Teilen über

Technische Konzepte für die zertifikatbasierte Microsoft Entra-Authentifizierung

In diesem Artikel werden technische Konzepte beschrieben, die erläutern, wie die zertifikatbasierte Authentifizierung (CBA) von Microsoft Entra funktioniert. Holen Sie sich den technischen Hintergrund, um besser zu wissen, wie Sie Microsoft Entra CBA in Ihrem Mandanten einrichten und verwalten.

Wie funktioniert zertifikatbasierte Authentifizierung mit Microsoft Entra?

Die folgende Abbildung zeigt, was passiert, wenn ein Benutzer versucht, sich bei einer Anwendung in einem Mandanten anzumelden, der Microsoft Entra CBA konfiguriert hat.

Diagramm, das eine Übersicht über die Schritte in der zertifikatbasierten Authentifizierung von Microsoft Entra zeigt.

Die folgenden Schritte fassen den Microsoft Entra CBA-Prozess zusammen:

  1. Ein Benutzer versucht, auf eine Anwendung zuzugreifen, z. B. das MyApps-Portal.

  2. Wenn der Benutzer noch nicht angemeldet ist, wird er zur Anmeldeseite des Microsoft Entra-ID-Benutzers umgeleitet unter https://login.microsoftonline.com/.

  3. Sie geben ihren Benutzernamen auf der Microsoft Entra-Anmeldeseite ein, und wählen Sie dann "Weiter" aus. Die Microsoft Entra-ID schließt die Ermittlung des Startbereichs mithilfe des Mandantennamens ab. Er verwendet den Benutzernamen, um den Benutzer im Mandanten nachzuschlagen.

    Screenshot der Anmeldeseite für das MyApps-Portal.

  4. Die Microsoft Entra-ID überprüft, ob CBA für den Mandanten eingerichtet ist. Wenn CBA eingerichtet ist, wird dem Benutzer auf der Kennwortseite ein Link zur Verwendung eines Zertifikats oder einer Smartcard angezeigt. Wenn der Benutzer den Anmeldelink nicht sieht, stellen Sie sicher, dass die CBA für den Mandanten eingerichtet ist.

    Weitere Informationen finden Sie unter Wie aktivieren wir Microsoft Entra CBA?.

    Hinweis

    Wenn CBA für den Mandanten eingerichtet ist, sehen alle Benutzer den Link " Zertifikat oder Smartcard verwenden " auf der Kennwortanmeldungsseite. Allerdings können sich nur Benutzer, die für die CBA im Gültigkeitsbereich sind, erfolgreich für eine Anwendung authentifizieren, die Microsoft Entra-ID als Identitätsanbieter verwendet.

    Screenshot der Option zum Verwenden eines Zertifikats oder einer Smartcard.

    Wenn Sie andere Authentifizierungsmethoden verfügbar machen, z. B. Telefonanmeldung oder Sicherheitsschlüssel, wird benutzern möglicherweise ein anderes Anmeldedialogfeld angezeigt.

    Screenshot des Anmeldedialogfelds, wenn die FIDO2-Authentifizierung ebenfalls verfügbar ist.

  5. Nachdem der Benutzer CBA ausgewählt hat, leitet der Client an den Zertifikatauthentifizierungsendpunkt um. Für die öffentliche Microsoft Entra-ID lautet https://certauth.login.microsoftonline.comder Zertifikatauthentifizierungsendpunkt . Für Azure Government lautet https://certauth.login.microsoftonline.usder Zertifikatauthentifizierungsendpunkt .

    Der Endpunkt führt die gegenseitige Tls-Authentifizierung (Transport Layer Security) durch und fordert das Clientzertifikat als Teil des TLS-Handshake an. Ein Eintrag für diese Anforderung wird im Anmeldeprotokoll angezeigt.

    Hinweis

    Ein Administrator sollte den Zugriff auf die Benutzeranmeldungsseite und den *.certauth.login.microsoftonline.com Zertifikatauthentifizierungsendpunkt für Ihre Cloudumgebung zulassen. Deaktivieren Sie die TLS-Prüfung auf dem Zertifikatauthentifizierungsendpunkt, um sicherzustellen, dass die Clientzertifikatanforderung als Teil des TLS-Handshake erfolgreich ist.

    Stellen Sie sicher, dass das Deaktivieren der TLS-Überprüfung auch für Ausstellerhinweise mit der neuen URL funktioniert. Codierten Sie die URL nicht mit der Mandanten-ID. Die Mandanten-ID kann sich für B2B-Benutzer (Business-to-Business) ändern. Verwenden Sie einen regulären Ausdruck, um sowohl die vorherige URL als auch die neue URL zuzulassen, wenn Sie die TLS-Überprüfung deaktivieren. Verwenden Sie z. B. je nach Proxy *.certauth.login.microsoftonline.com oder *certauth.login.microsoftonline.com. Verwenden Sie in Azure Government *.certauth.login.microsoftonline.us oder *certauth.login.microsoftonline.us.

    Sofern der Zugriff nicht zulässig ist, schlägt CBA fehl, wenn Sie Ausstellerhinweise aktivieren.

  6. Microsoft Entra ID fordert ein Clientzertifikat an. Der Benutzer wählt das Clientzertifikat und dann "OK" aus.

    Screenshot der Zertifikatauswahl.

  7. Die Microsoft Entra-ID überprüft die Zertifikatsperrliste (Certificate Revocation List, CRL), um sicherzustellen, dass das Zertifikat nicht widerrufen und gültig ist. Die Microsoft Entra-ID identifiziert den Benutzer mithilfe der im Mandanten konfigurierten Benutzernamenbindung , um den Zertifikatfeldwert dem Wert des Benutzerattributes zuzuordnen.

  8. Wenn ein eindeutiger Benutzer über eine Microsoft Entra-Richtlinie für bedingten Zugriff gefunden wird, die mehrstufige Authentifizierung (MFA) erfordert und die Zertifikatauthentifizierungsbindungsregel MFA erfüllt, meldet sich Die Microsoft Entra-ID sofort beim Benutzer an. Wenn MFA erforderlich ist, aber das Zertifikat nur einen einzigen Faktor erfüllt, werden kennwortlose Anmeldungen und FIDO2 als zweite Faktoren angeboten, wenn der Benutzer bereits registriert ist.

  9. Microsoft Entra ID gibt ein primäres Aktualisierungstoken zurück, um eine erfolgreiche Anmeldung zu signalisieren und den Anmeldeprozess abzuschließen.

Wenn die Benutzeranmeldung erfolgreich ist, kann der Benutzer auf die Anwendung zugreifen.

Ausstellerhinweise (Vorschau)

Ausstellerhinweise senden eine vertrauenswürdige Zertifizierungsstelle als Teil des TLS-Handshake zurück. Die Liste der vertrauenswürdigen Zertifizierungsstellen wird auf den Betreff der Zertifizierungsstellen festgelegt, die der Mandant in den Microsoft Entra Trust Store hochlädt. Ein Browserclient oder ein systemeigener Anwendungsclient kann die Hinweise verwenden, die der Server zurücksendet, um die in der Zertifikatauswahl angezeigten Zertifikate zu filtern. Der Client zeigt nur die Authentifizierungszertifikate an, die von den Zertifizierungsstellen im Vertrauensspeicher ausgestellt wurden.

Aktivieren von Ausstellerhinweisen

Um Ausstellerhinweise zu aktivieren, aktivieren Sie das Kontrollkästchen "Ausstellerhinweise ". Ein Authentifizierungsrichtlinienadministrator sollte "Ich bestätigen" auswählen, nachdem sichergestellt wurde, dass der Proxy, der die TLS-Überprüfung eingerichtet hat, ordnungsgemäß aktualisiert wurde, und dann die Änderungen speichern.

Hinweis

Wenn Ihre Organisation Über Firewalls oder Proxys verfügt, die TLS-Inspektion verwenden, bestätigen Sie, dass Sie die TLS-Inspektion des Ca-Endpunkts deaktiviert haben, der einen beliebigen Namen unter [*.]certauth.login.microsoftonline.com, angepasst gemäß dem jeweiligen verwendeten Proxy, abgleichen kann.

Screenshot, der zeigt, wie Ausstellerhinweise aktiviert werden.

Hinweis

Nachdem Sie Ausstellerhinweise aktiviert haben, weist die CA-URL das Format <tenantId>.certauth.login.microsoftonline.comauf.

Screenshot der Zertifikatauswahl, nachdem Sie Ausstellerhinweise aktiviert haben.

Aktualisierungsweitergabe des Zertifizierungsstellen-Vertrauensspeichers

Nachdem Sie Ausstellerhinweise aktiviert und CAs aus dem Vertrauensspeicher hinzugefügt, aktualisiert oder gelöscht haben, kann eine Verzögerung von bis zu 10 Minuten auftreten, während Ausstellerhinweise an den Client weitergegeben werden. Ein Authentifizierungsrichtlinienadministrator sollte sich mit einem Zertifikat anmelden, nachdem Ausstellerhinweise verfügbar gemacht wurden, um die Verteilung zu initiieren.

Benutzer können sich nicht mithilfe von Zertifikaten authentifizieren, die von neuen Zertifizierungsstellen ausgestellt werden, bis Hinweise weitergegeben werden. Benutzern wird die folgende Fehlermeldung angezeigt, wenn Updates des Zertifizierungsstellen-Vertrauensspeichers weitergegeben werden:

Screenshot, der die Fehlerbenutzer zeigt, ob Updates ausgeführt werden.

MFA mit einstufiger CBA

Microsoft Entra CBA qualifiziert sowohl für die erststufige Authentifizierung als auch für die zweitstufige Authentifizierung.

Hier sind einige unterstützte Kombinationen:

Hinweis

Derzeit hat die Verwendung von CBA als zweiter Faktor unter iOS bekannte Probleme und wird unter iOS blockiert. Wir arbeiten daran, die Probleme zu lösen.

Benutzer müssen eine Möglichkeit haben, MFA zu erhalten und kennwortlose Anmeldung oder FIDO2 vor der Anmeldung mit Microsoft Entra CBA zu registrieren.

Wichtig

Ein Benutzer gilt als MFA-fähig, wenn sein Benutzername in den CBA-Methodeneinstellungen angezeigt wird. In diesem Szenario kann der Benutzer seine Identität nicht als Teil seiner Authentifizierung verwenden, um andere verfügbare Methoden zu registrieren. Stellen Sie sicher, dass Benutzer ohne gültiges Zertifikat nicht in den CBA-Methodeneinstellungen enthalten sind. Weitere Informationen zur Funktionsweise der Authentifizierung finden Sie unter Microsoft Entra Multifaktor-Authentifizierung.

Optionen zum Abrufen der MFA-Funktion mit aktivierter CBA

Microsoft Entra CBA kann je nach Mandantenkonfiguration entweder einstufiger oder mehrstufiger Faktor sein. Durch das Aktivieren der CBA kann ein Benutzer MFA abschließen. Ein Benutzer mit einem einstufigen Zertifikat oder Kennwort muss einen anderen Faktor verwenden, um MFA abzuschließen.

Wir erlauben die Registrierung anderer Methoden nicht, ohne zuerst die MFA zu erfüllen. Wenn der Benutzer keine andere MFA-Methode registriert hat und sich für CBA im Gültigkeitsbereich befindet, kann der Benutzer keinen Identitätsnachweis verwenden, um andere Authentifizierungsmethoden zu registrieren und MFA abzurufen.

Wenn der CBA-fähige Benutzer nur über ein einstufiges Zertifikat verfügt und MFA abschließen muss, wählen Sie eine der folgenden Optionen aus, um den Benutzer zu authentifizieren:

  • Der Benutzer kann ein Kennwort eingeben und ein einstufiges Zertifikat verwenden.
  • Ein Authentifizierungsrichtlinienadministrator kann einen temporären Zugriffsdurchlauf ausstellen.
  • Ein Authentifizierungsrichtlinienadministrator kann eine Telefonnummer hinzufügen und die Sprach- oder Textnachrichtenauthentifizierung für das Benutzerkonto zulassen.

Wenn der CBA-fähige Benutzer kein Zertifikat ausgestellt hat und MFA abschließen muss, wählen Sie eine der folgenden Optionen aus, um den Benutzer zu authentifizieren:

  • Ein Authentifizierungsrichtlinienadministrator kann einen temporären Zugriffsdurchlauf ausstellen.
  • Ein Authentifizierungsrichtlinienadministrator kann eine Telefonnummer hinzufügen und die Sprach- oder Textnachrichtenauthentifizierung für das Benutzerkonto zulassen.

Wenn der CBA-fähige Benutzer kein mehrstufiges Zertifikat verwenden kann, z. B. wenn er ein mobiles Gerät ohne Smartcardunterstützung verwendet, aber MFA abschließen muss, wählen Sie eine der folgenden Optionen aus, um den Benutzer zu authentifizieren:

  • Ein Authentifizierungsrichtlinienadministrator kann einen temporären Zugriffsdurchlauf ausstellen.
  • Der Benutzer kann eine andere MFA-Methode registrieren (wenn der Benutzer ein mehrstufiges Zertifikat auf einem Gerät verwenden kann ).
  • Ein Authentifizierungsrichtlinienadministrator kann eine Telefonnummer hinzufügen und die Sprach- oder Textnachrichtenauthentifizierung für das Benutzerkonto zulassen.

Einrichten der kennwortlosen Telefonanmeldung mit CBA

Damit die Kennwortlose Telefonanmeldung funktioniert, deaktivieren Sie zuerst die legacy-Benachrichtigung über die mobile App für den Benutzer.

  1. Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.

  2. Führen Sie die unter "Kennwortlose Telefonanmeldungsauthentifizierung aktivieren" beschriebenen Schritte aus.

    Wichtig

    Stellen Sie sicher, dass Sie die Option "Kennwortlos " auswählen. Für alle Gruppen, die Sie zur Kennwortlosen Telefonanmeldung hinzufügen, müssen Sie den Wert für den Authentifizierungsmodus in "Kennwortlos" ändern. Wenn Sie "Any" auswählen, funktionieren CBA und kennwortlose Anmeldung nicht.

  3. Wählen Sie entra ID>Multifactor Authentication> aus.

    Screenshot, der zeigt, wie die MFA-Einstellungen konfiguriert werden.

  4. Deaktivieren Sie unter "Überprüfungsoptionen" das Kontrollkästchen "Benachrichtigung über mobile App ", und wählen Sie dann " Speichern" aus.

    Screenshot, der zeigt, wie Sie die Benachrichtigung über die Option für mobile Apps entfernen.

MFA-Authentifizierungsfluss mithilfe von einzelstufigen Zertifikaten und kennwortloser Anmeldung

Betrachten Sie ein Beispiel für einen Benutzer, der über ein einstufiges Zertifikat verfügt und für die kennwortlose Anmeldung konfiguriert ist. Als Benutzer führen Sie die folgenden Schritte aus:

  1. Geben Sie Ihren Benutzerprinzipalnamen (UPN) ein, und wählen Sie dann "Weiter" aus.

    Screenshot, der zeigt, wie Sie einen Benutzerprinzipalnamen eingeben.

  2. Wählen Sie "Zertifikat oder Smartcard verwenden" aus.

    Screenshot, der zeigt, wie Sie sich mit einem Zertifikat anmelden.

    Wenn Sie andere Authentifizierungsmethoden verfügbar machen, z. B. Telefonanmeldung oder Sicherheitsschlüssel, wird benutzern möglicherweise ein anderes Anmeldedialogfeld angezeigt.

    Screenshot, der eine alternative Möglichkeit zum Anmelden mit einem Zertifikat zeigt.

  3. Wählen Sie in der Clientzertifikatauswahl das richtige Benutzerzertifikat und dann "OK" aus.

    Screenshot, der zeigt, wie Sie ein Zertifikat auswählen.

  4. Da das Zertifikat so konfiguriert ist, dass es sich um die Stärke der einzelstufigen Authentifizierung handelt, benötigen Sie einen zweiten Faktor, um die MFA-Anforderungen zu erfüllen. Verfügbare zweite Faktoren werden im Anmeldedialogfeld angezeigt. In diesem Fall handelt es sich um eine kennwortlose Anmeldung. Wählen Sie " Genehmigen einer Anforderung" in meiner Microsoft Authenticator-App aus.

    Screenshot, der zeigt, wie eine zweite Anforderung abgeschlossen wird.

  5. Sie erhalten eine Benachrichtigung auf Ihrem Smartphone. Wählen Sie "Anmeldung genehmigen" aus. Screenshot der Genehmigungsanforderung für Telefone.

  6. Geben Sie in Microsoft Authenticator die Nummer ein, die im Browser oder in der App angezeigt wird.

    Screenshot, der eine Zahlenabgleichung zeigt.

  7. Wählen Sie "Ja" aus, und Sie können sich authentifizieren und sich anmelden.

Authentifizierungsbindungsrichtlinie

Die Authentifizierungsbindungsrichtlinie hilft dabei, die Stärke der Authentifizierung als einstufiger oder mehrstufiger Faktor festzulegen. Ein Authentifizierungsrichtlinienadministrator kann die Standardmethode von einstufiger in mehrstufiger Art ändern. Ein Administrator kann auch benutzerdefinierte Richtlinienkonfigurationen entweder mithilfe IssuerAndSubjectvon , oder PolicyOIDIssuerPolicyOID im Zertifikat einrichten.

Zertifikatstärke

Authentifizierungsrichtlinienadministratoren können bestimmen, ob die Zertifikatstärke einstufiger oder mehrstufiger Wert ist. Weitere Informationen finden Sie in der Dokumentation, die die NIST Authentication Assurance Levels den Microsoft Entra Authentifizierungsmethoden zuordnet und auf NIST SP 800-63B, Digital Identity Guidelines: Authentifizierung und Lebenszyklusverwaltung basiert.

Mehrstufige Zertifikatauthentifizierung

Wenn ein Benutzer über ein mehrstufiges Zertifikat verfügt, kann er MFA nur mithilfe von Zertifikaten ausführen. Ein Authentifizierungsrichtlinienadministrator sollte jedoch sicherstellen, dass die Zertifikate durch eine PIN oder biometrisch geschützt sind, die als multifaktorig betrachtet werden soll.

Bindungsregeln für mehrere Authentifizierungsrichtlinien

Sie können mehrere benutzerdefinierte Richtlinienregeln für die Authentifizierungsbindung erstellen, indem Sie unterschiedliche Zertifikatattribute verwenden. Ein Beispiel hierfür ist die Verwendung des Ausstellers und des Richtlinien-OID oder nur des Richtlinien-OID oder nur des Ausstellers.

Die folgende Sequenz bestimmt die Authentifizierungsschutzstufe, wenn sich benutzerdefinierte Regeln überlappen:

  1. Emittenten- und Richtlinien-OID-Regeln haben Vorrang vor Richtlinien-OID-Regeln. Richtlinien-OID-Regeln haben Vorrang vor Zertifikatausstellerregeln.
  2. Aussteller- und Richtlinien-OID-Regeln werden zuerst ausgewertet. Wenn Sie über eine benutzerdefinierte Regel mit Emittenten CA1 und Richtlinien-OID 1.2.3.4.5 mit MFA verfügen, erhält nur zertifikat A, das sowohl den Ausstellerwert als auch die Richtlinie OID erfüllt, MFA.
  3. Benutzerdefinierte Regeln, die Richtlinien-OIDs verwenden, werden ausgewertet. Wenn Sie über ein Zertifikat A mit Richtlinien-OID und 1.2.3.4.5 einer abgeleiteten Anmeldeinformation B verfügen, die auf diesem Zertifikat basiert, das eine Richtlinien-OID aufweist 1.2.3.4.5.6, und die benutzerdefinierte Regel als Richtlinien-OID definiert wird, die den Wert 1.2.3.4.5 mit MFA aufweist, erfüllt nur zertifikat A die MFA. Anmeldeinformationen B erfüllen nur die einzelstufige Authentifizierung. Wenn der Benutzer während der Anmeldung eine abgeleitete Anmeldeinformationen verwendet und für MFA konfiguriert wurde, wird der Benutzer um einen zweiten Faktor für die erfolgreiche Authentifizierung gebeten.
  4. Wenn es einen Konflikt zwischen mehreren Richtlinien-OIDs gibt (z. B. wenn ein Zertifikat zwei Richtlinien-OIDs aufweist, wobei eine Bindung an die einzelstufige Authentifizierung und die andere an MFA erfolgt), behandeln Sie das Zertifikat als einzelstufige Authentifizierung.
  5. Benutzerdefinierte Regeln, die Aussteller-Zertifizierungsstellen verwenden, werden ausgewertet. Wenn ein Zertifikat über übereinstimmende Richtlinien-OID- und Ausstellerregeln verfügt, wird die Richtlinien-OID immer zuerst überprüft. Wenn keine Richtlinienregel gefunden wird, werden die Ausstellerbindungen überprüft. Die Richtlinie OID hat eine höhere Bindungspriorität für die starke Authentifizierung als der Aussteller.
  6. Wenn eine Zertifizierungsstelle über eine MFA-Bindung verfügt, sind alle von der Zertifizierungsstelle ausgestellten Benutzerzertifikate als MFA qualifiziert. Die gleiche Logik gilt für die einzelstufige Authentifizierung.
  7. Wenn eine Richtlinien-OID an MFA gebunden ist, gelten alle Benutzerzertifikate, die diese Richtlinien-OID enthalten, als eine der OIDs als MFA. (Ein Benutzerzertifikat kann mehrere Richtlinien-OIDs aufweisen.)
  8. Ein Zertifikatheraussteller kann nur eine gültige bindung mit starker Authentifizierung haben (d. h. ein Zertifikat kann nicht an die einzelstufige Authentifizierung und an MFA gebunden werden).

Wichtig

Wenn ein Authentifizierungsrichtlinienadministrator in einem bekannten Problem, das behoben wird, eine CBA-Richtlinienregel mithilfe des Ausstellers und des Richtlinien-OID erstellt, sind einige Geräteregistrierungsszenarien betroffen.

Die betroffenen Szenarien umfassen:

  • Windows Hello for Business-Registrierung
  • FIDO2-Sicherheitsschlüsselregistrierung
  • Windows-Kennwortlose Telefonanmeldung

Geräteregistrierungen mit Workplace Join, Microsoft Entra ID und Microsoft Entra Hybrid-Szenarien sind nicht betroffen. CBA-Richtlinienregeln, die entweder den Aussteller oder die Richtlinien-OID verwenden, sind nicht betroffen.

Um das Problem zu beheben, sollte ein Authentifizierungsrichtlinienadministrator eine der folgenden Optionen ausführen:

  • Bearbeiten Sie die CBA-Richtlinienregel, die derzeit sowohl den Aussteller als auch die Richtlinien-OID verwendet, um entweder den Aussteller oder die Richtlinien-ID-Anforderung zu entfernen.
  • Entfernen Sie die Authentifizierungsrichtlinienregel, die derzeit sowohl den Aussteller als auch das Richtlinien-OID verwendet, und erstellen Sie dann eine Regel, die nur den Aussteller oder die Richtlinien-OID verwendet.

Richtlinie für die Benutzernamenbindung

Die Bindungsrichtlinie für Benutzernamen hilft beim Überprüfen des Benutzerzertifikats. Standardmäßig wird der Antragstelleralternative Name (SAN) Principal Name im Zertifikat dem userPrincipalName Attribut des Benutzerobjekts zugeordnet, um den Benutzer zu identifizieren.

Erreichen einer höheren Sicherheit mithilfe von Zertifikatbindungen

Microsoft Entra unterstützt sieben Methoden für die Verwendung von Zertifikatbindungen. Im Allgemeinen werden Zuordnungstypen als hohe Affinität betrachtet, wenn sie auf Bezeichnern basieren, die Sie nicht wiederverwenden können, z SubjectKeyIdentifier . B. (SKI) oder SHA1PublicKey. Diese Bezeichner vermitteln eine höhere Sicherheit, dass nur ein einzelnes Zertifikat zum Authentifizieren eines Benutzers verwendet werden kann.

Zuordnungstypen, die auf Benutzernamen und E-Mail-Adressen basieren, gelten als niedrige Affinität. Die Microsoft Entra-ID implementiert drei Zuordnungen, die basierend auf wiederverwendbaren Bezeichnern als low-affinity betrachtet werden. Die anderen werden als Bindungen mit hoher Affinität betrachtet. Weitere Informationen finden Sie unter certificateUserIds.

Zertifikatzuordnungsfeld Beispiele für Werte in certificateUserIds Benutzerobjektattribute Typ
PrincipalName X509:<PN>bob@woodgrove.com userPrincipalName
onPremisesUserPrincipalName
certificateUserIds		 Niedrige Affinität
RFC822Name X509:<RFC822>user@woodgrove.com userPrincipalName
onPremisesUserPrincipalName
certificateUserIds		 Niedrige Affinität
IssuerAndSubject X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest certificateUserIds Niedrige Affinität
Subject X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest certificateUserIds Niedrige Affinität
SKI X509:<SKI>aB1cD2eF3gH4iJ5kL6-mN7oP8qR= certificateUserIds Hohe Affinität
SHA1PublicKey X509:<SHA1-PUKEY>aB1cD2eF3gH4iJ5kL6-mN7oP8qR
Der SHA1PublicKey Wert (SHA1-Hash des gesamten Zertifikatinhalts, einschließlich des öffentlichen Schlüssels), befindet sich in der Thumbprint-Eigenschaft des Zertifikats.		 certificateUserIds Hohe Affinität
IssuerAndSerialNumber X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>cD2eF3gH4iJ5kL6mN7-oP8qR9sT
Um den richtigen Wert für die Seriennummer zu erhalten, führen Sie diesen Befehl aus, und speichern Sie den in certificateUserIds:
Syntax:
certutil –dump –v [~certificate path~] >> [~dumpFile path~]
Beispiel:
certutil -dump -v firstusercert.cer >> firstCertDump.txt		 certificateUserIds Hohe Affinität

Wichtig

Sie können das CertificateBasedAuthentication PowerShell-Modul verwenden, um den richtigen certificateUserIds Wert für einen Benutzer in einem Zertifikat zu finden.

Definieren und Überschreiben der Affinitätsbindung

Ein Authentifizierungsrichtlinienadministrator kann konfigurieren, ob Benutzer sich mithilfe der Bindungszuordnung mit niedriger Affinität oder einer Bindung von Benutzernamen mit hoher Affinität authentifizieren können.

Legen Sie die erforderliche Affinitätsbindung für den Mandanten fest, die für alle Benutzer gilt. Um den mandantenweiten Standardwert außer Kraft zu setzen, erstellen Sie benutzerdefinierte Regeln basierend auf dem Aussteller und dem Richtlinien-OID oder nur dem Richtlinien-OID oder nur dem Aussteller.

Bindungsregeln für mehrere Benutzernamenrichtlinien

Um mehrere Richtlinienbindungsregeln für Benutzernamen aufzulösen, verwendet Die Microsoft Entra-ID die höchste Prioritätsbindung (niedrigste Zahl):

  1. Sucht das Benutzerobjekt mithilfe des Benutzernamens oder UPNs.
  2. Ruft die Liste aller Benutzernamenbindungen ab, die vom Authentifizierungsrichtlinienadministrator in der vom Attribut sortierten Konfiguration der CBA-Methode eingerichtet wurden priority . Derzeit wird die Priorität nicht im Admin Center angezeigt. Microsoft Graph gibt das priority Attribut für jede Bindung zurück. Anschließend werden Prioritäten im Evaluierungsprozess verwendet.
  3. Wenn der Mandant eine Bindung mit hoher Affinität konfiguriert hat oder der Zertifikatwert einer benutzerdefinierten Regel entspricht, für die eine Bindung mit hoher Affinität erforderlich ist, werden alle Bindungen mit niedriger Affinität aus der Liste entfernt.
  4. Wertet jede Bindung in der Liste aus, bis eine erfolgreiche Authentifizierung erfolgt.
  5. Wenn das X.509-Zertifikatsfeld der konfigurierten Bindung im vorgelegten Zertifikat enthalten ist, gleicht Microsoft Entra ID den Wert im Zertifikatsfeld mit dem Wert des Benutzerobjektattributs ab.
    • Wenn eine Übereinstimmung gefunden wird, ist die Benutzerauthentifizierung erfolgreich.
    • Wenn eine Übereinstimmung nicht gefunden wird, wechselt zur nächsten Prioritätsbindung.
  6. Wenn das X.509-Zertifikatfeld nicht auf dem angezeigten Zertifikat vorhanden ist, wird zur nächsten Prioritätsbindung verschoben.
  7. Überprüft alle konfigurierten Benutzernamenbindungen, bis eine davon zu einer Übereinstimmung führt und die Benutzerauthentifizierung erfolgreich ist.
  8. Wenn bei keiner der konfigurierten Benutzernamenbindungen eine Übereinstimmung gefunden wird, schlägt die Benutzerauthentifizierung fehl.

Sichern der Microsoft Entra-Konfiguration mithilfe mehrerer Benutzernamenbindungen

Jedes der Microsoft Entra-Benutzerobjektattribute, die zum Binden von Zertifikaten an Microsoft Entra-Benutzerkonten (userPrincipalName, und onPremiseUserPrincipalName) verfügbar sind, weist eine eindeutige Einschränkung auf, certificateUserIdsum sicherzustellen, dass ein Zertifikat nur mit einem einzelnen Microsoft Entra-Benutzerkonto übereinstimmt. Microsoft Entra CBA unterstützt jedoch mehrere Bindungsmethoden in der Benutzernamenbindungsrichtlinie. Ein Authentifizierungsrichtlinienadministrator kann ein Zertifikat aufnehmen, das in mehreren Konfigurationen von Microsoft Entra-Benutzerkonten verwendet wird.

Wichtig

Wenn Sie mehrere Bindungen konfigurieren, ist die Microsoft Entra CBA-Authentifizierung nur so sicher wie Ihre Bindung mit der niedrigsten Affinität, da die CBA jede Bindung überprüft, um den Benutzer zu authentifizieren. Um ein Szenario zu verhindern, in dem ein einzelnes Zertifikat mehreren Microsoft Entra-Konten entspricht, kann ein Authentifizierungsrichtlinienadministrator:

  • Eine einzige Bindungsmethode in der Richtlinie für Benutzernamenbindungen konfigurieren.
  • Wenn ein Mandant mehrere Bindungsmethoden konfiguriert hat und nicht zulassen möchte, dass ein Zertifikat mehreren Konten zugeordnet werden kann, muss ein Authentifizierungsrichtlinienadministrator sicherstellen, dass alle zulässigen Methoden, die in der Richtlinie konfiguriert sind, demselben Microsoft Entra-Konto zugeordnet sind. Alle Benutzerkonten sollten Werte aufweisen, die allen Bindungen entsprechen.
  • Wenn ein Mandant mehrere Bindungsmethoden konfiguriert hat, sollte ein Authentifizierungsrichtlinienadministrator sicherstellen, dass er nicht mehr als eine Bindung mit niedriger Affinität aufweist.

Sie verfügen beispielsweise über zwei Benutzernamenbindungen, PrincipalName die zugeordnet UPNsind, und SubjectKeyIdentifier (SKI) ist zugeordnet certificateUserIds. Wenn ein Zertifikat nur für ein einzelnes Konto verwendet werden soll, muss ein Authentifizierungsrichtlinienadministrator sicherstellen, dass das Konto über den UPN verfügt, der im Zertifikat vorhanden ist. Anschließend implementiert der Administrator die SKI Zuordnung im certificateUserIds Attribut desselben Kontos.

Unterstützung für mehrere Zertifikate mit einem Microsoft Entra-Benutzerkonto (M:1)

In einigen Szenarien gibt eine Organisation mehrere Zertifikate für eine einzelne Identität aus. Es kann sich um eine abgeleitete Anmeldeinformation für ein mobiles Gerät handeln, aber es kann sich auch um ein sekundäres Smartcard- oder X.509-Anmeldeinformationshaltergerät wie ein YubiKey handeln.

Reine Cloudkonten (M:1)

Bei reinen Cloudkonten können Sie bis zu fünf Zu verwendende Zertifikate zuordnen, indem Sie das certificateUserIds Feld mit eindeutigen Werten auffüllen, um jedes Zertifikat zu identifizieren. Um die Zertifikate zuzuordnen, wechseln Sie im Admin Center zur Registerkarte "Autorisierungsinformationen ".

Wenn in der Organisation Bindungen mit hoher Affinität wie IssuerAndSerialNumber" verwendet werden, können Werte wie certificateUserIds das folgende Beispiel aussehen:

X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>cD2eF3gH4iJ5kL6mN7-oP8qR9sT
X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8-qR9sT0uV

In diesem Beispiel stellt der erste Wert X509Certificate1 dar. Der zweite Wert stellt X509Certificate2 dar. Der Benutzer kann beide Zertifikate bei der Anmeldung präsentieren. Wenn die CBA-Benutzernamenbindung so festgelegt ist, dass sie auf das certificateUserIds Feld zeigt, um nach dem spezifischen Bindungstyp (in diesem Beispiel) zu suchen, IssuerAndSerialNumbermeldet sich der Benutzer erfolgreich an.

Hybrid synchronisierte Konten (M:1)

Bei synchronisierten Konten können Sie mehrere Zertifikate zuordnen. Füllen Sie im lokalen Active Directory das altSecurityIdentities Feld mit den Werten auf, die jedes Zertifikat identifizieren. Wenn In Ihrer Organisation Bindungen mit hoher Affinität (d. b. starke Authentifizierung) IssuerAndSerialNumberverwendet werden, können die Werte wie die folgenden Beispiele aussehen:

X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>cD2eF3gH4iJ5kL6mN7-oP8qR9sT
X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8-qR9sT0uV

In diesem Beispiel stellt der erste Wert X509Certificate1 dar. Der zweite Wert stellt X509Certificate2 dar. Die Werte müssen dann mit dem certificateUserIds Feld in der Microsoft Entra-ID synchronisiert werden.

Unterstützung für ein Zertifikat mit mehreren Microsoft Entra-Benutzerkonten (1:M)

In einigen Szenarien erfordert eine Organisation, dass ein Benutzer dasselbe Zertifikat zur Authentifizierung bei mehreren Identitäten verwendet. Möglicherweise handelt es sich um ein Administratorkonto oder für ein Entwickler- oder temporäres Pflichtkonto.

Im lokalen Active Directory füllt das altSecurityIdentities Feld die Zertifikatwerte auf. Ein Hinweis wird während der Anmeldung verwendet, um Active Directory an das beabsichtigte Konto zu leiten, um die Anmeldung zu überprüfen.

Microsoft Entra CBA hat einen anderen Prozess, und es ist kein Hinweis enthalten. Stattdessen identifiziert die Startbereichsermittlung das beabsichtigte Konto und überprüft die Zertifikatwerte. Microsoft Entra CBA erzwingt auch die Eindeutigkeit im certificateUserIds Feld. Zwei Konten können nicht dieselben Zertifikatwerte auffüllen.

Wichtig

Die Verwendung der gleichen Anmeldeinformationen zur Authentifizierung bei verschiedenen Microsoft Entra-Konten ist keine sichere Konfiguration. Es wird empfohlen, nicht zuzulassen, dass ein einzelnes Zertifikat für mehrere Microsoft Entra-Benutzerkonten verwendet wird.

Reine Cloudkonten (1:M)

Erstellen Sie für reine Cloudkonten mehrere Benutzernamenbindungen, und ordnen Sie jedem Benutzerkonto, das das Zertifikat verwendet, eindeutige Werte zu. Der Zugriff auf jedes Konto wird mithilfe einer anderen Benutzernamenbindung authentifiziert. Diese Authentifizierungsebene gilt für die Grenze eines einzelnen Verzeichnisses oder Mandanten. Ein Authentifizierungsrichtlinienadministrator kann das Zertifikat zuordnen, um es in einem anderen Verzeichnis oder Mandanten zu verwenden, wenn die Werte pro Konto eindeutig bleiben.

Füllen Sie das certificateUserIds Feld mit einem eindeutigen Wert auf, der das Zertifikat identifiziert. Zum Auffüllen des Felds wechseln Sie im Admin Center zur Registerkarte "Autorisierungsinformationen ".

Wenn in der Organisation Bindungen mit hoher Affinität (d. b. starke Authentifizierung) verwendet IssuerAndSerialNumber werden, und SKIdie Werte können wie im folgenden Beispiel aussehen:

Benutzernamenbindungen:

  • IssuerAndSerialNumber > certificateUserIds
  • SKI > certificateUserIds

Benutzerkontowerte certificateUserIds :
X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>aB1cD2eF3gH4iJ5kL6-mN7oP8qR
X509:<SKI>cD2eF3gH4iJ5kL6mN7-oP8qR9sT

Wenn ein Benutzer dasselbe Zertifikat bei der Anmeldung anzeigt, meldet sich der Benutzer erfolgreich an, da sein Konto einem eindeutigen Wert für dieses Zertifikat entspricht. Ein Konto wird mithilfe von IssuerAndSerialNumber Bindung und dem anderen SKI authentifiziert.

Hinweis

Die Anzahl der Konten, die auf diese Weise verwendet werden können, ist auf die Anzahl der Benutzernamensbindungen beschränkt, die für den Mandanten konfiguriert sind. Wenn die Organisation nur Bindungen mit hoher Affinität verwendet, beträgt die maximale Anzahl von unterstützten Konten drei. Wenn die Organisation auch Bindungen mit niedriger Affinität verwendet, erhöht sich die Zahl auf sieben Konten: eine PrincipalName, RFC822Nameeine , eine SKI, eine SHA1PublicKey, eine , eine IssuerAndSubjectIssuerAndSerialNumberund eine Subject.

Hybrid synchronisierte Konten (1:M)

Synchronisierte Konten erfordern einen anderen Ansatz. Obwohl ein Authentifizierungsrichtlinienadministrator eindeutige Werte jedem Benutzerkonto zuordnen kann, das das Zertifikat verwendet, erschwert die gängige Vorgehensweise beim Auffüllen aller Werte für jedes Konto in der Microsoft Entra-ID diesen Ansatz. Stattdessen sollte Microsoft Entra Connect die Werte pro Konto nach eindeutigen Werten filtern, die in das Konto in der Microsoft Entra-ID aufgefüllt wurden. Die Eindeutigkeitsregel gilt für die Grenze eines einzelnen Verzeichnisses oder Mandanten. Ein Authentifizierungsrichtlinienadministrator kann das Zertifikat zuordnen, um es in einem anderen Verzeichnis oder Mandanten zu verwenden, wenn die Werte pro Konto eindeutig bleiben.

Die Organisation verfügt möglicherweise auch über mehrere Active Directory-Gesamtstrukturen, die Benutzer zu einem einzelnen Microsoft Entra-Mandanten beitragen. In diesem Fall wendet Microsoft Entra Connect den Filter auf jede der Active Directory-Gesamtstrukturen mit demselben Ziel an: Füllen Sie nur einen bestimmten, eindeutigen Wert für das Cloudkonto auf.

Füllen Sie das altSecurityIdentities Feld in Active Directory mit den Werten auf, die das Zertifikat identifizieren. Schließen Sie den spezifischen Zertifikatwert für diesen Benutzerkontotyp ein (zdetailed. B. , oder admindeveloper). Wählen Sie ein Schlüsselattribute in Active Directory aus. Das Attribut teilt der Synchronisierung mit, welchen Benutzerkontotyp der Benutzer auswertet (z msDS-cloudExtensionAttribute1. B. ). Füllen Sie dieses Attribut mit dem Benutzertypwert auf, den Sie verwenden möchten, z detailed. B. , , adminoder developer. Wenn das Konto das primäre Konto des Benutzers ist, kann der Wert leer oder NULL sein.

Überprüfen Sie, ob die Konten ähnlich wie in den folgenden Beispielen aussehen:

Gesamtstruktur 1: Account1 (bob@woodgrove.com):
X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT
X509:<PN>bob@woodgrove.com

Gesamtstruktur 1: Account2 (bob-admin@woodgrove.com):
X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT
X509:<PN>bob@woodgrove.com

Gesamtstruktur 2: ADAccount1 (bob-tdy@woodgrove.com):
X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT
X509:<PN>bob@woodgrove.com

Sie müssen diese Werte dann mit dem Feld in der certificateUserIds Microsoft Entra-ID synchronisieren.

So synchronisieren Sie folgendes:certificateUserIds

  1. Konfigurieren Sie Microsoft Entra Connect, um das alternativeSecurityIds Feld zum Metaverse hinzuzufügen.
  2. Konfigurieren Sie für jede lokale Active Directory-Gesamtstruktur eine neue benutzerdefinierte eingehende Regel mit hoher Priorität (eine niedrige Zahl unter 100). Fügen Sie eine Expression Transformation mit dem altSecurityIdentities Feld als Quelle hinzu. Der Zielausdruck verwendet das von Ihnen ausgewählte und aufgefüllte Schlüsselattribute und verwendet die Zuordnung zu den von Ihnen definierten Benutzertypen.

Zum Beispiel:

IIF((IsPresent([msDS-cloudExtensionAttribute1]) && IsPresent([altSecurityIdentities])), 
    IIF((InStr(LCase([msDS-cloudExtensionAttribute1]),LCase("detailee"))>0), 
    Where($item,[altSecurityIdentities],(InStr($item, "X509:<SHA1-PUKEY>")>0)), 
        IIF((InStr(LCase([msDS-cloudExtensionAttribute1]),LCase("developer"))>0), 
        Where($item,[altSecurityIdentities],(InStr($item, "X509:<SKI>")>0)), NULL) ), 
    IIF(IsPresent([altSecurityIdentities]), 
    Where($item,[altSecurityIdentities],(BitAnd(InStr($item, "X509:<I>"),InStrRev($item, "<SR>"))>0)), NULL) 
)

In diesem Beispiel und das Schlüsselattribute altSecurityIdentities werden zuerst überprüft, um festzustellen, msDS-cloudExtensionAttribute1 ob sie ausgefüllt sind. Wenn sie nicht ausgefüllt sind, wird überprüft, altSecurityIdentities ob sie ausgefüllt ist. Wenn sie leer ist, legen Sie sie auf NULL fest. Andernfalls ist das Konto ein Standardszenario.

Filtern Sie in diesem Beispiel auch nur nach der IssuerAndSerialNumber Zuordnung. Wenn das Schlüsselattribute aufgefüllt wird, wird der Wert überprüft, um festzustellen, ob es einem Ihrer definierten Benutzertypen entspricht. Wenn dieser Wert im Beispiel lautet detailed, filtern Sie nach dem SHA1PublicKey Wert von altSecurityIdentities. Wenn der Wert lautet developer, filtern Sie nach dem SubjectKeyIssuer Wert von altSecurityIdentities.

Möglicherweise treten mehrere Zertifikatwerte eines bestimmten Typs auf. Beispielsweise werden möglicherweise mehrere PrincipalName Werte oder mehrere SKI Werte oder SHA1-PUKEY Werte angezeigt. Der Filter ruft alle Werte ab und synchronisiert sie in der Microsoft Entra-ID, nicht nur der erste, den er findet.

Hier ist ein zweites Beispiel, das zeigt, wie ein leerer Wert verschoben wird, wenn das Steuerelement-Attribut leer ist:

IIF((IsPresent([msDS-cloudExtensionAttribute1]) && IsPresent([altSecurityIdentities])), 
    IIF((InStr(LCase([msDS-cloudExtensionAttribute1]),LCase("detailee"))>0), 
    Where($item,[altSecurityIdentities],(InStr($item, "X509:<SHA1-PUKEY>")>0)), 
        IIF((InStr(LCase([msDS-cloudExtensionAttribute1]),LCase("developer")>0), 
        Where($item,[altSecurityIdentities],(InStr($item, "X509:<SKI>")>0)), NULL) ), 
    IIF(IsPresent([altSecurityIdentities]), 
    AuthoritativeNull, NULL) 
)

Wenn der Wert in altSecurityIdentities keinem der Suchwerte im Steuerelement-Attribut übereinstimmt, wird ein AuthoritativeNull Wert übergeben. Dieser Wert stellt sicher, dass frühere oder nachfolgende Regeln, die aufgefüllt alternativeSecurityId werden, ignoriert werden. Das Ergebnis ist in der Microsoft Entra-ID leer.

So synchronisieren Sie einen leeren Wert:

  1. Konfigurieren Sie eine neue benutzerdefinierte ausgehende Regel mit einer niedrigen Rangfolge (eine hohe Zahl über 160, aber vom Ende der Liste).
  2. Fügen Sie eine direkte Transformation mit dem alternativeSecurityIds Feld als Quelle und dem certificateUserIds Feld als Ziel hinzu.
  3. Führen Sie einen Synchronisierungszyklus aus, um die Datenpopulation in der Microsoft Entra-ID abzuschließen.

Stellen Sie sicher, dass die CBA in jedem Mandanten mit den Benutzernamenbindungen konfiguriert ist, die auf das certificateUserIds Feld für die Feldtypen verweisen, die Sie dem Zertifikat zugeordnet haben. Jetzt kann jeder dieser Benutzer das Zertifikat bei der Anmeldung präsentieren. Nachdem der eindeutige Wert aus dem Zertifikat anhand des certificateUserIds Felds überprüft wurde, wird der Benutzer erfolgreich angemeldet.

Bereichsdefinition für Zertifizierungsstellen (Vorschau)

Die Zertifizierungsstelle in Microsoft Entra ermöglicht Mandantenadministratoren, die Verwendung bestimmter Zertifizierungsstellen auf definierte Benutzergruppen einzuschränken. Dieses Feature verbessert die Sicherheit und Verwaltbarkeit von CBA, indem sichergestellt wird, dass nur autorisierte Benutzer sich mithilfe von Zertifikaten authentifizieren können, die von bestimmten Zertifizierungsstellen ausgestellt wurden.

Die Ca-Bereichsdefinition ist in Multi-PKI- oder B2B-Szenarien nützlich, in denen mehrere Zertifizierungsstellen für verschiedene Benutzerpopulationen verwendet werden. Sie trägt dazu bei, unbeabsichtigten Zugriff zu verhindern und die Einhaltung von Organisationsrichtlinien zu unterstützen.

Hauptvorteile

  • Schränkt die Verwendung von Zertifikaten auf bestimmte Benutzergruppen ein
  • Unterstützt komplexe PKI-Umgebungen über mehrere CAs
  • Bietet erweiterten Schutz vor Zertifikatmissbrauch oder Kompromittierung
  • Bietet Einblicke in die Anrufstellennutzung über Anmeldeprotokolle und Überwachungstools

Ein Administrator kann die Bereichsdefinition der Zertifizierungsstelle verwenden, um Regeln zu definieren, die eine Zertifizierungsstelle (die durch ihren SKI identifiziert wird) einer bestimmten Microsoft Entra-Gruppe zuordnen. Wenn ein Benutzer versucht, sich mithilfe eines Zertifikats zu authentifizieren, überprüft das System, ob die ausstellende Zertifizierungsstelle für das Zertifikat auf eine Gruppe festgelegt ist, die den Benutzer enthält. Microsoft Entra fährt mit der CA-Kette fort. Sie wendet alle Bereichsregeln an, bis der Benutzer in einer der Gruppen in allen Bereichsregeln gefunden wird. Wenn sich der Benutzer nicht in der bereichsbezogenen Gruppe befindet, schlägt die Authentifizierung fehl, auch wenn das Zertifikat andernfalls gültig ist.

Einrichten des Bereichsfeatures für die Zertifizierungsstelle

  1. Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.

  2. Wechseln Sie zu entra>>zertifikatbasierte Authentifizierung.

  3. Wechseln Sie unter "Konfigurieren" zur Bereichsrichtlinie für den Zertifikataussteller.

    Screenshot der Zertifizierungsstellen-Bereichsrichtlinie.

  4. Wählen Sie "Regel hinzufügen" aus.

    Screenshot, der zeigt, wie Sie eine Zertifizierungsstellen-Bereichsregel hinzufügen.

  5. Wählen Sie Zertifizierungsstellen nach PKI filtern aus.

    Klassische Zertifizierungsstellen zeigen alle Zertifizierungsstellen aus dem klassischen Zertifizierungsstellenspeicher an. Wenn Sie eine bestimmte PKI auswählen, werden alle CAs aus der ausgewählten PKI angezeigt.

  6. Wählen Sie eine PKI aus.

    Screenshot des PKI-Filters für die Zertifizierungsstelle.

  7. In der Liste der Zertifikataussteller werden alle Zertifizierungsstellen aus der ausgewählten PKI angezeigt. Wählen Sie eine Zertifizierungsstelle (CA) aus, um eine Bereichsregel zu erstellen.

    Screenshot, der zeigt, wie Sie eine Zertifizierungsstelle im Bereich

  8. Wählen Sie "Gruppe hinzufügen" aus.

    Screenshot, der die Option

  9. Wählen Sie eine Gruppe aus.

    Screenshot, der die Option

  10. Wählen Sie "Hinzufügen" aus, um die Regel zu speichern.

    Screenshot der Option

  11. Aktivieren Sie das Kontrollkästchen "Ich bestätigen ", und wählen Sie dann " Speichern" aus.

    Screenshot der CBA-Konfigurationsoption zum Speichern in der Bereichsdefinition der Zertifizierungsstelle.

  12. Um eine Zertifizierungsstelle-Bereichsrichtlinie zu bearbeiten oder zu löschen, wählen Sie "..." aus. in der Regelzeile. Um die Regel zu bearbeiten, wählen Sie "Bearbeiten" aus. Um die Regel zu löschen, wählen Sie "Löschen" aus.

    Screenshot, der zeigt, wie Sie die Bereichsdefinition der Zertifizierungsstelle bearbeiten oder löschen.

Bekannte Einschränkungen

  • Pro Zertifizierungsstelle kann nur eine Gruppe zugewiesen werden.
  • Es werden maximal 30 Regeln für die Bereichsdefinition unterstützt.
  • Die Bereichsdefinition wird auf der Ebene der Zwischenzertifizierungsstelle erzwungen.
  • Falsche Konfiguration kann zu Benutzersperrungen führen, wenn keine gültigen Bereichsregeln vorhanden sind.

Anmeldeprotokolleinträge

  • Das Anmeldeprotokoll zeigt Erfolg an. Auf der Registerkarte "Zusätzliche Details " wird der SKI der Zertifizierungsstelle aus der Bereichsrichtlinienregel angezeigt.

    Screenshot, der einen Zertifizierungsstellen-Bereich für die Regelanmeldung zeigt.

  • Wenn eine CBA aufgrund einer Zertifizierungsstellen-Bereichsregel fehlschlägt, zeigt die Registerkarte " Grundlegende Informationen " im Anmeldeprotokoll den Fehlercode 500189 an.

    Screenshot, der einen Zertifizierungsstellen-Bereichsdefinitions-Anmeldeprotokollfehler zeigt.

    Endbenutzer sehen die folgende Fehlermeldung:

    Screenshot, der einen Zertifizierungsstellen-Bereichs-Benutzerfehler zeigt.

Funktionsweise der zertifikatbasierten Authentifizierung mit einer Richtlinie für die Authentifizierungsstärke für bedingten Zugriff

Sie können die integrierte MFA-Authentifizierungsstärke für Microsoft Entra Phishing-widerstandsfähige MFA verwenden, um eine Authentifizierungsrichtlinie für bedingten Zugriff zu erstellen, die angibt, dass CBA für den Zugriff auf eine Ressource verwendet wird. Die Richtlinie erlaubt nur Authentifizierungsmethoden, die phishingsicher sind, z. B. CBA, FIDO2-Sicherheitsschlüssel und Windows Hello for Business.

Sie können auch eine benutzerdefinierte Authentifizierungsstärke erstellen, damit nur CBA (CAN) auf vertrauliche Ressourcen zugreifen kann. Sie können CBA als einzelstufige Authentifizierung, MFA oder beides zulassen. Weitere Informationen finden Sie unter "Authentifizierungsstärke für bedingten Zugriff".

CBA-Stärke mit erweiterten Optionen

In der CBA-Methodenrichtlinie kann ein Authentifizierungsrichtlinienadministrator die Stärke des Zertifikats mithilfe einer Authentifizierungsbindungsrichtlinie für die CBA-Methode ermitteln. Jetzt können Sie festlegen, dass ein bestimmtes Zertifikat basierend auf Aussteller- und Richtlinien-OIDs verwendet wird, wenn Benutzer CBA ausführen, um auf bestimmte vertrauliche Ressourcen zuzugreifen. Wenn Sie eine benutzerdefinierte Authentifizierungsstärke erstellen, wechseln Sie zu "Erweiterte Optionen". Das Feature bietet eine genauere Konfiguration, um die Zertifikate und Benutzer zu bestimmen, die auf Ressourcen zugreifen können. Weitere Informationen finden Sie unter "Erweiterte Optionen für die Authentifizierungsstärke für bedingten Zugriff".

Anmeldeprotokolle

Anmeldeprotokolle enthalten Informationen zu Anmeldungen und zur Verwendung Ihrer Ressourcen in der Organisation. Weitere Informationen finden Sie unter Anmeldeprotokolle in der Microsoft Entra-ID.

Betrachten Sie als Nächstes zwei Szenarien. In einem Szenario erfüllt das Zertifikat die einzelstufige Authentifizierung. Im zweiten Szenario erfüllt das Zertifikat die MFA.

Wählen Sie für die Testszenarien einen Benutzer aus, der über eine Richtlinie für bedingten Zugriff verfügt, für die MFA erforderlich ist.

Konfigurieren Sie die Benutzerbindungsrichtlinie, indem Sie dem Benutzerobjekt alternative Antragstellernamen und userPrincipalName zuordnen.

Das Benutzerzertifikat sollte wie das in diesem Screenshot gezeigte Beispiel konfiguriert werden:

Screenshot des Benutzerzertifikats.

Behandeln von Anmeldeproblemen mit dynamischen Variablen in Anmeldeprotokollen

Obwohl Anmeldeprotokolle in der Regel alle Informationen bereitstellen, die Sie zum Debuggen eines Anmeldeproblems benötigen, sind manchmal bestimmte Werte erforderlich. Anmeldeprotokolle unterstützen keine dynamischen Variablen, daher verfügen die Anmeldeprotokolle in einigen Fällen nicht über die informationen, die Sie für das Debuggen benötigen.

Der Fehlergrund in den Anmeldeprotokollen kann in diesem Szenario"The Certificate Revocation List (CRL) failed signature validation. Expected Subject Key Identifier <expectedSKI> doesn't match CRL Authority Key <crlAK>. Request your tenant administrator to check the CRL configuration." beispielsweise angezeigt <expectedSKI> werden und <crlAKI> werden nicht mit korrekten Werten aufgefüllt.

Wenn die Benutzeranmeldung mit CBA fehlschlägt, können Sie die Protokolldetails über den Link "Weitere Details " auf der Fehlerseite kopieren. Weitere Informationen finden Sie auf der CBA-Fehlerseite.

Testen der einstufigen Authentifizierung

Konfigurieren Sie für das erste Testszenario die Authentifizierungsrichtlinie, in der die Regel die IssuerAndSubject einzelstufige Authentifizierung erfüllt.

Screenshot der Konfiguration der Authentifizierungsrichtlinie und der erforderlichen einstufigen Authentifizierung.

  1. Melden Sie sich mit CBA beim Microsoft Entra Admin Center als Testbenutzer an. Die Authentifizierungsrichtlinie wird festgelegt, bei der die Regel die IssuerAndSubject einzelstufige Authentifizierung erfüllt.

  2. Suchen Sie nach Anmeldeprotokollen, und wählen Sie sie aus.

    Die nächste Abbildung zeigt einige der Einträge, die Sie in den Anmeldeprotokollen finden können.

    Im ersten Eintrag wird das X.509-Zertifikat vom Benutzer angefordert. Der Status "Unterbrochen" bedeutet, dass die Microsoft Entra-ID überprüft hat, dass CBA für den Mandanten eingerichtet ist. Für die Authentifizierung wird ein Zertifikat angefordert.

    Screenshot des Eintrags zur einstufigen Authentifizierung in den Anmeldeprotokollen.

    Aktivitätsdetails zeigen, dass die Anforderung Teil des erwarteten Anmeldeflusses ist, in dem der Benutzer ein Zertifikat auswählt.

    Screenshot der Aktivitätsdetails in den Anmeldeprotokollen.

    Weitere Details zeigen die Zertifikatinformationen an.

    Screenshot mit mehrstufigen zusätzlichen Details in den Anmeldeprotokollen.

    Die anderen Einträge zeigen, dass die Authentifizierung abgeschlossen ist, ein primäres Aktualisierungstoken an den Browser zurückgesendet wird und dem Benutzer Der Zugriff auf die Ressource gewährt wird.

    Screenshot eines Aktualisierungstokeneintrags in den Anmeldeprotokollen.

Testen der MFA

Konfigurieren Sie für das nächste Testszenario die Authentifizierungsrichtlinie, in der die policyOID Regel MFA erfüllt.

Screenshot der Konfiguration der Authentifizierungsrichtlinie mit erforderlicher MFA.

  1. Melden Sie sich mit CBA beim Microsoft Entra Admin Center an. Da für die Richtlinie die MFA erfüllt wurde, ist die Benutzeranmeldung ohne einen zweiten Faktor erfolgreich.

  2. Suchen Sie nach und wählen Sie dann "Anmeldungen" aus.

    Es werden mehrere Einträge in den Anmeldeprotokollen angezeigt, einschließlich eines Eintrags mit einem Unterbrochenen Status.

    Screenshot mit mehreren Einträgen in den Anmeldeprotokollen.

    Aktivitätsdetails zeigen, dass die Anforderung Teil des erwarteten Anmeldeflusses ist, in dem der Benutzer ein Zertifikat auswählt.

    Screenshot mit Details zur zweiten Faktoranmeldung in den Anmeldeprotokollen.

    Der Eintrag mit einem unterbrochenen Status zeigt weitere Diagnoseinformationen auf der Registerkarte "Zusätzliche Details " an.

    Screenshot, der die Details des unterbrochenen Versuchs in den Anmeldeprotokollen zeigt.

    Die folgende Tabelle enthält eine Beschreibung der einzelnen Felder:

    Feld Beschreibung
    Antragstellername des Benutzerzertifikats Bezieht sich auf das Feld „Antragstellername“ im Zertifikat.
    Benutzerzertifikatbindung Zertifikat: PrincipalName; Benutzerattribute: userPrincipalName; Rang: 1
    Dieses Feld zeigt an, welches SAN-Zertifikatfeld PrincipalName dem userPrincipalName Benutzerattribute zugeordnet wurde und die Priorität 1 war.
    Benutzerzertifikatauthentifizierungsstufe multiFactorAuthentication
    Typ der Benutzerzertifikatauthentifizierungsstufe PolicyId
    Dieses Feld zeigt, dass die Richtlinien-OID verwendet wurde, um die Authentifizierungsstärke zu bestimmen.
    Bezeichner der Benutzerzertifikatauthentifizierungsebene 1.2.3.4
    Dieses Feld enthält den Wert der Bezeichnerrichtlinien-OID aus dem Zertifikat.

CBA-Fehlerseite

Die CBA kann aus mehreren Gründen fehlschlagen. Beispiele sind ein ungültiges Zertifikat, der Benutzer hat das falsche Zertifikat oder ein abgelaufenes Zertifikat ausgewählt oder ein CRL-Problem tritt auf. Wenn die Zertifikatüberprüfung fehlschlägt, wird dem Benutzer folgende Fehlermeldung angezeigt:

Screenshot eines Zertifikatüberprüfungsfehlers.

Wenn CBA in einem Browser fehlschlägt, auch wenn der Fehler darauf zurückzuführen ist, dass Sie die Zertifikatauswahl abbrechen, schließen Sie die Browsersitzung. Öffnen Sie eine neue Sitzung, um CBA erneut zu versuchen. Eine neue Sitzung ist erforderlich, da Browser Zertifikate zwischenspeichern. Wenn CBA erneut überprüft wird, sendet der Browser während der TLS-Abfrage ein zwischengespeichertes Zertifikat, das dann einen Anmeldefehler und den Überprüfungsfehler verursacht.

  1. Um Protokollierungsinformationen abzurufen, die an einen Authentifizierungsrichtlinienadministrator gesendet werden sollen, um weitere Informationen aus den Anmeldeprotokollen zu erhalten, wählen Sie "Weitere Details" aus.

    Screenshot mit Fehlerdetails.

  2. Wählen Sie andere Möglichkeiten zum Anmelden aus, und probieren Sie andere verfügbare Authentifizierungsmethoden zum Anmelden aus.

    Screenshot eines neuen Anmeldeversuchs.

Zurücksetzen der Zertifikatauswahl in Microsoft Edge

Der Microsoft Edge-Browser hat ein Feature hinzugefügt, das die Zertifikatauswahl zurücksetzt, ohne den Browser neu zu starten.

Der Benutzer führt die folgenden Schritte aus:

  1. Wenn CBA fehlschlägt, wird die Fehlerseite angezeigt.

    Screenshot eines Zertifikatüberprüfungsfehlers.

  2. Wählen Sie links neben der Adress-URL das Sperrsymbol aus, und wählen Sie dann Ihre Zertifikatauswahl aus.

    Screenshot der Zertifikatauswahl des Microsoft Edge-Browsers.

  3. Wählen Sie " Zertifikat zurücksetzen" aus.

    Screenshot, der das Zurücksetzen des Microsoft Edge-Browserzertifikats zeigt.

  4. Wählen Sie "Zurücksetzen" aus.

    Screenshot, der die Akzeptanz des Microsoft Edge-Browsers für Zertifikatauswahl zeigt.

  5. Wählen Sie "Andere Möglichkeiten zum Anmelden" aus.

    Screenshot eines Zertifikatüberprüfungsfehlers.

  6. Wählen Sie "Zertifikat oder Smartcard verwenden" aus , und fahren Sie mit der CBA-Authentifizierung fort.

CBA in MostRecentlyUsed-Methoden

Nachdem ein Benutzer sich erfolgreich mithilfe von CBA authentifiziert hat, wird die Authentifizierungsmethode des MostRecentlyUsed Benutzers (MRU) auf CBA festgelegt. Wenn der Benutzer das nächste Mal seinen UPN eingibt und "Weiter" auswählt, wird die CBA-Methode angezeigt und muss nicht " Zertifikat oder Smartcard verwenden" auswählen.

Um die MRU-Methode zurückzusetzen, brechen Sie die Zertifikatauswahl ab, und wählen Sie dann "Andere Möglichkeiten zum Anmelden" aus. Wählen Sie eine andere verfügbare Methode aus, und schließen Sie dann die Authentifizierung ab.

Die MRU-Authentifizierungsmethode wird auf Benutzerebene festgelegt. Wenn sich ein Benutzer erfolgreich mit einer anderen Authentifizierungsmethode auf einem anderen Gerät anmeldet, wird der MRU für den Benutzer auf die aktuell angemeldete Methode zurückgesetzt.

Unterstützung für externe Identitäten

Ein Externer Identitäts-B2B-Gastbenutzer kann CBA auf dem Heimmandanten verwenden. Wenn die mandantenübergreifenden Einstellungen für den Ressourcenmandanten so eingerichtet sind, dass MFA vom Heimmandanten als vertrauenswürdig festgelegt wird, wird die CBA des Benutzers auf dem Heimmandanten berücksichtigt. Weitere Informationen finden Sie unter Konfigurieren des mandantenübergreifenden B2B-Zugriffs für die Zusammenarbeit. Derzeit wird CBA für einen Ressourcenmandanten nicht unterstützt.

Verwandte Inhalte

  • Last updated on