Konfigurace ověřování založeného na certifikátech Microsoft Entra

  • Článek

Ověřování založené na certifikátech Microsoft Entra (CBA) umožňuje organizacím nakonfigurovat tenanty Microsoft Entra tak, aby povolovaly nebo vyžadovaly ověřování pomocí certifikátů X.509 vytvořených infrastrukturou veřejných klíčů organizace pro přihlašování aplikací a prohlížečů. Tato funkce umožňuje organizacím používat moderní ověřování bez hesla odolné vůči útokům phishing pomocí certifikátu x.509.

Při přihlašování se uživatelům zobrazí také možnost ověření pomocí certifikátu místo zadání hesla. Pokud na zařízení existuje více odpovídajících certifikátů, může uživatel vybrat, který z nich se má použít. Certifikát se ověří na uživatelském účtu a v případě úspěchu se přihlásí.

Podle těchto pokynů nakonfigurujte a použijte Microsoft Entra CBA pro tenanty v plánech Office 365 Enterprise a US Government. Už byste měli mít nakonfigurovanou infrastrukturu veřejných klíčů (PKI).

Požadavky

Ujistěte se, že jsou splněny následující předpoklady:

  • Nakonfigurujte aspoň jednu certifikační autoritu (CA) a všechny zprostředkující certifikační autority v ID Microsoft Entra.
  • Uživatel musí mít přístup k uživatelskému certifikátu (vydanému z důvěryhodné infrastruktury veřejných klíčů nakonfigurované v tenantovi) určenému k ověření klienta pro ověření na základě ID Microsoft Entra.
  • Každá certifikační autorita by měla mít seznam odvolaných certifikátů (CRL), na který se dá odkazovat z internetových adres URL. Pokud důvěryhodná certifikační autorita nemá nakonfigurovaný CRL, nebude ID Microsoft Entra provádět žádnou kontrolu seznamu CRL, odvolání uživatelských certifikátů nebude fungovat a ověřování nebude blokováno.

Důležité

Ujistěte se, že je infrastruktura veřejných klíčů zabezpečená a není možné ji snadno ohrozit. V případě ohrožení zabezpečení může útočník vytvářet a podepisovat klientské certifikáty a ohrozit všechny uživatele v tenantovi. Oba uživatelé, kteří jsou synchronizovaní z místních i cloudových uživatelů. Strategie silné ochrany klíčů spolu s dalšími fyzickými a logickými ovládacími prvky, jako jsou aktivační karty HSM nebo tokeny pro zabezpečené úložiště artefaktů, ale může poskytovat hloubkovou ochranu, aby zabránila externím útočníkům nebo vnitřním hrozbám v ohrožení integrity infrastruktury veřejných klíčů. Další informace naleznete v tématu Zabezpečení infrastruktury veřejných klíčů.

Důležité

Navštivte doporučení Microsoftu pro osvědčené postupy pro kryptografickou službu Microsoftu, která zahrnuje volbu algoritmu, délku klíče a ochranu dat. Ujistěte se, že používáte jeden z doporučených algoritmů, délku klíče a křivky schválené nistou.

Důležité

V rámci průběžných vylepšení zabezpečení koncových bodů Azure/M365 přidáváme podporu protokolu TLS1.3 a očekává se, že tento proces bude trvat několik měsíců, než pokryje tisíce koncových bodů služby v Azure nebo M365. To zahrnuje koncový bod ID Entra používaný ověřováním CBA (Microsoft Entra Certificate Based Authentication) *.certauth.login.microsoftonline.com & *.certauth.login.mcirosoftonline.us. TLS 1.3 je nejnovější verze internetového nejčastěji nasazeného protokolu zabezpečení, která šifruje data a poskytuje zabezpečený komunikační kanál mezi dvěma koncovými body. Protokol TLS 1.3 eliminuje zastaralé kryptografické algoritmy, vylepšuje zabezpečení oproti starším verzím a má zašifrovat co největší část metody handshake. Důrazně doporučujeme, aby vývojáři začali testovat protokol TLS 1.3 ve svých aplikacích a službách.

Poznámka:

Při vyhodnocování infrastruktury veřejných klíčů je důležité zkontrolovat zásady vystavování certifikátů a vynucování. Jak už bylo zmíněno, přidání certifikačních autorit (CA) do konfigurace Microsoft Entra umožňuje certifikátům vydaným těmito certifikačními autoritami ověřit libovolného uživatele v Microsoft Entra ID. Z tohoto důvodu je důležité zvážit, jak a kdy mají certifikační autority povolené vydávat certifikáty a jak implementují opakovaně použitelné identifikátory. Pokud správci potřebují zajistit, aby k ověření uživatele bylo možné použít jenom konkrétní certifikát, měli by správci používat výhradně vazby s vysokou spřažení, aby dosáhli vyšší úrovně záruky, že pouze konkrétní certifikát může ověřit uživatele. Další informace najdete v tématu vazby s vysokou spřažení.

Postup konfigurace a testování jazyka Microsoft Entra CBA

Před povolením jazyka Microsoft Entra CBA je potřeba provést několik kroků konfigurace. Nejprve musí správce nakonfigurovat důvěryhodné certifikační autority, které vydávají uživatelské certifikáty. Jak je vidět na následujícím diagramu, používáme řízení přístupu na základě role, abychom měli jistotu, že k provádění změn jsou potřeba jenom správci s nejnižšími oprávněními. Certifikační autoritu může nakonfigurovat pouze role globálního Správa istratoru.

Volitelně můžete také nakonfigurovat ověřovací vazby pro mapování certifikátů na jednofaktorové nebo vícefaktorové ověřování a nakonfigurovat vazby uživatelského jména pro mapování pole certifikátu na atribut objektu uživatele. Zásady ověřování Správa istrátory můžou konfigurovat nastavení související s uživatelem. Po dokončení všech konfigurací povolte jazyk Microsoft Entra CBA v tenantovi.

Diagram of the steps required to enable Microsoft Entra certificate-based authentication.

Krok 1: Konfigurace certifikačních autorit

Certifikační autority (CA) můžete nakonfigurovat pomocí Centra pro správu Microsoft Entra nebo rozhraní MICROSOFT Graph REST API a podporovaných sad SDK, jako je Microsoft Graph PowerShell. Infrastruktura infrastruktury veřejných klíčů nebo správce infrastruktury veřejných klíčů by měli být schopni poskytnout seznam vydávajících certifikačních autorit. Pokud chcete mít jistotu, že jste nakonfigurovali všechny certifikační autority, otevřete uživatelský certifikát a klikněte na kartu Cesta k certifikaci a ujistěte se, že se každá certifikační autorita nenahraje do úložiště důvěryhodnosti Entra. Pokud chybí certifikační autority, ověřování CBA selže.

Konfigurace certifikačních autorit pomocí Centra pro správu Microsoft Entra

Pokud chcete povolit ověřování na základě certifikátů a nakonfigurovat uživatelské vazby v Centru pro správu Microsoft Entra, proveďte následující kroky:

  1. Přihlaste se k Centru pro správu Microsoft Entra jako globální Správa istrator.

  2. Přejděte na stránku Protection>Show more>Security Center (nebo Identity Secure Score) >Certifikační autority.

  3. Pokud chcete nahrát certifikační autoritu, vyberte Nahrát:

    1. Vyberte soubor certifikační autority.

    2. Pokud je certifikační autorita kořenovým certifikátem, vyberte ano. V opačném případě vyberte Ne.

    3. Pro adresu URL seznamu odvolaných certifikátů nastavte internetovou adresu URL základního seznamu CRL certifikační autority, která obsahuje všechny odvolané certifikáty. Pokud adresa URL není nastavená, ověřování s odvolanými certifikáty se nezdaří.

    4. Pro adresu URL seznamu odvolaných certifikátů Delta nastavte internetovou adresu URL seznamu odvolaných certifikátů, která obsahuje všechny odvolané certifikáty od posledního publikování základního seznamu CRL.

    5. Vyberte Přidat.

      Screenshot of how to upload certification authority file.

  4. Pokud chcete odstranit certifikát certifikační autority, vyberte certifikát a vyberte Odstranit.

  5. Vyberte Sloupce , které chcete přidat nebo odstranit.

Poznámka:

Nahrání nové certifikační autority selže, pokud vypršela platnost nějaké existující certifikační autority. Globální Správa istrator by měl odstranit všechny certifikační autority, jejichž platnost vypršela, a zkuste novou certifikační autoritu nahrát znovu.

Konfigurace certifikačních autorit (CA) pomocí PowerShellu

Podporuje se pouze jeden distribuční bod seznamu CRL (CDP) pro důvěryhodnou certifikační autoritu. CdP může být pouze adresy URL HTTP. Adresy URL protokolu OCSP (Online Certificate Status Protocol) nebo LDAP (Lightweight Directory Access Protocol) se nepodporují.

Pokud chcete nakonfigurovat certifikační autority v MICROSOFT Entra ID, nahrajte pro každou certifikační autoritu následující:

  • Veřejná část certifikátu ve formátu .cer
  • Internetové adresy URL, ve kterých se nacházejí seznamy odvolaných certifikátů (CRL)

Schéma certifikační autority vypadá takto:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Pro konfiguraci můžete použít Microsoft Graph PowerShell:

  1. Spusťte Windows PowerShell s oprávněními správce.

  2. Nainstalujte Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Jako první krok konfigurace musíte vytvořit připojení k vašemu tenantovi. Jakmile existuje připojení k vašemu tenantovi, můžete zkontrolovat, přidat, odstranit a upravit důvěryhodné certifikační autority definované v adresáři.

Propojit

Pokud chcete vytvořit připojení k vašemu tenantovi, použijte Připojení-MgGraph:

    Connect-MgGraph

Načtení

Pokud chcete načíst důvěryhodné certifikační autority definované v adresáři, použijte Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Přidání

Poznámka:

Při vypršení platnosti některého z existujících certifikačních autorit se nahrání nových certifikačních autorit nezdaří. Tenant Správa by měl odstranit certifikační autority, jejichž platnost vypršela, a pak nahrát novou certifikační autoritu.

Podle předchozích kroků přidejte certifikační autoritu do Centra pro správu Microsoft Entra.

AuthorityType

  • Použití 0 k označení kořenové certifikační autority
  • Použití 1 k označení zprostředkující nebo vydávající certifikační autority

crlDistributionPoint

Seznam CRL si můžete stáhnout a porovnat certifikát certifikační autority a informace o seznamu CRL, abyste ověřili hodnotu crlDistributionPoint v předchozím příkladu PowerShellu, která je platná pro certifikační autoritu, kterou chcete přidat.

Následující tabulka a obrázek ukazují, jak mapovat informace z certifikátu certifikační autority na atributy staženého seznamu CRL.

Informace o certifikátu certifikační autority = Stažené informace o seznamu CRL
Předmět = Issuer
Identifikátor klíče subjektu = Identifikátor klíče autority (KeyID)

Compare CA Certificate with CRL Information.

Tip

Hodnota crlDistributionPoint v předchozím příkladu je umístění http pro seznam odvolaných certifikátů certifikační autority (CRL). Tuto hodnotu najdete na několika místech:

  • V atributu distribučního bodu seznamu CRL (CDP) certifikátu vydaného certifikační autoritou.

Pokud vydávající certifikační autorita spouští Windows Server:

  • Ve vlastnostech certifikační autority v konzole Microsoft Management Console (MMC) certifikační autority.
  • Na certifikační autoritě spuštěním certutil -cainfo cdppříkazu . Další informace najdete v tématu certutil.

Další informace najdete v tématu Principy procesu odvolání certifikátu.

Ověření konfigurace certifikační autority

Je důležité zajistit, aby výše uvedený výsledek kroků konfigurace byl entra ID schopnost ověřit řetěz důvěryhodnosti certifikační autority a úspěšně zjistit seznam odvolaných certifikátů (CRL) z nakonfigurovaného distribučního bodu CRL certifikační autority (CDP). Pokud chcete s touto úlohou pomoct, doporučujeme nainstalovat modul PowerShellu nástroje MSIdentity a spustit Test-MsIdCBATrustStoreConfiguration. Tato rutina PowerShellu zkontroluje konfiguraci certifikační autority tenanta Entra a zobrazí chyby a upozornění pro běžné problémy s chybnou konfigurací.

Krok 2: Povolení CBA v tenantovi

Důležité

Uživatel je považován za schopný vícefaktorové ověřování, pokud je uživatel v oboru ověřování na základě certifikátu v zásadách metod ověřování. Tento požadavek na zásadu znamená, že uživatel nemůže použít ověření v rámci ověřování k registraci dalších dostupných metod. Pokud uživatelé nemají přístup k certifikátům, budou uzamčeni a nebudou moct zaregistrovat další metody vícefaktorového ověřování. Správce proto musí povolit uživatelům, kteří mají platný certifikát, do oboru CBA. Nepoužívejte všechny uživatele pro cíl CBA a používejte skupiny uživatelů, kteří mají k dispozici platné certifikáty. Další informace naleznete v tématu Vícefaktorové ověřování Microsoft Entra.

Pokud chcete povolit ověřování založené na certifikátech v Centru pro správu Microsoft Entra, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte na Skupiny>Všechny skupiny>, vyberte Nová skupina a vytvořte skupinu pro uživatele CBA.

  3. Přejděte k ověřování metod>ověřování ochrany>pomocí certifikátů.

  4. V části Povolit a Cíl vyberte Povolit.

  5. Vyberte Všechny uživatele nebo vyberte Přidat skupiny a vyberte konkrétní skupiny, jako je skupina vytvořená výše. Doporučuje se místo všech uživatelů používat konkrétní skupiny.

    Screenshot of how to enable CBA.

Po povolení ověřování na základě certifikátu v tenantovi uvidí všichni uživatelé v tenantovi možnost přihlásit se pomocí certifikátu. Pomocí certifikátu X.509 se budou moct ověřit jenom uživatelé s povoleným ověřováním na základě certifikátů.

Poznámka:

Správce sítě by měl kromě login.microsoftonline.com povolit přístup ke koncovému bodu ověřování certifikátu pro cloudové prostředí zákazníka. Zakažte kontrolu protokolu TLS na koncovém bodu ověřování certifikátu a ujistěte se, že požadavek na klientský certifikát bude úspěšný jako součást metody handshake protokolu TLS.

Krok 3: Konfigurace zásad vazby ověřování

Zásady vazby ověřování pomáhají určit sílu ověřování na jeden faktor nebo vícefaktorový. Výchozí úroveň ochrany certifikátů v tenantovi je jednofaktorové ověřování.

Zásady ověřování Správa istrator můžou změnit výchozí hodnotu z jednoho faktoru na vícefaktorové a nakonfigurovat vlastní pravidla zásad. Ověřovací pravidla vazby mapují atributy certifikátu, jako je vystavitel nebo identifikátor OID zásad nebo vystavitel a identifikátor zásad, na hodnotu a vyberte výchozí úroveň ochrany pro toto pravidlo. Můžete vytvořit více pravidel.

Pokud chcete změnit výchozí nastavení tenanta v Centru pro správu Microsoft Entra, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte do zásad ověřování>ochrany.>

  3. V části Spravovat vyberte metody>ověřování ověřování ověřování.

    Screenshot of Authentication policy.

  4. Výběrem možnosti Konfigurovat nastavíte ověřovací vazbu a vazbu uživatelského jména.

  5. Atribut úrovně ochrany má výchozí hodnotu jednofaktorového ověřování. Vyberte Vícefaktorové ověřování a změňte výchozí hodnotu na vícefaktorové ověřování .

    Poznámka:

    Výchozí hodnota na úrovni ochrany platí, pokud nejsou přidána žádná vlastní pravidla. Pokud se přidají vlastní pravidla, je místo toho dodržena úroveň ochrany definovaná na úrovni pravidla.

    Screenshot of how to change the default policy to MFA.

  6. Můžete také nastavit vlastní pravidla vazby ověřování, která vám pomůžou určit úroveň ochrany klientských certifikátů. Dá se nakonfigurovat pomocí polí subjekt vystavitele nebo identifikátoru zásad v certifikátu.

    Pravidla vazby ověřování mapují atributy certifikátu (vystavitel nebo identifikátor OID zásad) na hodnotu a vyberou výchozí úroveň ochrany pro toto pravidlo. Lze vytvořit více pravidel.

    Pokud chcete přidat vlastní pravidla, vyberte Přidat pravidlo.

    Screenshot of how to add a rule.

    Pokud chcete vytvořit pravidlo podle vystavitele certifikátu, vyberte Vystavitel certifikátu.

    1. V seznamu vyberte identifikátor vystavitele certifikátu.

    2. Vyberte vícefaktorové ověřování, nízkou vazbu spřažení a klikněte na tlačítko Přidat. Po zobrazení výzvy klikněte na potvrzení a dokončete přidání pravidla.

      Screenshot of multifactor authentication policy.

    Pokud chcete vytvořit pravidlo podle identifikátoru zásad, vyberte OID zásad.

    1. Zadejte hodnotu pro identifikátor zásad.

    2. Vyberte vícefaktorové ověřování, nízkou vazbu spřažení a klikněte na tlačítko Přidat. Po zobrazení výzvy klikněte na potvrzení a dokončete přidání pravidla. .

      Screenshot of mapping to Policy OID.

    Vytvoření pravidla podle identifikátoru vystavitele a zásady:

    1. Vyberte vystavitele certifikátu a identifikátor zásad.

    2. Vyberte vystavitele a zadejte identifikátor zásady.

    3. Pro sílu ověřování vyberte jednofaktorové ověřování nebo vícefaktorové ověřování.

    4. V případě vazby spřažení vyberte Možnost Nízká.

      Screenshot of how to select a low affinity binding.

    5. Vyberte Přidat.

      Screenshot of how to add a low affinity binding.

    6. Ověřte se pomocí certifikátu, který má identifikátor zásad 3.4.5.6 a vydaný CN=CBATestRootProd. Ověřování by mělo projít a získat vícefaktorovou deklaraci identity.

Důležité

Existuje známý problém, kdy správce tenanta Entra konfiguruje pravidlo zásad ověřování CBA pomocí vystavitele a identifikátoru zásad některé scénáře registrace zařízení, mezi které patří:

  • Registrace Windows Hello pro firmy
  • Registrace klíče zabezpečení Fido2
  • Přihlášení Telefon bez hesla windows

Registrace zařízení ve scénářích připojení k pracovišti, Id entra a hybridního připojení zařízení Entra ID nejsou ovlivněny. Pravidla zásad ověřování CBA používající identifikátory zásad vystavitele NEBO zásady nemají vliv. Pokud chcete tento problém zmírnit, měli by správci:

  • Upravte pravidla zásad ověřování na základě certifikátů, která aktuálně používají možnosti Vystavitel a Identifikátor zásad, a odeberte požadavek Vystavitel nebo identifikátor identifikátoru a uložte ho. NEBO
  • Odeberte pravidlo zásad ověřování, které aktuálně používá identifikátor vystavitele a zásady, a vytvořte pravidla pouze s použitím identifikátoru vystavitele nebo zásady.

Pracujeme na opravě problému.

Vytvoření pravidla podle vystavitele a sériového čísla:

  1. Přidejte zásadu vazby ověřování, která vyžaduje všechny certifikáty vydané CN=CBATestRootProd s policyOID 1.2.3.4.6 vyžadují pouze vysokou vazbu spřažení (tj. vystavitel a sériové číslo se používá).

    Screenshot of Issuer and Serial Number added the Microsoft Entra admin center.

  2. Vyberte pole certifikátu. V tomto příkladu vybereme Vystavitel a Sériové číslo.

    Screenshot of how to select Issuer and Serial Number.

  3. Jediný podporovaný atribut uživatele je CertificateUserIds. Vyberte přidat.

    Screenshot of how to add Issuer and Serial Number.

  4. Zvolte Uložit.

Protokol přihlášení ukazuje, jakou vazbu jste použili, a podrobnosti z certifikátu.

Screenshot of Sign-ins log.

  1. Vyberte ok a uložte jakékoli vlastní pravidlo.

Důležité

Zadejte objekt PolicyOID pomocí formátu identifikátoru objektu. Pokud například zásada certifikátu říká Všechny zásady vystavování, při přidání pravidla zadejte identifikátor OID jako 2.5.29.32.0 . Řetězec Všechny zásady vystavování jsou pro editor pravidel neplatné a neprojeví se.

Krok 4: Konfigurace zásad vazby uživatelského jména

Zásady vazby uživatelského jména pomáhají ověřit certifikát uživatele. Ve výchozím nastavení mapujeme hlavní název v certifikátu na UserPrincipalName v objektu uživatele k určení uživatele.

Zásady ověřování Správa istrator můžou přepsat výchozí nastavení a vytvořit vlastní mapování. Informace o konfiguraci vazby uživatelského jména najdete v tématu Jak funguje vazba uživatelského jména.

Další informace o scénářích použití atributu certificateUserIds naleznete v tématu ID uživatele certifikátu.

Důležité

Pokud zásada vazby uživatelského jména používá synchronizované atributy, jako jsou certificateUserIds, onPremisesUserPrincipalName a atribut userPrincipalName objektu uživatele, mějte na paměti, že účty s oprávněními správce ve službě Active Directory (například účty s delegovanými právy k uživatelským objektům nebo oprávněními správce na entra Připojení Server) mohou provádět změny, které mají vliv na tyto atributy v ID Entra.

  1. Vytvořte vazbu uživatelského jména výběrem jednoho z polí certifikátu X.509, která chcete vytvořit vazbu s jedním z atributů uživatele. Pořadí vazeb uživatelského jména představuje úroveň priority vazby. První z nich má nejvyšší prioritu a tak dále.

    Screenshot of a username binding policy.

    Pokud je v certifikátu nalezeno zadané pole certifikátu X.509, ale ID Microsoft Entra nenajde objekt uživatele používající tuto hodnotu, ověření selže. Microsoft Entra ID se pokusí o další vazbu v seznamu.

  2. Změny uložíte tlačítkem Uložit.

Konečná konfigurace bude vypadat takto:

Screenshot of the final configuration.

Krok 5: Otestování konfigurace

Tato část popisuje, jak otestovat certifikát a vlastní pravidla vazby ověřování.

Otestování certifikátu

Jako první test konfigurace byste se měli pokusit přihlásit k portálu MyApps pomocí prohlížeče na zařízení.

  1. Zadejte hlavní název uživatele (UPN).

    Screenshot of the User Principal Name.

  2. Vyberte Další.

    Screenshot of sign-in with certificate.

    Pokud jste povolili jiné metody ověřování, jako je Telefon přihlášení nebo FIDO2, můžou se uživatelům zobrazit jiná přihlašovací obrazovka.

    Screenshot of the alternative sign-in.

  3. Vyberte Přihlásit se pomocí certifikátu.

  4. V uživatelském rozhraní pro výběr klientského certifikátu vyberte správný uživatelský certifikát a vyberte OK.

    Screenshot of the certificate picker UI.

  5. Uživatelé by měli být přihlášení k portálu MyApps.

Pokud je přihlášení úspěšné, pak víte, že:

  • Uživatelský certifikát byl zřízen do testovacího zařízení.
  • ID Microsoft Entra je správně nakonfigurované s důvěryhodnými certifikačními autoritami.
  • Vazba uživatelského jména je správně nakonfigurovaná a uživatel se najde a ověří.

Testování vlastních pravidel vazby ověřování

Pojďme si projít scénář, ve kterém ověřujeme silné ověřování. Vytvoříme dvě pravidla zásad ověřování, jedno pomocí vystavitele, které splňuje jednofaktorové ověřování, a druhé pomocí identifikátoru zásad pro splnění vícefaktorového ověřování.

  1. Vytvořte pravidlo subjektu vystavitele s úrovní ochrany jako jednofaktorové ověřování a hodnotou nastavenou na hodnotu předmětu certifikační autority. Příklad:

    CN = WoodgroveCA

  2. Vytvořte pravidlo identifikátoru zásad s úrovní ochrany jako vícefaktorové ověřování a hodnotou nastavenou na jedno z identifikátorů OID zásad ve vašem certifikátu. Například 1.2.3.4.

    Screenshot of the Policy OID rule.

  3. Vytvořte zásadu podmíněného přístupu, aby uživatel vyžadoval vícefaktorové ověřování pomocí následujícího postupu v části Podmíněný přístup – Vyžaduje vícefaktorové ověřování.

  4. Přejděte na portál MyApps. Zadejte hlavní názvu uživatele (UPN) a vyberte Další.

    Screenshot of the User Principal Name.

  5. Vyberte Přihlásit se pomocí certifikátu.

    Screenshot of sign-in with certificate.

    Pokud jste povolili jiné metody ověřování, jako je Telefon přihlašovací klíče nebo klíče zabezpečení, můžou se uživatelům zobrazit jiná přihlašovací obrazovka.

    Screenshot of the alternative sign-in.

  6. Vyberte klientský certifikát a vyberte Informace o certifikátu.

    Screenshot of the client picker.

  7. Zobrazí se certifikát a můžete ověřit hodnoty vystavitele a identifikátoru zásad. Screenshot of the issuer.

  8. Pokud chcete zobrazit hodnoty OID zásad, vyberte Podrobnosti.

    Screenshot of the authentication details.

  9. Vyberte klientský certifikát a vyberte OK.

  10. Identifikátor zásady v certifikátu odpovídá nakonfigurované hodnotě 1.2.3.4 a splňuje vícefaktorové ověřování. Podobně vystavitel v certifikátu odpovídá nakonfigurované hodnotě CN=WoodgroveCA a splňuje jednofaktorové ověřování.

  11. Vzhledem k tomu, že pravidlo identifikátoru zásady má přednost před pravidlem vystavitele, certifikát splňuje vícefaktorové ověřování.

  12. Zásady podmíněného přístupu pro uživatele vyžadují vícefaktorové ověřování a certifikát splňuje vícefaktorové ověřování, aby se uživatel mohl přihlásit k aplikaci.

Testovací zásady vazby uživatelského jména

Zásady vazby uživatelského jména pomáhají ověřit certifikát uživatele. Zásady vazby uživatelského jména podporují tři vazby:

  • IssuerAndSerialNumber > CertificateUserIds
  • IssuerAndSubject > CertificateUserIds
  • Subject > CertificateUserIds

Ve výchozím nastavení Microsoft Entra ID mapuje hlavní název v certifikátu na UserPrincipalName v objektu uživatele k určení uživatele. Zásady ověřování Správa istrator můžou přepsat výchozí nastavení a vytvořit vlastní mapování, jak je vysvětleno výše v kroku 4.

Před povolením nových vazeb musí zásady ověřování Správa istrator zajistit, aby správné hodnoty pro vazby byly aktualizovány v identifikátorech UserId certifikátu atributu objektu uživatele pro odpovídající vazby uživatelského jména.

  • Pro uživatele cloudu aktualizujte hodnotu v CertificateUserIds pomocí Centra pro správu Microsoft Entra nebo rozhraní Microsoft Graph API.
  • Pro místní synchronizované uživatele použijte Microsoft Entra Připojení k synchronizaci hodnot z místního prostředí pomocí pravidel Microsoft Entra Připojení nebo synchronizace hodnoty AltSecId.

Důležité

Formát hodnot Vystavitel, Předmět a SerialNumber by měl být v obráceném pořadí jejich formátu v certifikátu. Nepřidávejte žádné mezery v vystaviteli ani předmětu.

Ruční mapování vystavitele a sériového čísla

Tady je příklad ručního mapování vystavitele a sériového čísla. Přidaná hodnota vystavitele je:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Screenshot of the Issuer value.

Pokud chcete získat správnou hodnotu sériového čísla, spusťte následující příkaz a uložte hodnotu uvedenou v CertificateUserIds. Syntaxe příkazu je:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Příklad:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Tady je příklad příkazu certutil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Hodnota SerialNumber, která má být přidána v CertificateUserId je:

b24134139f069b4997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Ruční mapování problému a předmětu

Tady je příklad ručního mapování problému a předmětu. Hodnota Vystavitel je:

Screenshot of the Issuer value when used with multiple bindings.

Hodnota Předmět je:

Screenshot of the Subject value.

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Ruční mapování předmětu

Tady je příklad ručního mapování předmětu. Hodnota Předmět je:

Screenshot of another Subject value.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testovací vazba spřažení

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte do zásad ověřování>ochrany.>

  3. V části Spravovat vyberte metody>ověřování ověřování ověřování.

  4. Vyberte Konfigurovat.

  5. Nastavte požadovanou vazbu spřažení na úrovni tenanta.

    Důležité

    Při nastavování spřažení na úrovni tenanta buďte opatrní. Pokud změníte požadovanou vazbu spřažení pro tenanta a v objektu uživatele nemáte správné hodnoty, můžete uzamknout celého tenanta. Podobně pokud vytvoříte vlastní pravidlo, které platí pro všechny uživatele a vyžaduje vysokou vazbu spřažení, můžou se uživatelé v tenantovi uzamknout.

    Screenshot of how to set required affinity binding.

  6. Pokud chcete testovat, vyberte požadovanou vazbu spřažení, aby byla nízká.

  7. Přidejte vazbu s vysokým spřažením, jako je SKI. V části Vazba uživatelského jména vyberte Přidat pravidlo.

  8. Vyberte SKI a vyberte Přidat.

    Screenshot of how to add an affinity binding.

    Po dokončení vypadá pravidlo jako tento snímek obrazovky:

    Screenshot of a completed affinity binding.

  9. Aktualizujte všechny objekty uživatele CertificateUserIds atribut, aby měly správnou hodnotu SKI z uživatelského certifikátu. Další informace naleznete v tématu Podporované vzory pro CertificateUserID.

  10. Vytvořte vlastní pravidlo pro vazbu ověřování.

  11. Vyberte Přidat.

    Screenshot of a custom authentication binding.

    Po dokončení vypadá pravidlo jako tento snímek obrazovky:

    Screenshot of a custom rule.

  12. Aktualizujte uživatele CertificateUserIds správnou hodnotou SKI z certifikátu pomocí zásady OID 9.8.7.5.

  13. Otestujte certifikát s certifikátem s OID zásad 9.8.7.5 a uživatel by měl být ověřený pomocí vazby SKI a získat vícefaktorové ověřování pouze s certifikátem.

Povolení CBA pomocí rozhraní Microsoft Graph API

Pokud chcete povolit CBA a nakonfigurovat vazby uživatelského jména pomocí rozhraní Graph API, proveďte následující kroky.

Poznámka:

Následující kroky používají Graph Explorer, který není dostupný v cloudu státní správy USA. Tenanti cloudu státní správy USA můžou k otestování dotazů Microsoft Graphu používat Postman.

  1. Přejděte do Microsoft Graph Exploreru.

  2. Vyberte Přihlásit se k Graph Exploreru a přihlaste se ke svému tenantovi.

  3. Postupujte podle pokynů pro vyjádření souhlasu s delegovaným oprávněním Policy.ReadWrite.AuthenticationMethod.

  4. GET všechny metody ověřování:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. ZÍSKEJTE konfiguraci pro metodu ověřování certifikátu x509:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Ve výchozím nastavení je metoda ověřování certifikátu x509 zakázaná. Pokud chcete uživatelům umožnit přihlášení pomocí certifikátu, musíte povolit metodu ověřování a nakonfigurovat zásady ověřování a vazby uživatelského jména prostřednictvím operace aktualizace. Pokud chcete aktualizovat zásady, spusťte požadavek PATCH.

    Text požadavku:

    PATCH https: //graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Získáte 204 No content kód odpovědi. Znovu spusťte požadavek GET, abyste měli jistotu, že jsou zásady správně aktualizované.

  8. Otestujte konfiguraci přihlášením pomocí certifikátu, který splňuje zásady.

Další kroky