Konfigurera Microsoft Entra certifikatbaserad autentisering

Din organisation kan implementera nätfiskeresistent, modern och lösenordsfri autentisering via X.509-användarcertifikat med hjälp av Microsoft Entra certifikatbaserad autentisering (CBA).

I den här artikeln lär du dig hur du konfigurerar din Microsoft Entra klientorganisation för att antingen tillåta eller kräva att klientanvändare autentiserar med hjälp av X.509-certifikat. En användare skapar ett X.509-certifikat med hjälp av en företagsinfrastruktur för offentliga nycklar (PKI) för program- och webbläsarinloggning.

När Microsoft Entra CBA har konfigurerats ser en användare under inloggningen ett alternativ för att autentisera med hjälp av ett certifikat i stället för genom att ange ett lösenord. Om flera matchande certifikat finns på enheten väljer användaren det relevanta certifikatet och certifikatet verifieras mot användarkontot. Om valideringen lyckas loggar användaren in.

Slutför stegen som beskrivs i den här artikeln för att konfigurera och använda Microsoft Entra CBA för klienter i Office 365 Enterprise- och US Government-planer. Du måste redan ha en PKI konfigurerad.

Förutsättningar

Kontrollera att följande förutsättningar är uppfyllda:

  • Minst en certifikatutfärdare (CA) och eventuella mellanliggande certifikatutfärdare konfigureras i Microsoft Entra ID.
  • Användaren har åtkomst till ett användarcertifikat som utfärdats från en betrodd PKI som konfigurerats för klientorganisationen som är avsedd för klientautentisering i Microsoft Entra ID.
  • Varje certifikatutfärdare har en lista över återkallade certifikat (CRL) som kan refereras från Internetuppkopplade URL:er. Om den betrodda certifikatutfärdaren inte har en CRL konfigurerad, utför Microsoft Entra ID ingen CRL-kontroll, återkallande av användarcertifikat fungerar inte och autentiseringen förhindras inte.

Överväganden

  • Kontrollera att PKI:en är säker och inte lätt att kompromettera. Om ett intrång inträffar kan angriparen skapa och signera klientcertifikat och kompromettera alla användare i klientorganisationen, inklusive användare som synkroniseras lokalt. En stark strategi för nyckelskydd och andra fysiska och logiska kontroller kan ge skydd på djupet för att förhindra att externa angripare eller insiderhot äventyrar PKI:s integritet. Mer information finns i Skydda PKI.

  • Metodtips för Microsoft kryptografi, inklusive val av algoritm, nyckellängd och dataskydd, finns i Microsoft rekommendationer. Se till att använda en av de rekommenderade algoritmerna, en rekommenderad nyckellängd och NIST-godkända kurvor.

  • Som en del av pågående säkerhetsförbättringar har Azure och Microsoft 365 slutpunkter lagt till stöd för TLS 1.3. Processen förväntas ta några månader att täcka de tusentals tjänstslutpunkterna i Azure och Microsoft 365. Den Microsoft Entra slutpunkt som Microsoft Entra CBA använder ingår i uppdateringen: *.certauth.login.microsoftonline.com och *.certauth.login.microsoftonline.us.

    TLS 1.3 är den senaste versionen av Internets vanligaste distribuerade säkerhetsprotokoll. TLS 1.3 krypterar data för att tillhandahålla en säker kommunikationskanal mellan två slutpunkter. Den eliminerar föråldrade kryptografiska algoritmer, förbättrar säkerheten i tidigare versioner och krypterar så mycket av handskakningen som möjligt. Vi rekommenderar starkt att du börjar testa TLS 1.3 i dina program och tjänster.

  • När du utvärderar en PKI är det viktigt att granska certifikatutfärdandeprinciper och efterlevnad. Som vi beskrev tidigare tillåter tillägg av certifikatutfärdare i en Microsoft Entra konfiguration certifikat som utfärdats av dessa certifikatutfärdare att autentisera alla användare i Microsoft Entra ID.

    Det är viktigt att tänka på hur och när certifikatutfärdare tillåts utfärda certifikat och hur de implementerar återanvändbara identifierare. Administratörer behöver bara se till att ett specifikt certifikat kan användas för att autentisera en användare, men de bör uteslutande använda bindningar med hög tillhörighet för att uppnå en högre säkerhetsnivå för att endast ett specifikt certifikat kan autentisera användaren. Mer information finns i Bindningar med hög affinitet.

Konfigurera och testa Microsoft Entra CBA

Du måste slutföra några konfigurationssteg innan du aktiverar Microsoft Entra CBA.

En administratör måste konfigurera betrodda certifikatutfärdare som utfärdar användarcertifikat. Som du ser i följande diagram använder Azure rollbaserad åtkomstkontroll (RBAC) för att säkerställa att endast minst privilegierade administratörer krävs för att göra ändringar.

Viktigt!

Microsoft rekommenderar att du använder roller med minst behörighet. Den här metoden hjälper till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier eller när du inte kan använda en befintlig roll.

Du kan också konfigurera autentiseringsbindningar för att mappa certifikat till enfaktorautentisering eller multifaktorautentisering (MFA). Konfigurera användarnamnsbindningar för att mappa certifikatfältet till ett attribut för användarobjektet. En administratör för autentiseringsprinciper kan konfigurera användarrelaterade inställningar.

När alla konfigurationer är klara aktiverar du Microsoft Entra CBA på klientorganisationen.

Diagram som visar en översikt över de steg som krävs för att aktivera Microsoft Entra certifikatbaserad autentisering.

Steg 1: Konfigurera certifikatutfärdarna med ett PKI-baserat förtroendearkiv

Microsoft Entra har ett nytt PKI-baserat CA-förtroendearkiv. Förtroendelagret behåller certifikatutfärdare i ett containerobjekt för varje PKI. Administratörer kan hantera certifikatutfärdare i en container som baseras på PKI enklare än de kan hantera en platt lista över certifikatutfärdare.

Det PKI-baserade förtroendearkivet har högre gränser än det klassiska förtroendearkivet för antalet certifikatutfärdare och storleken på varje CA-fil. Ett PKI-baserat förtroendearkiv har stöd för upp till 250 certifikatutfärdare och 8 KB för varje CA-objekt.

Om du använder det klassiska förtroendearkivet för att konfigurera certifikatutfärdare rekommenderar vi starkt att du konfigurerar ett PKI-baserat förtroendearkiv. Det PKI-baserade förtroendearkivet är skalbart och har stöd för nya funktioner, till exempel tips från utfärdare.

En administratör måste konfigurera betrodda certifikatutfärdare som utfärdar användarcertifikat. Endast administratörer med minst privilegier krävs för att göra ändringar. Ett PKI-baserat förtroendearkiv tilldelas rollen Administratör för privilegierad autentisering .

PKI-uppladdningsfunktionen i det PKI-baserade förtroendearkivet är endast tillgänglig med en Microsoft Entra ID P1- eller P2-licens. Men med den Microsoft Entra kostnadsfria licensen kan en administratör ladda upp alla certifikatutfärdare individuellt i stället för genom att ladda upp en PKI-fil. Sedan kan de konfigurera det PKI-baserade förtroendearkivet och lägga till sina uppladdade CA-filer.

Konfigurera certifikatutfärdare med hjälp av Microsoft Entra administrationscenter

Skapa ett PKI-containerobjekt (Microsoft Entra administrationscenter)

Så här skapar du ett PKI-containerobjekt:

  1. Logga in på Microsoft Entra administrationscenter med ett konto som har tilldelats rollen Privileged Authentication Administrator.

  2. Gå till Entra ID>Identity Secure Score>Public key infrastructure.

  3. Välj Skapa PKI.

  4. För Visningsnamn anger du ett namn.

  5. Välj Skapa.

    Diagram som visar de steg som krävs för att skapa en PKI.

  6. Om du vill lägga till eller ta bort kolumner väljer du Redigera kolumner.

  7. Om du vill uppdatera listan över PKIs väljer du Uppdatera.

Ta bort ett PKI-containerobjekt

Om du vill ta bort en PKI väljer du PKI och väljer Ta bort. Om PKI:et innehåller certifikatutfärdare anger du namnet på PKI:t för att bekräfta borttagningen av alla certifikatutfärdare i PKI: et. Välj sedan ta bort.

Diagram som visar de steg som krävs för att ta bort en PKI.

Ladda upp enskilda certifikatutfärdare till ett PKI-containerobjekt

Så här laddar du upp en CA till en PKI-container:

  1. Välj Lägg till certifikatutfärdare.

  2. Välj CA-filen.

  3. Om certifikatutfärdare är ett rotcertifikat väljer du Ja. Annars väljer du Nej.

  4. För Certifikatets återkallelse listans URL anger du den internet-exponerade URL:en för CA-basen CRL som innehåller alla återkallade certifikat. Om URL:en inte har angetts misslyckas inte ett försök att autentisera med hjälp av ett återkallat certifikat.

  5. För URL:en för listan över återkallade deltacertifikat anger du den Internetuppkopplade URL:en för den crl som innehåller alla återkallade certifikat sedan den senaste bas-CRL:en publicerades.

  6. Om CA inte ska ingå i indikationerna för utfärdare inaktiverar du utfärdarindikationer. Flaggan Issuer hints är inaktiverad som standard.

  7. Välj Spara.

  8. Om du vill ta bort en ca väljer du certifikatet och väljer Ta bort.

    Diagram som visar hur du tar bort ett CA-certifikat.

  9. Om du vill lägga till eller ta bort kolumner väljer du Redigera kolumner.

  10. Om du vill uppdatera listan över PKIs väljer du Uppdatera.

Inledningsvis visas 100 CA-certifikat. Fler visas när du rullar ned i fönstret.

Ladda upp alla certifikatutfärdare till ett PKI-containerobjekt

Så här massuppladdar du alla certifikatutfärdare till en PKI-container:

  1. Skapa ett PKI-containerobjekt eller öppna en befintlig container.

  2. Välj Ladda upp PKI.

  3. Ange den HTTP-adress som är internetexponerad för .p7b-filen.

  4. Ange SHA-256-kontrollsumman för filen.

  5. Välj uppladdningen.

    PKI-uppladdningsprocessen är asynkron. När varje ca laddas upp är den tillgänglig i PKI:en. Hela PKI-uppladdningen kan ta upp till 30 minuter.

  6. Välj Uppdatera för att uppdatera listan över certifikatutfärdare.

  7. Varje uppladdat CA CRL-slutpunktattribut uppdateras med den första tillgängliga HTTP-URL:en för CA-certifikatet, som är listad som CRL-distributionspunktsattributet. Du måste uppdatera lövcertifikat manuellt.

Om du vill generera SHA-256-kontrollsumman för PKI-filen .p7b kör du:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Redigera en PKI

  1. På PKI-raden väljer du ... och väljer Redigera.
  2. Ange ett nytt PKI-namn.
  3. Välj Spara.

Redigera en CA

  1. På ca-raden väljer du ... och väljer Redigera.
  2. Ange nya värden för CA-typen (rot eller mellanliggande), CRL-URL:en, delta CRL-URL:en eller flaggan för aktiverade utfärdarindikatorer enligt dina behov.
  3. Välj Spara.

Massredigera utfärdarens tipsattribut

  1. Om du vill redigera flera certifikatutfärdare och aktivera eller inaktivera attributet Issuer hints enabled väljer du flera certifikatutfärdare.
  2. Välj Redigera och välj sedan Redigera tips för utfärdare.
  3. Markera kryssrutan Issuer hints enabled (Issuer hints enabled ) för alla markerade certifikatutfärdare eller avmarkera markeringen för att inaktivera flaggan Issuer hints enabled (Issuer hints enabled ) för alla valda certifikatutfärdare. Standardvärdet är Obestämd.
  4. Välj Spara.

Återställa en PKI

  1. Välj fliken Borttagna PKIs .
  2. Välj PKI och välj Återställ PKI.

Återställ en CA

  1. Välj fliken Borttagna certifikatutfärdare .
  2. Välj CA-filen och välj sedan Återställ certifikatutfärdare.

Konfigurera attributet isIssuerHintEnabled för en CA

Issuer-hänvisningar skickar tillbaka en betrodd certifikatutfärdare (CA)-indikator som en del av TLS-handskakningen (Transport Layer Security). Listan över betrodda certifikatutfärdare är inställd på de certifikatutfärdare som klientorganisationen laddar upp till Microsoft Entras förtroendearkiv. Mer information finns i Förstå ledtrådar för utfärdare.

Som standard skickas ämnesnamnen för alla certifikatutfärdare i Microsoft Entra förtroendearkiv som tips. Om du bara vill skicka tillbaka ett tips för specifika certifikatutfärdare ställer du in utfärdarens tipsattribut isIssuerHintEnabledtrue.

Servern kan skicka tillbaka ett maximalt 16 KB-svar till TLS-klienten för utfärdartipsen (certifikatmottagarens ämnesnamn). Vi rekommenderar att du anger isIssuerHintEnabled attributet till true endast för certifikatutfärdare som utfärdar användarcertifikat.

Om flera mellanliggande certifikatutfärdare från samma rotcertifikat utfärdar användarcertifikat visas som standard alla certifikat i certifikatväljaren. Om du anger isIssuerHintEnabled till true för specifika certifikatutfärdare visas endast relevanta användarcertifikat i certifikatväljaren.

Konfigurera certifikatutfärdare med hjälp av Microsoft Graph API:er

I följande exempel visas hur du använder Microsoft Graph för att köra CRUD-åtgärder (Create, Read, Update och Delete) via HTTP-metoder för en PKI eller CA.

Skapa ett PKI-containerobjekt (Microsoft Graph)

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Hämta alla PKI-objekt

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Hämta ett PKI-objekt efter PKI-ID

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/
ConsistencyLevel: eventual

Ladda upp CA:er med hjälp av .p7b-fil

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-id>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
     "uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
     "sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Hämta alla certifikatutfärdare i en PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities
ConsistencyLevel: eventual

Hämta en specifik CA i en PKI efter CA-ID

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
ConsistencyLevel: eventual

Uppdatera en specifik CA-utfärdare flaggtips

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Konfigurera certifikatutfärdare med hjälp av PowerShell

För de här stegen använder du Microsoft Graph PowerShell.

  1. Starta PowerShell med alternativet Kör som administratör .

  2. Installera och importera Microsoft Graph PowerShell SDK:

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Anslut till klientorganisationen och godkänn alla:

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Prioritering mellan ett PKI-baserat förtroendearkiv och en klassisk CA-butik

Om en CA finns i både en PKI-baserad CA-butik och en klassisk CA-butik prioriteras det PKI-baserade förtroendelagret.

En klassisk CA-butik prioriteras i följande scenarier:

  • Det finns en CA i båda lagringsplatserna; den PKI-baserade lagringsplatsen har ingen CRL, men den klassiska lagringsplatsens CA har en giltig CRL.
  • Det finns en CA på båda lagringsplatserna, och CRL för den PKI-baserade lagringsplatsens CA skiljer sig från den klassiska lagringsplatsens CA CRL.

Inloggningslogg

En Microsoft Entra-inloggningsloggpost som har avbrutits innehåller två attribut under Ytterligare Detaljer för att indikera om den klassiska eller äldre förtroendearkivet användes alls under autentiseringen.

  • Används legacy store med värdet 0 för att indikera att ett PKI-baserat arkiv används. Värdet 1 anger att ett klassiskt eller äldre arkiv används.
  • Användningsinformation för äldre lagring visar orsaken till att det klassiska eller äldre arkivet används.

Skärmbild som visar en inloggningsloggpost för användning av en PKI-baserad butik eller en klassisk CA-butik

Granskningslogg

Alla CRUD-åtgärder som du utför på en PKI eller CA i förtroendelagret visas i Microsoft Entra-loggarna.

Skärmbild som visar fönstret Granskningsloggar.

Migrera från en klassisk CA-butik till en PKI-baserad butik

En klientadministratör kan ladda upp alla CAs till PKI-butiken. PKI CA-lagret har sedan prioritet framför ett klassiskt lager och all CBA-autentisering sker via det PKI-baserade lagret. En klientadministratör kan ta bort CA:er från ett klassiskt eller äldre arkiv efter att de har bekräftat att det inte finns någon indikation i inloggningsloggarna på att det klassiska eller äldre arkivet har använts.

Vanliga frågor och svar

Varför misslyckas PKI-uppladdning?

Kontrollera att PKI-filen är giltig och att den kan nås utan problem. Den maximala storleken på PKI-filen är 2 MB (250 certifikatutfärdare och 8 KB för varje CA-objekt).

Vad är servicenivåavtalet för PKI-uppladdning?

PKI-uppladdning är en asynkron åtgärd och kan ta upp till 30 minuter att slutföra.

Hur genererar jag en SHA-256-kontrollsumma för en PKI-fil?

Kör följande kommando för att generera SHA-256-kontrollsumman för PKI-filen .p7b :

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Steg 2: Aktivera CBA för hyresgästen

Viktigt!

En användare anses kunna slutföra MFA när användaren anges som omfattad för CBA i policyn för autentiseringsmetoder. Det här principkravet innebär att en användare inte kan använda identitetsbevis som en del av sin autentisering för att registrera andra tillgängliga metoder. Om användaren inte har åtkomst till certifikat är de utelåst och kan inte registrera andra metoder för MFA. Administratörer som har tilldelats rollen Administratör för autentiseringsprincip måste aktivera CBA endast för användare som har giltiga certifikat. Inkludera inte Alla användare för CBA. Använd endast grupper av användare som har giltiga certifikat tillgängliga. Mer information finns i Microsoft Entra multifaktorautentisering.

Så här aktiverar du cba via Microsoft Entra administrationscenter:

  1. Logga in på Microsoft Entra administrationscenter med ett konto som har tilldelats minst rollen Authentication Policy Administrator.

  2. Gå till Grupper>Alla grupper.

  3. Välj Ny grupp och skapa en grupp för CBA-användare.

  4. Gå till Entra ID>Autentiseringsmetoder>Certificate-baserad autentisering.

  5. Under Aktivera och Mål väljer du Aktivera och markerar sedan kryssrutan Jag bekräftar .

  6. Välj Välj grupper>Lägg till grupper.

  7. Välj specifika grupper, till exempel den du skapade, och välj sedan Välj. Använd specifika grupper i stället för Alla användare.

  8. Välj Spara.

    Skärmbild som visar hur du aktiverar CBA.

När CBA har aktiverats för klientorganisationen ser alla användare i klientorganisationen alternativet att logga in med hjälp av ett certifikat. Endast användare som kan använda CBA kan autentisera med hjälp av ett X.509-certifikat.

Kommentar

Nätverksadministratören bör tillåta åtkomst till slutpunkten för certifikatautentisering för organisationens molnmiljö utöver login.microsoftonline.com slutpunkten. Inaktivera TLS-inspektion på slutpunkten för certifikatautentisering för att se till att klientcertifikatbegäran lyckas som en del av TLS-handskakningen.

Steg 3: Konfigurera en autentiseringsbindningsprincip

En autentiseringspolicy hjälper dig att ställa in autentiseringens styrka till antingen en enskild faktor eller till MFA. Standardskyddsnivån för alla certifikat i klientorganisationen är enfaktorautentisering.

Standardbindningen för affinitet på klientorganisationsnivå är låg affinitet. En administratör för autentiseringsprinciper kan ändra standardvärdet från enfaktorautentisering till MFA. Om skyddsnivån ändras är alla certifikat i klientorganisationen inställda på MFA. På samma sätt kan affinitetsbindningen på klientnivå ställas in på hög affinitet. Alla certifikat verifieras sedan med hjälp av endast attribut med hög tillhörighet.

Viktigt!

En administratör måste ange standardvärde för klient till ett värde som gäller för de flesta av certifikaten. Skapa endast anpassade regler för specifika certifikat som behöver en annan skyddsnivå eller affinitetsbindning än klientorganisationens standard. Alla konfigurationer av autentiseringsmetoder finns i samma principfil. Att skapa flera redundanta regler kan överskrida storleksgränsen för principfilen.

Autentiseringsbindningsregler mappar certifikatattribut som utfärdare, principobjekt-ID (OID) och utfärdare och princip-OID till ett angivet värde. Reglerna anger standardskyddsnivån och tillhörighetsbindningen för den regeln.

Så här ändrar du standardinställningarna för klientorganisationen och skapar anpassade regler via Microsoft Entra administrationscenter:

  1. Logga in på Microsoft Entra administrationscenter med ett konto som har tilldelats minst rollen Authentication Policy Administrator.

  2. Gå till Entra ID>Authentication methods>Policies.

  3. Under Hantera migreringar väljer du Autentiseringsmetoder>Certifikatbaserad autentisering.

    Skärmbild som visar hur du anger en autentiseringsprincip.

  4. Om du vill konfigurera autentiseringsbindning och användarnamnsbindning väljer du Konfigurera.

  5. Om du vill ändra standardvärdet till MFA väljer du Multifaktorautentisering. Attributet på skyddsnivå har ett standardvärde för enfaktorautentisering.

    Kommentar

    Standardskyddsnivån gäller om inga anpassade regler läggs till. Om du lägger till en anpassad regel respekteras den skyddsnivå som definierats på regelnivå i stället för standardskyddsnivån.

    Skärmbild som visar hur du ändrar standardautentiseringsprincipen till MFA.

  6. Du kan också konfigurera anpassade autentiseringsbindningsregler för att fastställa skyddsnivån för klientcertifikat som behöver olika värden för skyddsnivå eller affinitetsbindning än standardinställningen för hyresgästen. Du kan konfigurera reglerna med antingen utfärdarens ämne eller princip-OID, eller båda fälten, i certifikatet.

    Autentiseringsbindningsregler mappar certifikatattributen (utfärdare eller princip-OID) till ett värde. Värdet anger standardskyddsnivån för den regeln. Du kan skapa flera regler. I följande exempel antar man att klientorganisationens standardvärde är Multifaktorautentisering och Låg för tillhörighetsbindning.

    Om du vill lägga till anpassade regler väljer du Lägg till regel.

    Skärmbild som visar hur du lägger till en anpassad regel.

    Så här skapar du en regel efter certifikatutfärdare:

    1. Välj Certifikatutfärdare.

    2. För Certifikatutfärdaridentifierare väljer du ett relevant värde.

    3. För Autentiseringsstyrka väljer du Multifaktorautentisering.

    4. För Tillhörighetsbindning väljer du Låg.

    5. Välj Lägg till.

    6. När du uppmanas till det markerar du kryssrutan Jag bekräftar för att lägga till regeln.

      Skärmbild som visar hur du mappar en MFA-princip till en bindning med hög tillhörighet.

    Så här skapar du en regel med policy-OID:

    1. Välj Policy-OID.

    2. För Policy OID anger du ett värde.

    3. För Autentiseringsstyrka väljer du Enfaktorautentisering.

    4. För Tillhörighetsbindning väljer du Låg för tillhörighetsbindning.

    5. Välj Lägg till.

    6. När du uppmanas till det markerar du kryssrutan Jag bekräftar för att lägga till regeln.

      Skärmbild som visar mappning till policy OID med en låg-affinitet bindning.

    För att skapa en regel baserad på utfärdare och policy-OID:

    1. Välj Certifikatutfärdare och Policy-OID.

    2. Välj en utfärdare och ange policy-OID.

    3. För Autentiseringsstyrka väljer du Multifaktorautentisering.

    4. För Tillhörighetsbindning väljer du Låg.

    5. Välj Lägg till.

      Skärmbild som visar hur du väljer en låg affinitetsbindning.

      Skärmbild som visar hur du lägger till en bindning med låg affinitet.

    6. Autentisera med ett certifikat som har en princip-OID för 3.4.5.6 och utfärdas av CN=CBATestRootProd. Kontrollera att autentiseringen godkänns för en multifaktorautentisering.

    Så här skapar du en regel efter utfärdare och serienummer:

    1. Lägg till en autentiseringsbindningsprincip. Policyn kräver att alla certifikat som utfärdats av CN=CBATestRootProd med en policy-OID 1.2.3.4.6 endast kräver hög affinitetsbindning. Utfärdaren och serienumret används.

      Screenshot som visar utfärdare och serienummer som lagts till i Microsoft Entra administrationscenter.

    2. Välj certifikatfältet. I det här exemplet väljer du Utfärdare och serienummer.

      Skärmbild som visar hur du väljer Utfärdare och serienummer.

    3. Det enda användarattribut som stöds är certificateUserIds. Välj certificateUserIds och välj Lägg till.

      Skärmbild som visar hur du lägger till Utfärdare och serienummer.

    4. Välj Spara.

      Inloggningsloggen visar vilken bindning som användes för inloggning och information från certifikatet.

      Skärmbild som visar inloggningslogginformationen.

  7. Välj OK för att spara anpassade regler.

Viktigt!

Ange princip-OID med hjälp av objektidentifierarformatet. Om certifikatprincipen till exempel säger Alla utfärdandeprinciper anger du princip-OID som 2.5.29.32.0 när du lägger till regeln. Strängen Alla utfärdandeprinciper är ogiltig för regelredigeraren och börjar inte gälla.

Steg 4: Konfigurera principen för användarnamnbindning

Principen för användarnamnbindning hjälper till att verifiera en användares certifikat. Som standard mappar du huvudnamn i certifikatet till userPrincipalName i användarobjektet för att fastställa användaren.

En administratör för autentiseringsprinciper kan åsidosätta standardinställningen och skapa en anpassad mappning. Mer information finns i Så här fungerar användarnamnbindning.

Andra scenarier som använder attributet finns i certificateUserIdsCertifikatanvändar-ID:t.

Viktigt!

Om en bindningsprincip för användarnamn använder synkroniserade attribut som certificateUserIds, onPremisesUserPrincipalName och attributet userPrincipalName för användarobjektet, kan konton som har administratörsbehörigheter lokalt Windows Server služba Active Directory göra ändringar som påverkar dessa attribut i Microsoft Entra ID. Till exempel kan konton som har delegerade rättigheter för användarobjekt eller en administratörsroll på Microsoft Entra Connect Server göra dessa typer av ändringar.

  1. Skapa användarnamnsbindningen genom att välja ett av X.509-certifikatfälten som ska bindas med något av användarattributen. Bindningsordningen för användarnamn representerar prioritetsnivån för bindningen. Den första användarnamnsbindningen har högsta prioritet och så vidare.

    Skärmbild som visar en bindningsprincip för användarnamn.

    Om det angivna X.509-certifikatfältet finns på certifikatet men Microsoft Entra ID inte hittar ett användarobjekt som har ett motsvarande värde misslyckas autentiseringen. Sedan försöker Microsoft Entra ID nästa bindning i listan.

  2. Välj Spara.

Den slutliga konfigurationen ser ut ungefär som i det här exemplet:

Skärmbild som visar den slutliga konfigurationen.

Steg 5: Testa konfigurationen

I det här avsnittet beskrivs hur du testar dina bindningsregler för certifikat och anpassad autentisering.

Testa certifikatet

I det första konfigurationstestet försöker du logga in på MyApps-portalen med hjälp av enhetswebbläsaren.

  1. Ange användarens huvudnamn (UPN).

    Skärmbild som visar användarens huvudnamn.

  2. Välj Nästa.

    Skärmbild som visar en inloggning med hjälp av ett certifikat.

    Om du har gjort andra autentiseringsmetoder tillgängliga, till exempel telefoninloggning eller FIDO2, kan användarna se en annan inloggningsdialogruta.

    Skärmbild som visar en alternativ inloggningsdialogruta.

  3. Välj Logga in med ett certifikat.

  4. Välj rätt användarcertifikat i användargränssnittet för klientcertifikatväljaren och välj OK.

    Skärmbild som visar användargränssnittet för certifikatväljaren.

  5. Kontrollera att du är inloggad på MyApps-portalen.

Om inloggningen lyckas vet du att:

  • Användarcertifikatet installeras i din testenhet.
  • Microsoft Entra ID har konfigurerats korrekt för att använda betrodda certifikatutfärdare.
  • Användarnamnsbindningen är korrekt konfigurerad. Användaren hittas och autentiseras.

Testa bindningsregler för anpassad autentisering

Slutför sedan ett scenario där du verifierar stark autentisering. Du skapar två autentiseringsprincipregler: en genom att använda en utfärdare för att uppfylla enfaktorautentisering och en annan med hjälp av princip-OID för att uppfylla multifaktorautentisering.

  1. Skapa en ämnesregel för utfärdare med en skyddsnivå för enfaktorautentisering. Ange värdet till certifikatadministratörens ämnesvärde.

    Till exempel:

    CN=WoodgroveCA

  2. Skapa en princip-OID-regel som har en skyddsnivå för multifaktorautentisering. Ange värdet till en av princip-OID:erna i certifikatet. Ett exempel är 1.2.3.4.

    Skärmbild som visar policy OID-regel.

  3. Skapa en Villkorsstyrd åtkomst i Microsoft Entra princip för att användaren ska behöva MFA. Slutför stegen som beskrivs i Villkorsstyrd åtkomst – Kräv MFA.

  4. Gå till MyApps-portalen. Ange ditt UPN och välj Nästa.

    Skärmbild som visar användarens huvudnamn.

  5. Välj Använd ett certifikat eller smartkort.

    Skärmbild som visar inloggning med hjälp av ett certifikat.

    Om du har gjort andra autentiseringsmetoder tillgängliga, till exempel telefoninloggning eller säkerhetsnycklar, kan användarna se en annan inloggningsdialogruta.

    Skärmbild som visar den alternativa inloggningen.

  6. Välj klientcertifikatet och välj sedan Certifikatinformation.

    Skärmbild som visar klientväljaren.

    Certifikatet visas och du kan verifiera utfärdaren och policy-OID-värdena.

    Skärmbild som visar utfärdaren.

  7. Om du vill se princip-OID-värden väljer du Information.

    Skärmbild som visar autentiseringsinformationen.

  8. Välj klientcertifikatet och välj OK.

Princip-OID i certifikatet matchar det konfigurerade värdet för 1.2.3.4 och uppfyller MFA. Utfärdaren i certifikatet matchar det konfigurerade värdet för CN=WoodgroveCA och uppfyller enfaktorautentisering.

Eftersom principens OID-regel har företräde framför utfärdarregeln uppfyller certifikatet MFA.

Principen för villkorsstyrd åtkomst för användaren kräver MFA och certifikatet uppfyller MFA, så att användaren kan logga in på programmet.

Testa bindningsprincipen för användarnamn

Principen för användarnamnbindning hjälper till att verifiera användarens certifikat. Tre bindningar stöds för principen för användarnamnbindning:

  • IssuerAndSerialNumber > certificateUserIds
  • IssuerAndSubject > certificateUserIds
  • Subject > certificateUserIds

Som standard mappar Microsoft Entra ID Principal Name i certifikatet till userPrincipalName i användarobjektet för att fastställa användaren. En administratör för autentiseringsprinciper kan åsidosätta standardinställningen och skapa en anpassad mappning enligt beskrivningen tidigare.

En administratör för autentiseringsprinciper måste konfigurera de nya bindningarna. För att förbereda måste de se till att rätt värden för motsvarande användarnamnbindningar uppdateras i certificateUserIds attributet för användarobjektet:

Viktigt!

Formatet för värdena för Utfärdare, Ämne och Serienummer måste vara i omvänd ordning i formatet i certifikatet. Lägg inte till blanksteg i utgivare eller ämne.

Manuell mappning av utfärdare och serienummer

I följande exempel visas manuell mappning av utfärdare och serienummer.

Utfärdarvärdet som ska läggas till är:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Skärmbild som visar manuell mappning för utfärdarvärdet.

Kör följande kommando för att hämta rätt värde för serienumret. Lagra värdet som visas i certificateUserIds.

Kommandosyntaxen är:

certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Till exempel:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Här är ett exempel på certutil kommandot:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Värdet för serienummer som ska läggas till certificateUserId är:

b24134139f069b49997212a86ba0ef48

Värdet certificateUserIds är:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Utfärdare och subjekt manuell mappning

I följande exempel demonstreras manuell mappning av utfärdare och ämne.

Utfärdarvärdet är:

Skärmbild som visar utfärdarvärdet när det används med flera bindningar.

Ämnesvärdet är:

Skärmbild som visar Ämnevärdet.

Värdet certificateUserId är:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Manuell mappning av objekt

I följande exempel visas manuell mappning av subjekt.

Ämnesvärdet är:

Skärmbild som visar ett annat ämnesvärde.

Värdet certificateUserIds är:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testa affinitetsbindningen

  1. Logga in på Microsoft Entra administrationscenter med ett konto som har tilldelats minst rollen Authentication Policy Administrator.

  2. Gå till Entra ID>Authentication methods>Policies.

  3. Under Hantera väljer du Autentiseringsmetoder>Certifikatbaserad autentisering.

  4. Välj Konfigurera.

  5. Ange Obligatorisk tillhörighetsbindning på klientorganisationsnivå.

    Viktigt!

    Var försiktig med hyresgästövergripande inställningsanpassning. Du kan låsa ut hela klientorganisationen om du ändrar värdet obligatorisk tillhörighetsbindning för klientorganisationen och inte har rätt värden i användarobjektet. På samma sätt kan användarna i klientorganisationen bli utelåsta om du skapar en anpassad regel som gäller för alla användare och kräver bindning med hög tillhörighet.

    Skärmbild som visar hur du ställer in nödvändig affinitetsbindning.

  6. För att testa, välj Låg för Obligatorisk tillhörighetsbindning.

  7. Lägg till en bindning med hög affinitet, som ämnesnyckelidentifierare (SKI). Under Bindning av användarnamn väljer du Lägg till regel.

  8. Välj SKI och välj Lägg till.

    Skärmbild som visar hur du lägger till en affinitetsbindning.

    När regeln är klar ser den ut ungefär som i det här exemplet:

    Skärmbild som visar en slutförd affinitetsbindning.

  9. För alla användarobjekt uppdaterar certificateUserIds du attributet med rätt SKI-värde från användarcertifikatet.

    Mer information finns i Mönster som stöds för CertificateUserIDs.

  10. Skapa en anpassad regel för autentiseringsbindning.

  11. Välj Lägg till.

    Skärmbild som visar en anpassad autentiseringsbindning.

    Kontrollera att den slutförda regeln ser ut ungefär som i det här exemplet:

    Skärmbild som visar en anpassad regel.

  12. Uppdatera användarvärdet certificateUserIds med rätt SKI-värde från certifikatet och princip-OID för 9.8.7.5.

  13. Testa med hjälp av ett certifikat med princip-OID för 9.8.7.5. Kontrollera att användaren är autentiserad med SKI-bindningen och att de uppmanas att logga in med MFA och endast certifikatet.

Konfigurera CBA med hjälp av Microsoft Graph API:er

Konfigurera CBA och konfigurera användarnamnsbindningar med hjälp av Microsoft Graph API:er:

  1. Gå till Microsoft Graph Explorer.

  2. Välj Logga in på Graph Explorer och logga in på din klientorganisation.

  3. Följ stegen för att godkänna den delegerade behörighetenPolicy.ReadWrite.AuthenticationMethod.

  4. Hämta alla autentiseringsmetoder:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. Hämta konfigurationen för X.509-certifikatautentiseringsmetoden:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Som standard är X.509-certifikatautentiseringsmetoden inaktiverad. Om du vill tillåta användare att logga in med hjälp av ett certifikat måste du aktivera autentiseringsmetoden och konfigurera autentiserings- och användarnamnsbindningsprinciperna via en uppdateringsåtgärd. Kör en PATCH begäran för att uppdatera policyn.

    Begärandetext

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Kontrollera att en 204 No content svarskod returneras. Kör begäran igen GET för att se till att principerna uppdateras korrekt.

  8. Testa konfigurationen genom att logga in med ett certifikat som uppfyller principen.

Konfigurera CBA med hjälp av Microsoft PowerShell

  1. Öppna PowerShell.

  2. Anslut till Microsoft Graph:

    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"

  3. Skapa en variabel som ska användas för att definiera en grupp för CBA-användare:

    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"

  4. Definiera begärandetexten:

    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5

  5. PATCH Utför begäran:

    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Relaterat innehåll

  • Last updated on