Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Vaše organizace může pomocí ověřování založeného na certifikátech Microsoft Entra (CBA) povolit nebo vyžadovat, aby se uživatelé ověřili přímo pomocí certifikátů X.509 ověřených v MICROSOFT Entra ID pro přihlašování k aplikacím a prohlížeči.
Tuto funkci použijte k přijetí ověřování odolného proti útokům phishing a k ověření pomocí certifikátů X.509 vůči infrastruktuře veřejných klíčů (PKI).
Co je Microsoft Entra CBA?
Než byla k dispozici cloudově spravovaná podpora pro CBA v rámci Microsoft Entra ID, musela organizace implementovat federované CBA, aby uživatelé mohli ověřovat pomocí certifikátů X.509 vůči Microsoft Entra ID. Zahrnovalo nasazení služby Active Directory Federation Services (AD FS). S Microsoft Entra CBA můžete provést ověření přímo proti Microsoft Entra ID a eliminovat potřebu federované služby AD FS, a to pro zjednodušené prostředí a snížení nákladů.
Další obrázky ukazují, jak Microsoft Entra CBA zjednodušuje vaše prostředí odstraněním federované služby AD FS.
CBA s federovanou službou AD FS
Microsoft Entra CBA
Klíčové výhody používání jazyka Microsoft Entra CBA
| Prospěch | Popis |
|---|---|
| Vylepšené uživatelské prostředí | – Uživatelé, kteří potřebují CBA, se teď můžou přímo ověřit vůči ID Microsoft Entra a nemusí investovat do federované služby AD FS. – Pomocí Centra pro správu můžete snadno mapovat pole certifikátů na atributy objektu uživatele a vyhledat uživatele v tenantovi (vazby uživatelského jména certifikátu). – Pomocí Centra pro správu nakonfigurujte zásady ověřování , které vám pomůžou určit, které certifikáty jsou jednofaktorové a multifaktorové. |
| Snadné nasazení a správa | – Microsoft Entra CBA je bezplatná funkce. K jeho použití nepotřebujete žádné placené edice Microsoft Entra ID. – Není nutné provádět složitá místní nasazení ani konfiguraci sítě. – Přímé ověření proti Microsoft Entra ID. |
| Zabezpečený | – Místní hesla nemusí být uložená v cloudu v žádné podobě. - Chrání vaše uživatelské účty tím, že bezproblémově pracuje se zásadami podmíněného přístupu Microsoft Entra, včetně vícefaktorového ověřování odolného proti útokům phishing (MFA). Vícefaktorové ověřování vyžaduje licencovanou edici a vyžaduje blokování staršího ověřování. – Podpora silného ověřování. Správci můžou definovat zásady ověřování prostřednictvím polí certifikátů, jako je vystavitel nebo identifikátor objektu zásad (OID zásad), a určit, které certifikáty se kvalifikují jako jednofaktorové a vícefaktorové. – Tato funkce bezproblémově funguje s funkcemi Podmíněného přístupu a schopností silného ověřování k vynucení vícefaktorového ověřování, což pomáhá zabezpečit vaše uživatele. |
Podporované scénáře
Podporovány jsou následující scénáře:
Přihlášení uživatelů k aplikacím založeným na webovém prohlížeči na všech platformách
Přihlášení uživatelů k mobilním aplikacím Office na platformách iOS a Android a nativních aplikací Office ve Windows, včetně Outlooku a OneDrivu
Přihlášení uživatelů v mobilních nativních prohlížečích
Granulární autentizační pravidla pro vícefaktorové ověřování pomocí subjektu vystavitele certifikátu a OID zásad
Přiřazení uživatelských účtů k certifikátům pomocí libovolného pole certifikátu:
-
SubjectAlternativeName(SAN),PrincipalName, aRFC822Name -
SubjectKeyIdentifier(SKI) aSHA1PublicKey -
IssuerAndSubjectaIssuerAndSerialNumber
-
Vazby uživatelského účtu na certifikát pomocí libovolného atributu uživatelského objektu:
userPrincipalNameonPremisesUserPrincipalNamecertificateUserIds
Nepodporované scénáře
Následující scénáře se nepodporují:
- CBA se nepodporuje v přihlašování přes web při přihlášení do Windows (na zamykací/přihlašovací obrazovce).
- Podporován je pouze jeden distribuční bod seznamu CRL (CDP) pro důvěryhodnou certifikační autoritu.
- CDP mohou být pouze adresy URL HTTP. Nepodporujeme adresy URL protokolu OCSP (Online Certificate Status Protocol) ani adresy URL protokolu LDAP (Lightweight Directory Access Protocol).
- Heslo jako metodu ověřování nejde vypnout. Zobrazí se možnost přihlášení pomocí hesla, i když je pro uživatele k dispozici metoda Microsoft Entra CBA.
Známé omezení certifikátů Windows Hello pro firmy
I když se Windows Hello pro firmy dá použít pro vícefaktorové ověřování v Microsoft Entra ID, Windows Hello pro firmy se nepodporuje pro nové vícefaktorové ověřování. Certifikáty pro uživatele můžete zaregistrovat pomocí klíče nebo páru Windows Hello pro firmy. Při správné konfiguraci lze certifikáty Windows Hello pro firmy použít pro vícefaktorové ověřování v Microsoft Entra ID.
Certifikáty Windows Hello pro firmy jsou kompatibilní s Microsoft Entra CBA v prohlížečích Microsoft Edge a Chrome. Certifikáty Windows Hello pro firmy v současnosti nejsou kompatibilní s Microsoft Entra CBA v jiných scénářích, například v aplikacích Office 365. Řešením je použít možnost přihlásit se ve Windows Hello nebo klíč zabezpečení (pokud je k dispozici). Tato možnost nepoužívá certifikáty k ověřování a vyhne se problému s Microsoft Entra CBA. V některých dřívějších aplikacích nemusí být tato možnost dostupná.
Mimo rozsah
Následující scénáře jsou mimo rozsah použití Microsoft Entra CBA:
- Vytvoření nebo poskytnutí infrastruktury veřejných klíčů (PKI) pro vytváření klientských certifikátů Musíte nakonfigurovat vlastní pkI a zřizovat certifikáty pro uživatele a zařízení.