Konfigurieren der zertifikatbasierten Azure AD-Authentifizierung

Die zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) in Azure Active Directory (Azure AD) ermöglicht es Organisationen, ihre Azure AD-Mandanten so zu konfigurieren, dass sich Benutzer*innen mit X.509-Zertifikaten authentifizieren können oder müssen, die von ihrer Public Key-Infrastruktur (PKI) für Unternehmen für die Anmeldung bei Apps und Browsern erstellt wurden. Mit diesem Feature können Organisationen die gegen Phishing geschützte, moderne Authentifizierung ohne Kennwörter mithilfe eines X.509-Zertifikats übernehmen.

Während der Anmeldung wird Benutzer*innen eine Option zur Authentifizierung mit einem Zertifikat angezeigt, anstatt ein Kennwort einzugeben. Wenn mehrere übereinstimmende Zertifikate auf dem Gerät vorhanden sind, können Benutzer*innen auswählen, welches Zertifikat verwendet werden soll. Das Zertifikat wird mit dem Benutzerkonto abgeglichen, und wenn dies erfolgreich ist, erfolgt die Anmeldung.

Befolgen Sie diese Anweisungen, um Azure AD CBA für Mandanten in Office 365 Enterprise- und US Government-Plänen zu konfigurieren und zu verwenden. Sie sollten bereits eine Public Key-Infrastruktur (PKI) konfiguriert haben.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Konfigurieren Sie mindestens eine Zertifizierungsstelle und alle Zwischenzertifizierungsstellen in Azure Active Directory.
  • Benutzer*innen müssen Zugriff auf ein Benutzerzertifikat haben (ausgestellt von einer auf dem Mandanten konfigurierten vertrauenswürdigen Public Key-Infrastruktur), das für die Clientauthentifizierung zur Authentifizierung bei Azure AD vorgesehen ist.
  • Jede Zertifizierungsstelle sollte über eine Zertifikatsperrliste (Certificate Revocation List, CRL) verfügen, auf die über URLs mit Internetzugriff verwiesen werden kann. Wenn für die vertrauenswürdige Zertifizierungsstelle keine Zertifikatsperrliste konfiguriert ist, führt Azure AD keine Überprüfung der Zertifikatsperrliste durch, die Sperrung von Benutzerzertifikaten funktioniert nicht, und die Authentifizierung wird nicht blockiert.

Wichtig

Stellen Sie sicher, dass die PKI ausreichend gesichert ist und nicht so leicht kompromittiert werden kann. Im Falle einer Gefährdung können Angreifer*innen Clientzertifikate erstellen und signieren und alle Benutzer*innen im Mandanten kompromittieren (sowohl synchronisierte Benutzer*innen als auch reine Cloudbenutzer*innen). Eine starke Schlüsselschutzstrategie kann jedoch zusammen mit anderen physischen und logischen Kontrollen wie HSM-Aktivierungskarten oder Token für die sichere Speicherung von Artefakten eine tiefgreifende Verteidigung bieten. So lässt sich verhindern, dass externe Angreifer*innen oder Bedrohungen durch Insider*innen die Integrität der PKI gefährden. Weitere Informationen finden Sie unter Schützen einer Public Key-Infrastruktur.

Hinweis

Bei der Bewertung einer PKI ist es wichtig, die Richtlinien für die Ausstellung und Durchsetzung von Zertifikaten zu überprüfen. Wie bereits erwähnt, ermöglicht das Hinzufügen von Zertifizierungsstellen zur Azure AD-Konfiguration, dass von diesen ZS ausgestellte Zertifikate jede*n Benutzer*in in Azure AD authentifizieren können. Aus diesem Grund ist es wichtig zu bedenken, wie und wann die Zertifizierungsstellen Zertifikate ausstellen dürfen und wie sie wiederverwendbare Bezeichner implementieren. Wenn Administrator*innen sicherstellen müssen, dass nur ein bestimmtes Benutzerzertifikat zur Authentifizierung verwendet werden darf, sollten sie ausschließlich Bindungen mit hoher Affinität verwenden. So lässt sich eher sicherstellen, dass nur ein bestimmtes Zertifikat zur Authentifizierung der Benutzerin bzw. des Benutzers verwendet werden kann. Weitere Informationen finden Sie unter Bindungen mit hoher Affinität.

Schritte zum Konfigurieren und Testen der zertifikatbasierten Azure AD-Authentifizierung

Einige Konfigurationsschritte, die auszuführen sind, bevor Sie Azure AD CBA aktivieren. Zunächst muss ein*e Administrator*in die vertrauenswürdigen Zertifizierungsstellen konfigurieren, die Benutzerzertifikate ausstellen. Wie in der folgenden Abbildung dargestellt, wird die rollenbasierte Zugriffssteuerung verwendet, um sicherzustellen, dass nur Administrator*innen mit den geringsten Berechtigungen Änderungen vornehmen dürfen. Nur die Rolle Privilegierter Authentifizierungsadministrator kann die Zertifizierungsstelle konfigurieren.

Optional können Sie auch Authentifizierungsbindungen konfigurieren, um Zertifikate einer einstufigen Authentifizierung oder einer Multi-Faktor-Authentifizierung zuzuordnen. Zudem können Sie Benutzernamenbindungen konfigurieren, um einem Attribut des Benutzerobjekts ein Zertifikatfeld zuzuordnen. Authentifizierungsrichtlinienadministrator*innen können benutzerbezogene Einstellungen konfigurieren. Sobald alle Konfigurationen abgeschlossen sind, aktivieren Sie die zertifikatbasierte Azure AD-Authentifizierung für den Mandanten.

Diagramm der erforderlichen Schritte zum Aktivieren der zertifikatbasierten Azure Active Directory-Authentifizierung

Schritt 1: Konfigurieren der Zertifizierungsstellen

Sie können Zertifizierungsstellen mithilfe des Azure-Portals oder PowerShell konfigurieren.

Konfigurieren von Zertifizierungsstellen mithilfe des Azure-Portals

Führen Sie die folgenden Schritte aus, um die zertifikatbasierte Authentifizierung zu aktivieren und Benutzerbindungen im Azure-Portal zu konfigurieren:

  1. Melden Sie sich als globaler Administrator am Azure-Portal an.

  2. Klicken Sie auf Azure Active Directory>Sicherheit.

    Screenshot der Zertifizierungsstellen

  3. Um eine Zertifizierungsstelle hochzuladen, klicken Sie auf Hochladen:

    1. Wählen Sie die Zertifizierungsstellendatei aus.

    2. Wählen Sie Ja aus, wenn es sich bei der Zertifizierungsstelle um ein Stammzertifikat handelt. Wählen Sie andernfalls Nein aus.

    3. Legen Sie die HTTP-Internet-URL für die Basissperrliste der Zertifizierungsstelle fest, die alle widerrufenen Zertifikate enthält. Wenn die URL nicht festgelegt ist, schlägt die Authentifizierung mit widerrufenen Zertifikaten auch nicht fehl.

    4. Legen Sie die Delta-CRL-URL fest – die HTTP-Internet-URL für die Sperrliste, die alle gesperrten Zertifikate seit der letzten Veröffentlichung der Basissperrliste enthält.

    5. Klicken Sie auf Hinzufügen.

      Screenshot des Hochladens der Zertifizierungsstellendatei

  4. Um ein Zertifizierungsstellenzertifikat zu löschen, wählen Sie das Zertifikat aus, und klicken Sie dann auf Löschen.

  5. Klicken Sie auf Spalten, um Spalten hinzuzufügen oder zu löschen.

Konfigurieren von Zertifizierungsstellen mit PowerShell

Es wird nur ein CRL-Verteilungspunkt (CDP) für eine vertrauenswürdige Zertifizierungsstelle unterstützt. Der CDP kann nur HTTP-URLs umfassen. Es werden weder OSCP-URLs (Online Certificate Status Protocol) noch LDAP-URLs (Lightweight Directory Access Protocol) unterstützt.

Laden Sie zum Konfigurieren Ihrer Zertifizierungsstellen in Azure Active Directory für jede Zertifizierungsstelle Folgendes hoch:

  • Den öffentlichen Teil des Zertifikats im Format CER
  • Die Internet-URLs der Zertifikatsperrlisten

So sieht das Schema für eine Zertifizierungsstelle aus:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Für die Konfiguration können Sie Azure Active Directory PowerShell, Version 2 verwenden:

  1. Starten Sie Windows PowerShell mit Administratorrechten.

  2. Installieren Sie das Azure AD-Modul Version 2.0.0.33 oder höher.

        Install-Module -Name AzureAD –RequiredVersion 2.0.0.33
    

Im ersten Konfigurationsschritt müssen Sie eine Verbindung mit Ihrem Mandanten herstellen. Sobald eine Verbindung mit Ihrem Mandanten hergestellt ist, können Sie die in Ihrem Verzeichnis definierten vertrauenswürdigen Zertifizierungsstellen überprüfen, hinzufügen, löschen und ändern.

Verbinden

Stellen Sie eine Verbindung mit Ihrem Mandanten mit dem Connect-AzureAD-Cmdlet her:

    Connect-AzureAD

Gerätehandle

Rufen Sie die in Ihrem Verzeichnis definierten vertrauenswürdigen Zertifizierungsstellen mit dem Get-AzureADTrustedCertificateAuthority-Cmdlet ab.

    Get-AzureADTrustedCertificateAuthority

Hinzufügen

Um eine vertrauenswürdige Zertifizierungsstelle mit dem Cmdlet New-AzureADTrustedCertificateAuthority zu erstellen, legen Sie das Attribut crlDistributionPoint auf den richtigen Wert fest:

    $cert=Get-Content -Encoding byte "[LOCATION OF THE CER FILE]"
    $new_ca=New-Object -TypeName Microsoft.Open.AzureAD.Model.CertificateAuthorityInformation
    $new_ca.AuthorityType=0
    $new_ca.TrustedCertificate=$cert
    $new_ca.crlDistributionPoint="<CRL Distribution URL>"
    New-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $new_ca

AuthorityType

  • Mit 0 geben Sie an, dass es sich um eine Stammzertifizierungsstelle handelt.
  • Mit 1 geben Sie an, dass es sich um eine Zwischen- oder ausstellende Zertifizierungsstelle handelt.

crlDistributionPoint

Sie können die Zertifikatssperrliste herunterladen und das ZS-Zertifikat mit den Informationen der Zertifikatssperrliste vergleichen, um zu überprüfen, ob der Wert crlDistributionPoint aus dem vorangegangenen PowerShell-Beispiel für die hinzuzufügende Zertifizierungsstelle gültig ist.

Die folgende Tabelle und Grafik zeigen, wie Informationen aus dem ZS-Zertifikat den Attributen der heruntergeladenen Zertifikatsperrliste zugeordnet werden.

Informationen zum Zertifizierungsstellenzertifikat = Informationen zur heruntergeladenen Zertifikatsperrliste
Subject = Issuer (Aussteller)
Schlüsselkennung des Antragstellers = Zertifizierungsstellenschlüssel-ID (KeyID)

Vergleichen Sie das ZS-Zertifikat mit Informationen der Zertifikatssperrliste.

Tipp

Der crlDistributionPoint-Wert im obigen Beispiel ist der HTTP-Speicherort für die Zertifikatsperrliste der Zertifizierungsstelle (Certificate Revocation List, CRL). Dieser ist an einigen wenigen Stellen zu finden.

  • Im CDP-Attribut (CRL Distribution Point) eines Zertifikats, das von der Zertifizierungsstelle ausgestellt wurde.

Wenn die ausstellende Zertifizierungsstelle Windows Server ist:

  • In den Eigenschaften der Zertifizierungsstelle in der Microsoft Management Console (MMC) für die Zertifizierungsstelle.
  • Führen Sie die Zertifizierungsstelle durch Ausführen von certutil -cainfo cdp aus. Weitere Informationen finden Sie unter certutil.

Weitere Informationen finden Sie unter Grundlegendes zum Zertifikatsperrprozess.

Remove (Entfernen)

Entfernen Sie eine vertrauenswürdige Zertifizierungsstelle mit dem Remove-AzureADTrustedCertificateAuthority-Cmdlet:

    $c=Get-AzureADTrustedCertificateAuthority
    Remove-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[2]

Sie können den Befehl ändern, um das 0te Element zu entfernen, indem Sie den Wert in Remove-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0] ändern.

Ändern

Ändern Sie eine vertrauenswürdige Zertifizierungsstelle mit dem Set-AzureADTrustedCertificateAuthority-Cmdlet:

    $c=Get-AzureADTrustedCertificateAuthority
    $c[0].AuthorityType=1
    Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]

Schritt 2: Aktivieren der zertifikatbasierten Authentifizierung für den Mandanten

Führen Sie die folgenden Schritte aus, um die zertifikatbasierte Authentifizierung im Azure-Portal zu aktivieren:

  1. Melden Sie sich mit der Rolle „Authentifizierungsrichtlinienadministrator“ beim Azure-Portal an.

  2. Wählen Sie Azure Active Directory aus, und klicken Sie dann im Menü auf der linken Seite auf Sicherheit.

  3. Klicken Sie unter Verwalten auf Authentifizierungsmethoden>Zertifikatbasierte Authentifizierung.

  4. Klicken Sie unter Grundeinstellungen auf Ja, um die zertifikatbasierte Authentifizierung zu aktivieren.

  5. Die CBA kann für eine bestimmte Gruppe von Benutzer*innen aktiviert werden.

    1. Klicken Sie auf Alle Benutzer, um alle Benutzer*innen zu aktivieren.
    2. Klicken Sie auf Benutzer auswählen, um ausgewählte Benutzer*innen oder Gruppen zu aktivieren.
    3. Klicken Sie auf + Benutzer hinzufügen, und wählen Sie bestimmte Benutzer*innen und Gruppen aus.
    4. Klicken Sie auf Auswählen, um sie hinzuzufügen.

    Screenshot der Aktivierung von CBA

Sobald die zertifikatbasierte Authentifizierung für den Mandanten aktiviert ist, wird allen Benutzer*innen im Mandanten die Option zum Anmelden mit einem Zertifikat angezeigt. Nur Benutzer*innen, die für die zertifikatbasierte Authentifizierung aktiviert sind, können sich mit dem X.509-Zertifikat authentifizieren.

Hinweis

Netzwerkadministrator*innen sollten den Zugriff zusätzlich zu „login.microsoftonline.com“ auf den certauth-Endpunkt für die Cloudumgebung der Kund*innen gewähren. Deaktivieren Sie die TLS-Überprüfung für den certauth-Endpunkt, um sicherzustellen, dass die Clientzertifikatanforderung im Rahmen des TLS-Handshakes erfolgreich ist.

Schritt 3: Konfigurieren der Authentifizierungsbindungsrichtlinie

Die Authentifizierungsbindungsrichtlinie hilft dabei, die Stärke der Authentifizierung auf entweder einen einzelnen oder mehrere Faktoren festzulegen. Administrator*innen können den Standardwert von einem einzelnen Faktor in mehrere Faktoren ändern und durch das Zuordnen zu den Feldern „issuerSubject“ oder „policyOID“ im Zertifikat benutzerdefinierte Richtlinienregeln konfigurieren.

Führen Sie die folgenden Schritte aus, um Azure AD CBA zu aktivieren und Benutzerbindungen im Azure-Portal zu konfigurieren:

  1. Melden Sie sich mit der Rolle „Authentifizierungsrichtlinienadministrator“ beim Azure-Portal an.

  2. Wählen Sie Azure Active Directory aus, und klicken Sie dann im Menü auf der linken Seite auf Sicherheit.

  3. Klicken Sie auf Authentifizierungsmethoden>Richtlinien.

  4. Klicken Sie unter Verwalten auf Authentifizierungsmethoden>Zertifikatbasierte Authentifizierung.

    Screenshot: Authentifizierungsrichtlinie

  5. Klicken Sie auf Konfigurieren, um die Authentifizierungsbindung und die Benutzernamenbindung einzurichten.

  6. Das Schutzebenenattribut weist den Standardwert Einstufige Authentifizierung auf. Wählen Sie Multi-Faktor-Authentifizierung aus, um den Standardwert in eine MFA zu ändern.

    Hinweis

    Der Standardwert für die Schutzebene ist wirksam, wenn keine benutzerdefinierten Regeln hinzugefügt werden. Wenn benutzerdefinierte Regeln hinzugefügt werden, wird stattdessen die auf der Regelebene definierte Schutzebene berücksichtigt.

    Screenshot der Änderung der Standardrichtlinie in MFA

  7. Sie können auch benutzerdefinierte Authentifizierungsbindungsregeln einrichten, um die Schutzebene für Clientzertifikate zu bestimmen. Sie kann mithilfe der Felder „issuerSubject“ bzw. „policyOID“ im Zertifikat konfiguriert werden.

    Authentifizierungsbindungsregeln ordnen die Zertifikatattribute (Zertifikataussteller oder Richtlinien-OID) einem Wert zu und wählen die Standardschutzebene für diese Regel aus. Es können mehrere Regeln erstellt werden.

    Klicken Sie auf Regel hinzufügen, um benutzerdefinierte Regeln hinzuzufügen.

    Screenshot des Hinzufügens einer Regel

    Klicken Sie auf Zertifikataussteller, um eine Regel nach Zertifikataussteller zu erstellen.

    1. Wählen Sie im Listenfeld einen Zertifikatausstellerbezeichner aus.

    2. Wählen Sie Multi-Faktor-Authentifizierung aus.

      Screenshot der Multi-Faktor-Authentifizierungsrichtlinie

    Klicken Sie auf Richtlinien-OID, um eine Regel nach Richtlinien-OID zu erstellen.

    1. Geben Sie einen Wert für Richtlinien-OID ein.

    2. Wählen Sie Multi-Faktor-Authentifizierung aus.

      Screenshot der Zuordnung zu Richtlinien-OID

  8. Klicken Sie auf OK, um eine benutzerdefinierte Regel zu speichern.

Schritt 4: Konfigurieren der Bindungsrichtlinie für Benutzernamen

Die Bindungsrichtlinie für Benutzernamen hilft beim Überprüfen des Benutzerzertifikats. Standardmäßig wird der Prinzipalname im Zertifikat „UserPrincipalName“ im Benutzerobjekt zugeordnet, um Benutzer*innen zu bestimmen. Administrator*innen können die Standardeinstellung überschreiben und eine benutzerdefinierte Zuordnung erstellen.

Informationen zum Konfigurieren der Benutzernamenbindung finden Sie unter Funktionsweise der Benutzernamenbindung.

Wichtig

Wenn eine Bindungsrichtlinie für Benutzernamen synchronisierte Attribute verwendet, z. B. „onPremisesUserPrincipalName“-Attribut des Benutzerobjekts, beachten Sie, dass alle Benutzer*innen mit Active Directory-Administratorrechten Änderungen vornehmen können, die sich auf den Wert „onPremisesUserPrincipalName“ in Azure AD für alle synchronisierten Konten auswirken. Hierzu gehören auch Benutzer*innen mit delegierten Administratorrechten über synchronisierte Benutzerkonten oder administrativen Rechten über die Azure AD Connect-Server.

  1. Erstellen Sie die Benutzernamenbindung, indem Sie eines der X.509-Zertifikatfelder auswählen, um eine Bindung mit einem der Benutzerattribute herzustellen. Die Reihenfolge der Benutzernamenbindung stellt die Prioritätsebene der Bindung dar. Die erste hat die höchste Priorität, und so weiter.

    Screenshot einer Bindungsrichtlinie für Benutzernamen

    Wenn das angegebene X.509-Zertifikatfeld im Zertifikat gefunden wird, aber Azure AD kein Benutzerobjekt mit diesem Wert findet, tritt bei der Authentifizierung ein Fehler auf. Azure AD führt ein Fallback aus und probiert die nächste Bindung in der Liste aus.

  2. Klicken Sie zum Speichern der Änderungen auf Speichern.

Die endgültige Konfiguration sieht wie auf dieser Abbildung aus:

Screenshot der endgültigen Konfiguration

Schritt 5: Testen der Konfiguration

In diesem Abschnitt wird beschrieben, wie Sie Ihr Zertifikat und benutzerdefinierte Authentifizierungsbindungsregeln testen.

Testen Ihres Zertifikats

Als ersten Konfigurationstest sollten Sie versuchen, sich mit dem Browser auf Ihrem Gerät beim MyApps-Portal anzumelden.

  1. Geben Sie Ihren Benutzerprinzipalnamen (User Principal Name, UPN) ein.

    Screenshot des Benutzerprinzipalnamens

  2. Klicken Sie auf Weiter.

    Screenshot der Anmeldung mit Zertifikat

    Wenn Sie andere Authentifizierungsmethoden wie etwa die Anmeldung per Telefon oder FIDO2 aktiviert haben, wird Benutzer*innen möglicherweise ein anderer Anmeldebildschirm angezeigt.

    Screenshot der alternativen Anmeldung

  3. Klicken Sie auf Mit Zertifikat anmelden.

  4. Wählen Sie auf der Benutzeroberfläche der Clientzertifikatauswahl das richtige Benutzerzertifikat aus, und klicken Sie auf OK.

Screenshot der Benutzeroberfläche für die Zertifikatauswahl

  1. Benutzer*innen sollten beim MyApps-Portal angemeldet sein.

Wenn die Anmeldung erfolgreich ist, wissen Sie:

  • Das Benutzerzertifikat wurde auf Ihrem Testgerät bereitgestellt.
  • Azure Active Directory ist mit vertrauenswürdigen Zertifizierungsstellen ordnungsgemäß konfiguriert.
  • Die Benutzernamenbindung ist ordnungsgemäß konfiguriert, und Benutzer*innen werden gefunden und authentifiziert.

Testen von benutzerdefinierten Authentifizierungsbindungsregeln

Sehen wir uns ein Szenario an, in dem wir eine starke Authentifizierung überprüfen. Wir erstellen zwei Authentifizierungsrichtlinienregeln, eine mithilfe des Ausstellers zur Erfüllung der einstufigen Authentifizierung und eine andere mithilfe von Richtlinien-OID, um die Multi-Faktor-Authentifizierung zu erfüllen.

  1. Erstellen Sie eine issuerSubject-Regel mit Schutzebene als einstufige Authentifizierung und einem Wert, der auf den Subject-Wert Ihrer Zertifizierungsstellen festgelegt ist. Zum Beispiel:

    CN = WoodgroveCA

  2. Erstellen Sie eine policyOID-Regel mit der Multi-Faktor-Authentifizierung als Schutzebene und einem Wert, der auf eine der Richtlinien-OIDs in Ihrem Zertifikat festgelegt ist. Beispiel: 1.2.3.4.

    Screenshot der OID-Richtlinienregel

  3. Erstellen Sie eine Richtlinie für bedingten Zugriff, damit Benutzer*innen die Multi-Faktor-Authentifizierung anfordern können, indem Sie die Schritte unter Bedingter Zugriff: Anfordern der MFA für alle Benutzer ausführen.

  4. Navigieren Sie zum MyApps-Portal. Geben Sie Ihren UPN ein, und klicken Sie auf Weiter.

    Screenshot des Benutzerprinzipalnamens

  5. Klicken Sie auf Mit Zertifikat anmelden.

    Screenshot der Anmeldung mit Zertifikat

    Wenn Sie andere Authentifizierungsmethoden wie etwa die Anmeldung per Telefon oder FIDO2 aktiviert haben, wird Benutzer*innen möglicherweise ein anderer Anmeldebildschirm angezeigt.

    Screenshot der alternativen Anmeldung

  6. Wählen Sie das Clientzertifikat aus, und klicken Sie auf Zertifikatinformationen.

    Screenshot der Clientauswahl

  7. Das Zertifikat wird angezeigt, und Sie können die Werte für den Zertifikataussteller und den Richtlinien-OID überprüfen. Screenshot des Zertifikatausstellers

  8. Klicken Sie auf Details, um die Richtlinien-OID-Werte anzuzeigen.

    Screenshot der Authentifizierungsdetails

  9. Wählen Sie das Clientzertifikat aus, und klicken Sie auf OK.

  10. Der Richtlinien-OID im Zertifikat entspricht dem konfigurierten Wert 1.2.3.4 und erfüllt die Anforderungen der Multi-Faktor-Authentifizierung. Ebenso entspricht der Aussteller im Zertifikat dem konfigurierten Wert von CN=WoodgroveCA und erfüllt die Anforderungen der einstufigen Authentifizierung.

  11. Da die Richtlinien-OID-Regel Vorrang vor der Ausstellerregel hat, erfüllt das Zertifikat die Anforderungen der mehrstufigen Authentifizierung.

  12. Die Richtlinie für bedingten Zugriff für Benutzer*innen erfordert eine MFA, und das Zertifikat erfüllt die Anforderungen der Multi-Faktor-Authentifizierung, sodass Benutzer*innen bei der Anwendung authentifiziert werden.

Aktivieren der zertifikatbasierten Azure AD-Authentifizierung mithilfe der Graph-API

Führen Sie die folgenden Schritte aus, um die zertifikatbasierte Authentifizierung zu aktivieren und Benutzernamenbindungen mithilfe der Graph-API zu konfigurieren.

Hinweis

In den folgenden Schritten wird Graph-Tester verwendet. Dieses Tool ist in der US Government-Cloud nicht verfügbar. US Government-Cloudmandanten können Postman verwenden, um die Microsoft Graph-Abfragen zu testen.

  1. Navigieren Sie zu Microsoft Graph-Tester.

  2. Klicken Sie auf Sign into Graph Explorer (Bei Graph-Tester anmelden), und melden Sie sich bei Ihrem Mandanten an.

  3. Führen Sie die Schritte aus, um der delegierten Berechtigung Policy.ReadWrite.AuthenticationMethod zuzustimmen.

  4. GET-Befehl für alle Authentifizierungsmethoden:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
    
  5. GET-Befehl für die Konfiguration der x509Certificate-Authentifizierungsmethode:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate
    
  6. Standardmäßig ist die x509Certificate-Authentifizierungsmethode deaktiviert. Damit sich Benutzer*innen mit einem Zertifikat anmelden können, müssen Sie die Authentifizierungsmethode aktivieren und die Bindungsrichtlinien für die Authentifizierung und den Benutzernamen über einen Aktualisierungsvorgang konfigurieren. Führen Sie zum Aktualisieren der Richtlinie eine PATCH-Anforderung aus.

    Anforderungstext:

    PATCH https: //graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
    Content-Type: application/json
    
    {
        "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
        "id": "X509Certificate",
        "state": "enabled",
        "certificateUserBindings": [
            {
                "x509CertificateField": "PrincipalName",
                "userProperty": "onPremisesUserPrincipalName",
                "priority": 1
            },
            {
                "x509CertificateField": "RFC822Name",
                "userProperty": "userPrincipalName",
                "priority": 2
            }, 
            {
                "x509CertificateField": "PrincipalName",
                "userProperty": "certificateUserIds",
                "priority": 3
            }
        ],
        "authenticationModeConfiguration": {
            "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
            "rules": [
                {
                    "x509CertificateRuleType": "issuerSubject",
                    "identifier": "CN=WoodgroveCA ",
                    "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
                },
                {
                    "x509CertificateRuleType": "policyOID",
                    "identifier": "1.2.3.4",
                    "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
                }
            ]
        },
        "includeTargets": [
            {
                "targetType": "group",
                "id": "all_users",
                "isRegistrationRequired": false
            }
        ]
    }
    
  7. Sie erhalten einen 204 No content-Antwortcode. Führen Sie die GET-Anforderung erneut aus, um sicherzustellen, dass die Richtlinien ordnungsgemäß aktualisiert werden.

  8. Testen Sie die Konfiguration, indem Sie sich mit einem Zertifikat anmelden, das die Richtlinie erfüllt.

Nächste Schritte