des Formats im Zertifikat vorliegen. Fügen Sie keine Leerzeichen in den Aussteller - oder Betreffwerten hinzu.

Manuelle Zuordnung von Ausstellern und Seriennummern

Im folgenden Beispiel wird die manuelle Zuordnung von Ausstellern und Seriennummern veranschaulicht.

Die Aussteller hinzuzufügender Wert ist:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Screenshot, der die manuelle Zuordnung für den Aussteller-Wert zeigt.

Führen Sie den folgenden Befehl aus, um den richtigen Wert für die Seriennummer abzurufen. Speichern Sie den Wert, der in certificateUserIds angezeigt wird.

Die Befehlssyntax ist wie folgt:

certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Zum Beispiel:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Hier ist ein Beispiel für den certutil Befehl:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Der hinzuzufügende Wert der Seriennummer in certificateUserId lautet:

b24134139f069b49997212a86ba0ef48

Der certificateUserIds Wert lautet:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Manuelle Zuordnung von Ausstellern und Themen

Im folgenden Beispiel wird die manuelle Zuordnung von Ausstellern und Subjekten veranschaulicht.

Der Ausstellerwert lautet:

Screenshot, der den Ausstellerwert zeigt, wenn er mit mehreren Bindungen verwendet wird

Der Betreffwert lautet:

Screenshot, der den Betreffwert zeigt.

Der certificateUserId Wert lautet:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Manuelle Subject-Zuordnung

Im folgenden Beispiel wird die manuelle Subjekt-Zuordnung veranschaulicht.

Der Betreffwert lautet:

Screenshot, der einen anderen Subject-Wert anzeigt.

Der certificateUserIds Wert lautet:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testen der Affinitätsbindung

  1. Melden Sie sich bei der Microsoft Entra admin center mit einem Konto an, dem mindestens die Rolle Authentication Policy Administrator zugewiesen ist.

  2. Wechseln Sie zu Entra ID>Authentication-Methoden>Policies.

  3. Wählen Sie unter "Verwalten" die Zertifikatbasierte Authentifizierungsmethoden> aus.

  4. Wählen Sie Konfigurierenaus.

  5. Legen Sie die erforderliche Affinitätsbindung auf Mandantenebene fest.

    Wichtig

    Achten Sie bei der mandantenweiten Affinitätseinstellung darauf. Sie können den gesamten Mandanten sperren, wenn Sie den Erforderlichen Affinitätsbindungswert für den Mandanten ändern und keine korrekten Werte im Benutzerobjekt haben. Ebenso können Benutzer im Mandanten ausgesperrt werden, wenn Sie eine benutzerdefinierte Regel erstellen, die für alle Benutzer gilt und eine hohe Affinitätsbindung erfordert.

    Screenshot, der zeigt, wie die erforderliche Affinitätsbindung festgelegt wird.

  6. Um zu testen, wählen Sie für die erforderliche Affinitätsbindung"Niedrig" aus.

  7. Fügen Sie eine hochaffine Bindung hinzu, z. B. einen Subject Key Identifier (SKI). Wählen Sie unter "Benutzernamenbindung" die Option "Regel hinzufügen" aus.

  8. Wählen Sie SKI und dann Hinzufügen aus.

    Screenshot, der zeigt, wie Eine Affinitätsbindung hinzugefügt wird.

    Wenn sie fertig sind, sieht die Regel ähnlich wie in diesem Beispiel aus:

    Screenshot einer abgeschlossenen Affinitätsbindung.

  9. Aktualisieren Sie das certificateUserIds Attribut für alle Benutzerobjekte mit dem richtigen SKI-Wert aus dem Benutzerzertifikat.

    Weitere Informationen finden Sie unter Unterstützte Muster für CertificateUserIDs.

  10. Erstellen Sie eine benutzerdefinierte Regel für die Authentifizierungsbindung.

  11. Wählen Sie Hinzufügen aus.

    Screenshot einer benutzerdefinierten Authentifizierungsbindung.

    Überprüfen Sie, ob die abgeschlossene Regel ähnlich wie in diesem Beispiel aussieht:

    Screenshot einer benutzerdefinierten Regel.

  12. Aktualisieren Sie den Benutzer certificateUserIds Wert mit dem richtigen SKI-Wert aus dem Zertifikat und der Richtlinien-OID von 9.8.7.5.

  13. Testen Sie mithilfe eines Zertifikats mit Richtlinien-OID von 9.8.7.5. Stellen Sie sicher, dass der Benutzer mit der SKI-Bindung authentifiziert ist und dass er aufgefordert wird, sich mit MFA und nur dem Zertifikat anzumelden.

Einrichten von CBA mithilfe von Microsoft Graph-APIs

So richten Sie CBA ein und konfigurieren Benutzernamenbindungen mithilfe von Microsoft Graph APIs:

  1. Wechseln Sie zu Microsoft Graph Explorer.

  2. Wählen Sie "Bei Graph Explorer anmelden" aus, und melden Sie sich bei Ihrem Mandanten an.

  3. Führen Sie die Schritte aus, um der Policy.ReadWrite.AuthenticationMethod delegierten Berechtigung zuzustimmen.

  4. Rufen Sie alle Authentifizierungsmethoden ab:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. Abrufen der Konfiguration für die Authentifizierungsmethode des X.509-Zertifikats:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Standardmäßig ist die X.509-Zertifikatauthentifizierungsmethode deaktiviert. Damit sich Benutzer mithilfe eines Zertifikats anmelden können, müssen Sie die Authentifizierungsmethode aktivieren und die Authentifizierungs- und Benutzernamenbindungsrichtlinien über einen Aktualisierungsvorgang konfigurieren. Um die Richtlinie zu aktualisieren, führen Sie eine PATCH Anfrage aus.

    Anforderungstext

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Stellen Sie sicher, dass ein 204 No content Antwortcode zurückgegeben wird. Führen Sie die GET Anforderung erneut aus, um sicherzustellen, dass die Richtlinien ordnungsgemäß aktualisiert werden.

  8. Testen Sie die Konfiguration, indem Sie sich mit einem Zertifikat anmelden, das die Richtlinie erfüllt.

Einrichten der CBA mithilfe von Microsoft PowerShell

  1. Öffnen Sie PowerShell.

  2. Herstellen einer Verbindung mit Microsoft Graph:

    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"

  3. Erstellen Sie eine Variable, die zum Definieren einer Gruppe für CBA-Benutzer verwendet werden soll:

    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"

  4. Definieren Sie den Anforderungskörper:

    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5

  5. Führen Sie die PATCH Anforderung aus:

    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Verwandte Inhalte

  • Last updated on