Teilen über

Einrichten der zertifikatbasierten Microsoft Entra-Authentifizierung

Ihre Organisation kann die Phishing-beständige, moderne und kennwortlose Authentifizierung über Benutzer X.509-Zertifikate mithilfe der zertifikatbasierten Microsoft Entra-Authentifizierung (CBA) implementieren.

In diesem Artikel erfahren Sie, wie Sie Ihren Microsoft Entra-Mandanten so einrichten, dass Mandantenbenutzer sich mithilfe von X.509-Zertifikaten authentifizieren können oder erfordern. Ein Benutzer erstellt ein X.509-Zertifikat mithilfe einer Public Key-Infrastruktur (PKI) für die Anwendungs- und Browseranmeldung.

Wenn Microsoft Entra CBA eingerichtet ist, sieht ein Benutzer während der Anmeldung eine Option zum Authentifizieren mithilfe eines Zertifikats anstelle der Eingabe eines Kennworts. Wenn sich mehrere übereinstimmende Zertifikate auf dem Gerät befinden, wählt der Benutzer das entsprechende Zertifikat aus, und das Zertifikat wird mit dem Benutzerkonto überprüft. Wenn die Überprüfung erfolgreich ist, meldet sich der Benutzer an.

Führen Sie die in diesem Artikel beschriebenen Schritte aus, um Microsoft Entra CBA für Mandanten in Office 365 Enterprise- und US Government-Plänen zu konfigurieren und zu verwenden. Sie müssen bereits eine PKI konfiguriert haben.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Mindestens eine Zertifizierungsstelle und alle zwischengeschalteten Zertifizierungsstellen werden in der Microsoft Entra-ID konfiguriert.
  • Der Benutzer hat Zugriff auf ein Benutzerzertifikat, das von einer vertrauenswürdigen PKI ausgestellt wurde, die für die Clientauthentifizierung in Microsoft Entra ID konfiguriert ist.
  • Jede Zertifizierungsstelle verfügt über eine Zertifikatsperrliste (Certificate Revocation List, CRL), auf die über internetgerichtete URLs verwiesen werden kann. Wenn die vertrauenswürdige Zertifizierungsstelle keine Zertifikatssperrliste konfiguriert hat, führt Microsoft Entra ID keine Zertifikatsperrüberprüfung durch, die Sperrung von Benutzerzertifikaten funktioniert nicht, und die Authentifizierung wird nicht blockiert.

Überlegungen

  • Stellen Sie sicher, dass die PKI sicher ist und nicht einfach kompromittiert werden kann. Wenn eine Verletzung auftritt, kann der Angreifer Clientzertifikate erstellen und signieren und jeden Benutzer im Mandanten kompromittieren, einschließlich der Benutzer, die von der lokalen Bereitstellung synchronisiert werden. Eine starke Schlüsselschutzstrategie und andere physische und logische Kontrollen können eine umfassende Verteidigung bieten, um zu verhindern, dass externe Angreifer oder Insider-Bedrohungen die Integrität der PKI beeinträchtigen. Weitere Informationen finden Sie unter Schützen einer Public Key-Infrastruktur.

  • Bewährte Methoden für Die Microsoft-Kryptografie, einschließlich der Wahl des Algorithmus, der Schlüssellänge und des Datenschutzes, finden Sie in den Microsoft-Empfehlungen. Achten Sie darauf, einen der empfohlenen Algorithmen, eine empfohlene Schlüssellänge und NIST-genehmigte Kurven zu verwenden.

  • Im Rahmen fortlaufender Sicherheitsverbesserungen haben Azure und Microsoft 365-Endpunkte Unterstützung für TLS 1.3 hinzugefügt. Der Prozess wird voraussichtlich einige Monate dauern, um die Tausende von Dienstendpunkten in Azure und Microsoft 365 abzudecken. Der Microsoft Entra-Endpunkt, den Microsoft Entra CBA verwendet, ist im Update enthalten: *.certauth.login.microsoftonline.com und *.certauth.login.microsoftonline.us.

    TLS 1.3 ist die neueste Version des am häufigsten bereitgestellten Sicherheitsprotokolls des Internets. TLS 1.3 verschlüsselt Daten, um einen sicheren Kommunikationskanal zwischen zwei Endpunkten bereitzustellen. Es beseitigt veraltete kryptografische Algorithmen, verbessert die Sicherheit gegenüber früheren Versionen und verschlüsselt so viel wie möglich vom Handshake. Es wird dringend empfohlen, mit dem Testen von TLS 1.3 in Ihren Anwendungen und Diensten zu beginnen.

  • Wenn Sie eine PKI auswerten, ist es wichtig, Zertifikatausstellungsrichtlinien und -erzwingung zu überprüfen. Wie weiter oben beschrieben, ermöglicht das Hinzufügen von CAs zu einer Microsoft Entra-Konfiguration von Zertifikaten, die von diesen Zertifizierungsstellen ausgestellt wurden, die Authentifizierung von Benutzern in microsoft Entra ID.

    Es ist wichtig zu berücksichtigen, wie und wann CAs Zertifikate ausgeben dürfen und wie sie wiederverwendbare Bezeichner implementieren. Administratoren müssen nur sicherstellen, dass ein bestimmtes Zertifikat für die Authentifizierung eines Benutzers verwendet werden kann. Sie sollten jedoch ausschließlich Bindungen mit hoher Affinität verwenden, um eine höhere Zuverlässigkeit zu erzielen, dass nur ein bestimmtes Zertifikat den Benutzer authentifizieren kann. Weitere Informationen finden Sie unter "Bindungen mit hoher Affinität".

Konfigurieren und Testen von Microsoft Entra CBA

Sie müssen einige Konfigurationsschritte ausführen, bevor Sie Microsoft Entra CBA aktivieren.

Eine für die Administration zuständige Person muss die vertrauenswürdigen Zertifizierungsstellen konfigurieren, die Benutzerzertifikate ausstellen. Wie im folgenden Diagramm gezeigt, verwendet Azure die rollenbasierte Zugriffssteuerung (RBAC), um sicherzustellen, dass nur Administratoren mit den geringsten Rechten Änderungen vornehmen müssen.

Wichtig

Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Diese Vorgehensweise trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. „Globaler Administrator“ ist eine Rolle mit umfangreichen Berechtigungen, die auf Notfallszenarios beschränkt sein sollte oder die verwendet wird, wenn Sie keine vorhandene Rolle verwenden können.

Optional können Sie Authentifizierungsbindungen so konfigurieren, dass Zertifikate der einzelstufigen Authentifizierung oder der mehrstufigen Authentifizierung (Multifactor Authentication, MFA) zugeordnet werden. Konfigurieren Sie Benutzernamenbindungen, um das Zertifikatfeld einem Attribut des Benutzerobjekts zuzuordnen. Ein Authentifizierungsrichtlinienadministrator kann benutzerbezogene Einstellungen konfigurieren.

Wenn alle Konfigurationen abgeschlossen sind, aktivieren Sie Microsoft Entra CBA auf dem Mandanten.

Diagramm, das eine Übersicht über die Schritte zeigt, die zum Aktivieren der zertifikatbasierten Microsoft Entra-Authentifizierung erforderlich sind.

Schritt 1: Konfigurieren der Zertifizierungsstellen mit einem PKI-basierten Vertrauensspeicher

Microsoft Entra verfügt über einen neuen PKI-basierten Ca Trust Store. Der Vertrauensspeicher behält CAs innerhalb eines Containerobjekts für jede PKI bei. Administratoren können CAs in einem Container auf Basis von PKI einfacher verwalten, als eine flache Liste von CAs zu verwalten.

Der PKI-basierte Vertrauensspeicher hat höhere Grenzwerte als der klassische Vertrauensspeicher für die Anzahl der Zertifizierungsstellen und die Größe jeder Zertifizierungsstelle-Datei. Ein PKI-basierter Vertrauensspeicher unterstützt bis zu 250 CAs und 8 KB für jedes CA-Objekt.

Wenn Sie den klassischen Vertrauensspeicher zum Konfigurieren von CAs verwenden, wird dringend empfohlen, einen PKI-basierten Vertrauensspeicher einzurichten. Der PKI-basierte Vertrauensspeicher ist skalierbar und unterstützt neue Funktionen, z. B. Ausstellerhinweise.

Eine für die Administration zuständige Person muss die vertrauenswürdigen Zertifizierungsstellen konfigurieren, die Benutzerzertifikate ausstellen. Es sind nur Administratoren mit den geringsten Rechten erforderlich, um Änderungen vorzunehmen. Einem PKI-basierten Vertrauensspeicher wird die Rolle "Privileged Authentication Administrator " zugewiesen.

Das PKI-Uploadfeature des PKI-basierten Vertrauensspeichers ist nur mit einer Microsoft Entra ID P1- oder P2-Lizenz verfügbar. Mit der kostenlosen Microsoft Entra-Lizenz kann ein Administrator jedoch alle CAs einzeln hochladen, anstatt eine PKI-Datei hochzuladen. Anschließend können sie den PKI-basierten Vertrauensspeicher konfigurieren und ihre hochgeladenen CA-Dateien hinzufügen.

Konfigurieren von CAs mithilfe des Microsoft Entra Admin Centers

Erstellen eines PKI-Containerobjekts (Microsoft Entra Admin Center)

So erstellen Sie ein PKI-Containerobjekt:

  1. Melden Sie sich beim Microsoft Entra Admin Center mit einem Konto an, dem die Rolle "Administrator für privilegierte Authentifizierung" zugewiesen ist.

  2. Wechseln Sie zu entra ID>Identity Secure Score>Public Key-Infrastruktur.

  3. Wählen Sie "PKI erstellen" aus.

  4. Geben Sie für den Anzeigenamen einen Namen ein.

  5. Wählen Sie "Erstellen" aus.

    Diagramm, das die zum Erstellen einer PKI erforderlichen Schritte zeigt.

  6. Wenn Sie Spalten hinzufügen oder löschen möchten, wählen Sie "Spalten bearbeiten" aus.

  7. Um die Liste der PKIs zu aktualisieren, wählen Sie "Aktualisieren" aus.

Löschen eines PKI-Containerobjekts

Um eine PKI zu löschen, wählen Sie die PKI und dann Löschen aus. Wenn die PKI CAs enthält, geben Sie den Namen der PKI ein, um die Löschung aller CAs in der PKI zu bestätigen. Wählen Sie dann "Löschen" aus.

Diagramm, das die zum Löschen einer PKI erforderlichen Schritte zeigt.

Hochladen einzelner CAs in ein PKI-Containerobjekt

So laden Sie eine Zertifizierungsstelle in einen PKI-Container hoch:

  1. Wählen Sie "Zertifizierungsstelle hinzufügen" aus.

  2. Wählen Sie die ZS-Datei aus.

  3. Wenn die Zertifizierungsstelle ein Stammzertifikat ist, wählen Sie "Ja" aus. Wählen Sie andernfalls "Nein" aus.

  4. Geben Sie für die URL der Zertifikatsperrliste die internetorientierte URL für die Zertifizierungsstelle-Basis-CRL ein, die alle widerrufenen Zertifikate enthält. Wenn die URL nicht festgelegt ist, schlägt kein Fehler bei einem Versuch der Authentifizierung mithilfe eines widerrufenen Zertifikats fehl.

  5. Geben Sie für die URL der Delta-Zertifikatsperrliste die internetbezogene URL für die CRL ein, die alle widerrufenen Zertifikate enthält, seit die letzte Basis-CRL veröffentlicht wurde.

  6. Wenn die Zertifizierungsstelle nicht in Ausstellerhinweise einbezogen werden soll, deaktivieren Sie Ausstellerhinweise. Das Flag "Ausstellerhinweise " ist standardmäßig deaktiviert.

  7. Wählen Sie Speichern aus.

  8. Um eine Zertifizierungsstelle zu löschen, wählen Sie die Zertifizierungsstelle und dann "Löschen" aus.

    Diagramm, das zeigt, wie ein Zertifizierungsstellenzertifikat gelöscht wird.

  9. Wenn Sie Spalten hinzufügen oder löschen möchten, wählen Sie "Spalten bearbeiten" aus.

  10. Um die Liste der PKIs zu aktualisieren, wählen Sie "Aktualisieren" aus.

Anfangs werden 100 Zertifizierungsstellenzertifikate angezeigt. Weitere Werden angezeigt, wenn Sie im Bereich nach unten scrollen.

Hochladen aller CAs in ein PKI-Containerobjekt

So laden Sie alle CAs in einen PKI-Container hoch

  1. Erstellen Sie ein PKI-Containerobjekt, oder öffnen Sie einen vorhandenen Container.

  2. Wählen Sie die Option PKI hochladen aus.

  3. Geben Sie die HTTP-in-Internet-URL der .p7b Datei ein.

  4. Geben Sie die SHA-256-Prüfsumme der Datei ein.

  5. Wählen Sie „Hochladen“ aus.

    Der PKI-Uploadprozess ist asynchron. Während die einzelnen Zertifizierungsstellen hochgeladen werden, sind sie in der PKI verfügbar. Der gesamte PKI-Upload kann bis zu 30 Minuten dauern.

  6. Wählen Sie Aktualisieren aus, um die Liste der Zertifizierungsstellen zu aktualisieren.

  7. Jedes hochgeladene CRL-Endpunkt-Attribut wird mit der ersten verfügbaren HTTP-URL des Zertifizierungsstellenzertifikats aktualisiert, die als CRL-Verteilungspunkte-Attribut aufgeführt ist. Sie müssen alle Blattzertifikate manuell aktualisieren.

Um die SHA-256-Prüfsumme der PKI-Datei .p7b zu generieren, führen Sie Folgendes aus:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Bearbeiten einer PKI

  1. Wählen Sie in der Zeile PKI ... und dann "Bearbeiten" aus.
  2. Geben Sie einen neuen PKI-Namen ein.
  3. Wählen Sie Speichern aus.

Bearbeiten einer Zertifizierungsstelle

  1. Wählen Sie in der Zeile "Zertifizierungsstelle " ... und dann "Bearbeiten" aus.
  2. Geben Sie neue Werte für den Ca-Typ (Stamm oder Zwischenstufe), die CRL-URL, die Delta-CRL-URL oder das Ausstellerhinweis-fähiges Flag gemäß Ihren Anforderungen ein.
  3. Wählen Sie Speichern aus.

Massenbearbeitung des Ausstellerhinweisattributs

  1. Um mehrere Zertifizierungsstellen zu bearbeiten und das aktivierte Attribut "Ausstellerhinweise " zu aktivieren oder zu deaktivieren, wählen Sie mehrere Zertifizierungsstellen aus.
  2. Wählen Sie "Bearbeiten" und dann " Ausstellerhinweise bearbeiten" aus.
  3. Aktivieren Sie das Kontrollkästchen "Ausstellerhinweise" für alle ausgewählten Zertifizierungsstellen, oder deaktivieren Sie die Auswahl, um die aktivierte Kennzeichnung "Ausstellerhinweise " für alle ausgewählten Zertifizierungsstellen zu deaktivieren. Der Standardwert ist unbestimmt.
  4. Wählen Sie Speichern aus.

Wiederherstellen einer PKI

  1. Wählen Sie die Registerkarte Gelöschte PKIs aus.
  2. Wählen Sie die PKI und dann PKI wiederherstellen aus.

Wiederherstellen einer Zertifizierungsstelle

  1. Wählen Sie die Registerkarte Gelöschte Zertifizierungsstellen aus.
  2. Wählen Sie die Zertifizierungsstelle-Datei aus, und wählen Sie dann " Zertifizierungsstelle wiederherstellen" aus.

Konfigurieren des isIssuerHintEnabled-Attributs für eine Zertifizierungsstelle

Ausstellerhinweise senden eine vertrauenswürdige Zertifizierungsstelle als Teil des TLS-Handshakes (Transport Layer Security) zurück. Die Liste der vertrauenswürdigen Zertifizierungsstellen wird auf den Betreff der Zertifizierungsstellen festgelegt, die der Mandant in den Microsoft Entra Trust Store hochlädt. Weitere Informationen finden Sie unter "Grundlegendes zu Ausstellerhinweisen".

Standardmäßig werden die Antragstellernamen aller CAs im Microsoft Entra-Vertrauensspeicher als Hinweise gesendet. Wenn Sie einen Hinweis nur für bestimmte Zertifizierungsstellen zurücksenden möchten, legen Sie das Attribut für den Ausstellerhinweis isIssuerHintEnabled auf true.

Der Server kann eine maximale 16-KB-Antwort für die Ausstellerhinweise (den Antragstellernamen der Zertifizierungsstelle) zurück an den TLS-Client senden. Es wird empfohlen, das isIssuerHintEnabled Attribut true nur für die Zertifizierungsstellen festzulegen, die Benutzerzertifikate ausstellen.

Wenn mehrere Zwischenzertifizierungsstellen aus demselben Stammzertifikat Benutzerzertifikate ausstellen, werden standardmäßig alle Zertifikate in der Zertifikatauswahl angezeigt. Wenn Sie für true bestimmte Zertifizierungsstellen festlegenisIssuerHintEnabled, werden nur die relevanten Benutzerzertifikate in der Zertifikatauswahl angezeigt.

Konfigurieren von CAs mithilfe von Microsoft Graph-APIs

Die folgenden Beispiele zeigen, wie Microsoft Graph zum Ausführen von Create-, Read-, Update- und Delete-Vorgängen (CRUD) über HTTP-Methoden für eine PKI oder eine Zertifizierungsstelle verwendet wird.

Erstellen eines PKI-Containerobjekts (Microsoft Graph)

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Abrufen aller PKI-Objekte

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Abrufen eines PKI-Objekts nach PKI-ID

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/
ConsistencyLevel: eventual

Hochladen von CAs mithilfe einer P7b-Datei

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-id>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
     "uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
     "sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Abrufen aller Zertifizierungsstellen in einer PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities
ConsistencyLevel: eventual

Abrufen einer bestimmten Zertifizierungsstelle in einer PKI nach CA-ID

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
ConsistencyLevel: eventual

Aktualisieren eines bestimmten Kennzeichnungshinweises für zertifizierungsstellende Anbieter

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Konfigurieren von CAs mithilfe von PowerShell

Verwenden Sie für diese Schritte Microsoft Graph PowerShell.

  1. Starten Sie PowerShell mithilfe der Option "Als Administrator ausführen ".

  2. Installieren und Importieren des Microsoft Graph PowerShell SDK:

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Stellen Sie eine Verbindung mit dem Mandanten her, und akzeptieren Sie alle:

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Priorisierung zwischen einem PKI-basierten Vertrauensspeicher und einem klassischen Zertifizierungsstellenspeicher

Wenn eine Zertifizierungsstelle sowohl in einem PKI-basierten Zertifizierungsstellenspeicher als auch in einem klassischen Zertifizierungsstellenspeicher vorhanden ist, wird der PKI-basierte Vertrauensspeicher priorisiert.

In diesen Szenarien wird ein klassischer Zertifizierungsstellenspeicher priorisiert:

  • Eine Zertifizierungsstelle ist in beiden Stores vorhanden, der PKI-basierte Speicher hat keine CRL, aber die klassische Store-Zertifizierungsstelle verfügt über eine gültige CRL.
  • Eine Zertifizierungsstelle ist in beiden Stores vorhanden, und die PKI-basierte Zertifizierungsstelle-CRL unterscheidet sich von der klassischen Zertifizierungsstellen-Zertifizierungsstelle.

Anmeldeprotokoll

Ein unterbrochener Microsoft Entra-Anmeldeeintrag verfügt über zwei Attribute unter "Zusätzliche Details ", um anzugeben, ob der klassische oder ältere Vertrauensspeicher während der Authentifizierung überhaupt verwendet wurde.

  • Ist legacy store Used has a value of 0 to indicate that a PKI-based store is used. Ein Wert von 1 gibt an, dass ein klassischer oder älteren Speicher verwendet wird.
  • LegacySpeicherverwendungsinformationen zeigen den Grund an, warum der klassische oder ältere Speicher verwendet wird.

Screenshot eines Anmeldeprotokolleintrags für die Verwendung eines PKI-basierten Speichers oder eines klassischen Zertifizierungsstellenspeichers

Überwachungsprotokoll

Alle CRUD-Vorgänge, die Sie auf einer PKI oder ca im Vertrauensspeicher ausführen, werden in den Microsoft Entra-Überwachungsprotokollen angezeigt.

Screenshot des Bereichs

Migrieren von einem klassischen Zertifizierungsstellenspeicher zu einem PKI-basierten Speicher

Ein Mandantenadministrator kann alle CAs in den PKI-basierten Speicher hochladen. Der PKI-Zertifizierungsspeicher hat dann Vorrang vor einem klassischen Speicher, und alle CBA-Authentifizierung erfolgt über den PKI-basierten Speicher. Ein Mandantenadministrator kann die CAs aus einem klassischen oder älteren Speicher entfernen, nachdem sie bestätigt haben, dass in den Anmeldeprotokollen kein Hinweis darauf besteht, dass der klassische oder ältere Speicher verwendet wurde.

Häufig gestellte Fragen

Warum schlägt der PKI-Upload fehl?

Überprüfen Sie, ob die PKI-Datei gültig ist und ohne Probleme darauf zugegriffen werden kann. Die maximale Größe der PKI-Datei beträgt 2 MB (250 CAs und 8 KB für jedes CA-Objekt).

Was ist der Servicelevelvertrag für den PKI-Upload?

Der PKI-Upload ist ein asynchroner Vorgang und kann bis zu 30 Minuten dauern.

Wie kann ich eine SHA-256-Prüfsumme für eine PKI-Datei generieren?

Führen Sie den folgenden Befehl aus, um die SHA-256-Prüfsumme der PKI-Datei .p7b zu generieren:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Schritt 2: Aktivieren der CBA für den Mandanten

Wichtig

Ein Benutzer gilt als in der Lage, MFA abzuschließen, wenn der Benutzer in der Richtlinie für Authentifizierungsmethoden als Bereich für CBA festgelegt ist. Diese Richtlinienanforderung bedeutet, dass ein Benutzer den Identitätsnachweis nicht als Teil seiner Authentifizierung verwenden kann, um andere verfügbare Methoden zu registrieren. Wenn der Benutzer keinen Zugriff auf Zertifikate hat, ist er gesperrt und kann keine anderen Methoden für MFA registrieren. Administratoren, denen die Rolle "Authentifizierungsrichtlinienadministrator" zugewiesen ist, müssen die CBA nur für Benutzer aktivieren, die über gültige Zertifikate verfügen. Schließen Sie nicht alle Benutzer für die zertifikatbasierte Authentifizierung ein. Verwenden Sie nur Gruppen von Benutzern, die über gültige Zertifikate verfügen. Weitere Informationen finden Sie unter Microsoft Entra-Multi-Faktor-Authentifizierung.

So aktivieren Sie die CBA über das Microsoft Entra Admin Center:

  1. Melden Sie sich beim Microsoft Entra Admin Center mit einem Konto an, dem mindestens die Administratorrolle für Authentifizierungsrichtlinien zugewiesen ist.

  2. Wechseln Sie zu "Alle>Gruppen".

  3. Wählen Sie "Neue Gruppe" aus, und erstellen Sie eine Gruppe für CBA-Benutzer.

  4. Wechseln Sie zu entraID-Authentifizierungsmethoden>>zertifikatbasierte Authentifizierung.

  5. Wählen Sie unter "Aktivieren" und "Ziel" die Option "Aktivieren" und dann das Kontrollkästchen "Ich bestätigen" aus.

  6. Wählen Sie "Gruppen>auswählen" aus.

  7. Wählen Sie bestimmte Gruppen aus, z. B. die von Ihnen erstellte Gruppe, und wählen Sie dann "Auswählen" aus. Verwenden Sie bestimmte Gruppen anstelle aller Benutzer.

  8. Wählen Sie Speichern aus.

    Screenshot, der zeigt, wie Sie die CBA aktivieren.

Nachdem CBA für den Mandanten aktiviert ist, sehen alle Benutzer im Mandanten die Option zum Anmelden mithilfe eines Zertifikats. Nur Benutzer, die CBA verwenden können, können sich mit einem X.509-Zertifikat authentifizieren.

Hinweis

Der Netzwerkadministrator sollte zusätzlich zum login.microsoftonline.com Endpunkt der Zertifikatauthentifizierung den Zugriff auf den Zertifikatauthentifizierungsendpunkt für die Cloudumgebung der Organisation zulassen. Deaktivieren Sie die TLS-Überprüfung auf dem Zertifikatauthentifizierungsendpunkt, um sicherzustellen, dass die Clientzertifikatanforderung als Teil des TLS-Handshake erfolgreich ist.

Schritt 3: Konfigurieren einer Authentifizierungsbindungsrichtlinie

Eine Authentifizierungsbindungsrichtlinie hilft dabei, die Stärke der Authentifizierung entweder auf einen einzelnen Faktor oder auf MFA festzulegen. Die Standardschutzebene für alle Zertifikate im Mandanten ist die einzelstufige Authentifizierung.

Die Standardmäßige Affinitätsbindung auf Mandantenebene ist eine niedrige Affinität. Ein Authentifizierungsrichtlinienadministrator kann den Standardwert von der einzelstufigen Authentifizierung in MFA ändern. Wenn sich die Schutzebene ändert, werden alle Zertifikate des Mandanten auf MFA festgelegt. Ebenso kann die Affinitätsbindung auf Mandantenebene auf hohe Affinität festgelegt werden. Alle Zertifikate werden dann mithilfe von Attributen mit hoher Affinität überprüft.

Wichtig

Ein Administrator muss den Mandantenstandard auf einen Wert festlegen, der für die meisten Zertifikate gilt. Erstellen Sie benutzerdefinierte Regeln nur für bestimmte Zertifikate, die eine andere Schutzstufe oder Affinitätsbindung benötigen als die Mandantenstandardeinstellung. Alle Konfigurationen von Authentifizierungsmethoden befinden sich in derselben Richtliniendatei. Das Erstellen mehrerer redundanter Regeln überschreitet möglicherweise den Grenzwert für die Richtliniendatei.

Authentifizierungsbindungsregeln ordnen Zertifikatattribute wie Issuer, Policy Object ID (OID) und Issuer and Policy OID einem angegebenen Wert zu. Die Regeln legen die Standardschutzebene und die Affinitätsbindung für diese Regel fest.

So ändern Sie die Standardmandanteneinstellungen, und erstellen Sie benutzerdefinierte Regeln über das Microsoft Entra Admin Center:

  1. Melden Sie sich beim Microsoft Entra Admin Center mit einem Konto an, dem mindestens die Administratorrolle für Authentifizierungsrichtlinien zugewiesen ist.

  2. Wechseln Sie zuRichtlinien für entra-ID-Authentifizierungsmethoden>>.

  3. Wählen Sie unter "Migrationen verwalten" die Zertifikatbasierte Authentifizierungsmethoden> aus.

    Screenshot, der zeigt, wie eine Authentifizierungsrichtlinie festgelegt wird.

  4. Um die Authentifizierungsbindung und die Benutzernamenbindung einzurichten, wählen Sie "Konfigurieren" aus.

  5. Um den Standardwert in MFA zu ändern, wählen Sie die mehrstufige Authentifizierung aus. Das Schutzebenenattribut weist den Standardwert Einstufige Authentifizierung auf.

    Hinweis

    Die Standardschutzebene ist wirksam, wenn keine benutzerdefinierten Regeln hinzugefügt werden. Wenn Sie eine benutzerdefinierte Regel hinzufügen, wird die auf der Regelebene definierte Schutzebene anstelle der Standardschutzebene berücksichtigt.

    Screenshot, der zeigt, wie Sie die Standardauthentifizierungsrichtlinie in MFA ändern.

  6. Sie können auch benutzerdefinierte Authentifizierungsbindungsregeln einrichten, um die Schutzebene für Clientzertifikate zu ermitteln, die unterschiedliche Werte für Schutzebene oder Affinitätsbindung benötigen als die Mandantenstandardeinstellung. Sie können die Regeln konfigurieren, indem Sie entweder den Ausstellerantragsteller oder die Richtlinien-OID oder beide Felder im Zertifikat verwenden.

    Authentifizierungsbindungsregeln ordnen die Zertifikatattribute (Aussteller oder Richtlinien-OID) einem Wert zu. Der Wert legt die Standardschutzebene für diese Regel fest. Es können mehrere Regeln erstellt werden. Gehen Sie im folgenden Beispiel davon aus, dass der Mandantenstandard die mehrstufige Authentifizierung und "Niedrig " für die Affinitätsbindung ist.

    Um benutzerdefinierte Regeln hinzuzufügen, wählen Sie Regel hinzufügen aus.

    Screenshot, der zeigt, wie eine benutzerdefinierte Regel hinzugefügt wird.

    So erstellen Sie eine Regel nach Zertifikataussteller:

    1. Wählen Sie den Zertifikataussteller aus.

    2. Wählen Sie für den Zertifikatausstellerbezeichner einen relevanten Wert aus.

    3. Wählen Sie für die Authentifizierungsstärke die mehrstufige Authentifizierung aus.

    4. Wählen Sie für die Affinitätsbindung"Niedrig" aus.

    5. Wählen Sie Hinzufügen aus.

    6. Wenn Sie dazu aufgefordert werden, aktivieren Sie das Kontrollkästchen "Ich bestätigen ", um die Regel hinzuzufügen.

      Screenshot, der zeigt, wie eine MFA-Richtlinie einer Bindung mit hoher Affinität zugeordnet wird.

    So erstellen Sie eine Regel nach Richtlinien-OID:

    1. Wählen Sie "Richtlinien-OID" aus.

    2. Geben Sie für Policy OID einen Wert ein.

    3. Wählen Sie für die Authentifizierungsstärkedie einzelstufige Authentifizierung aus.

    4. Wählen Sie für Affinitätsbindungdie Option "Niedrig " für die Affinitätsbindung aus.

    5. Wählen Sie Hinzufügen aus.

    6. Wenn Sie dazu aufgefordert werden, aktivieren Sie das Kontrollkästchen "Ich bestätigen ", um die Regel hinzuzufügen.

      Screenshot der Zuordnung zum Richtlinien-OID mit einer Bindung mit niedriger Affinität.

    So erstellen Sie eine Regel nach Aussteller und Richtlinien-OID:

    1. Wählen Sie den Zertifikataussteller und die Richtlinien-OID aus.

    2. Wählen Sie einen Aussteller aus, und geben Sie die Richtlinien-OID ein.

    3. Wählen Sie für die Authentifizierungsstärke die mehrstufige Authentifizierung aus.

    4. Wählen Sie für die Affinitätsbindung"Niedrig" aus.

    5. Wählen Sie Hinzufügen aus.

      Screenshot, der zeigt, wie Sie eine Bindung mit niedriger Affinität auswählen.

      Screenshot, der zeigt, wie Sie eine Bindung mit niedriger Affinität hinzufügen.

    6. Authentifizieren Sie sich mit einem Zertifikat, das über eine Richtlinie OID von 3.4.5.6 und wird ausgestellt von CN=CBATestRootProd. Überprüfen Sie, ob die Authentifizierung für einen mehrstufigen Anspruch übergeben wird.

    So erstellen Sie eine Regel nach Aussteller und Seriennummer:

    1. Hinzufügen einer Authentifizierungsbindungsrichtlinie Die Richtlinie erfordert, dass jedes Zertifikat, das mit CN=CBATestRootProd einer Richtlinie OID 1.2.3.4.6 ausgestellt wurde, nur eine Bindung mit hoher Affinität benötigt. Der Aussteller und die Seriennummer werden verwendet.

      Screenshot, der Aussteller und Seriennummer zeigt, die im Microsoft Entra Admin Center hinzugefügt wurde.

    2. Wählen Sie das Zertifikatfeld aus. Wählen Sie in diesem Beispiel "Aussteller" und "Seriennummer" aus.

      Screenshot, der zeigt, wie Aussteller und Seriennummer ausgewählt werden.

    3. Das einzige unterstützte Benutzerattribute ist certificateUserIds. Wählen Sie certificateUserIds"Hinzufügen" und dann "Hinzufügen" aus.

      Screenshot, der zeigt, wie Aussteller und Seriennummer hinzugefügt werden.

    4. Wählen Sie Speichern aus.

      Das Anmeldeprotokoll zeigt an, welche Bindung für die Anmeldung und die Details aus dem Zertifikat verwendet wurde.

      Screenshot der Anmeldeprotokolldetails.

  7. Wählen Sie "OK" aus, um benutzerdefinierte Regeln zu speichern.

Wichtig

Geben Sie die Richtlinien-OID mithilfe des Objektbezeichnerformats ein. Wenn die Zertifikatrichtlinie z. B. "Alle Ausstellungsrichtlinien" lautet, geben Sie die Richtlinie "OID" ein, als 2.5.29.32.0 wenn Sie die Regel hinzufügen. Die Zeichenfolge Alle Ausstellungsrichtlinien ist für den Regel-Editor ungültig und nicht wirksam.

Schritt 4: Konfigurieren der Richtlinie für die Benutzernamenbindung

Die Richtlinie für die Benutzernamenbindung hilft beim Überprüfen des Zertifikats eines Benutzers. Um den Benutzer zu ermitteln, ordnen Sie den Prinzipalnamen im Zertifikat standardmäßig dem Benutzerobjekt zu userPrincipalName .

Ein Authentifizierungsrichtlinienadministrator kann die Standardeinstellung überschreiben und eine benutzerdefinierte Zuordnung erstellen. Weitere Informationen finden Sie unter Funktionsweise der Benutzernamenbindung.

Weitere Szenarien, die das certificateUserIds Attribut verwenden, finden Sie unter Zertifikatbenutzer-IDs.

Wichtig

Wenn eine Richtlinie für die Benutzernamenbindung synchronisierte Attribute wie certificateUserIds, onPremisesUserPrincipalNameund das userPrincipalName Attribut des Benutzerobjekts verwendet, können Konten mit Administratorberechtigungen in lokalem Windows Server Active Directory Änderungen vornehmen, die sich auf diese Attribute in microsoft Entra ID auswirken. Beispielsweise können Konten mit delegierten Rechten für Benutzerobjekte oder eine Administratorrolle auf Microsoft Entra Connect Server diese Arten von Änderungen vornehmen.

  1. Erstellen Sie die Benutzernamenbindung, indem Sie eines der X.509-Zertifikatfelder auswählen, um eine Bindung mit einem der Benutzerattribute herzustellen. Die Reihenfolge der Benutzernamenbindung stellt die Prioritätsebene der Bindung dar. Die erste Benutzernamenbindung hat die höchste Priorität usw.

    Screenshot einer Richtlinie für die Benutzernamenbindung.

    Wenn das angegebene X.509-Zertifikatfeld im Zertifikat gefunden wird, aber die Microsoft Entra-ID kein Benutzerobjekt mit einem entsprechenden Wert findet, schlägt die Authentifizierung fehl. Anschließend versucht Die Microsoft Entra-ID die nächste Bindung in der Liste.

  2. Wählen Sie Speichern aus.

Ihre endgültige Konfiguration sieht ähnlich wie in diesem Beispiel aus:

Screenshot der endgültigen Konfiguration.

Schritt 5: Testen der Konfiguration

In diesem Abschnitt wird beschrieben, wie Sie Ihre Zertifikat- und benutzerdefinierten Authentifizierungsbindungsregeln testen.

Testen Ihres Zertifikats

Versuchen Sie im ersten Konfigurationstest, sich mit Ihrem Gerätebrowser beim MyApps-Portal anzumelden.

  1. Geben Sie Ihren Benutzerprinzipalnamen (UPN) ein.

    Screenshot des Benutzerprinzipalnamens.

  2. Wählen Sie Weiter aus.

    Screenshot, der eine Anmeldung mithilfe eines Zertifikats zeigt.

    Wenn Sie andere Authentifizierungsmethoden verfügbar gemacht haben, z. B. die Telefonanmeldung oder FIDO2, wird ihren Benutzern möglicherweise ein anderes Anmeldedialogfeld angezeigt.

    Screenshot eines alternativen Anmeldedialogfelds.

  3. Klicken Sie auf Mit Zertifikat anmelden.

  4. Wählen Sie das richtige Benutzerzertifikat in der Benutzeroberfläche für die Clientzertifikatauswahl aus, und wählen Sie "OK" aus.

    Screenshot der Benutzeroberfläche der Zertifikatauswahl.

  5. Vergewissern Sie sich, dass Sie beim MyApps-Portal angemeldet sind.

Wenn die Anmeldung erfolgreich ist, wissen Sie:

  • Das Benutzerzertifikat wird auf Ihrem Testgerät bereitgestellt.
  • Microsoft Entra-ID ist ordnungsgemäß für die Verwendung vertrauenswürdiger CAs konfiguriert.
  • Die Benutzernamenbindung ist ordnungsgemäß konfiguriert. Der Benutzer wird gefunden und authentifiziert.

Testen von benutzerdefinierten Authentifizierungsbindungsregeln

Führen Sie als Nächstes ein Szenario aus, in dem Sie eine starke Authentifizierung überprüfen. Sie erstellen zwei Authentifizierungsrichtlinienregeln: eine, indem Sie einen Aussteller verwenden, der die einzelstufige Authentifizierung erfüllt, und eine andere mithilfe der Richtlinie OID, um die mehrstufige Authentifizierung zu erfüllen.

  1. Erstellen Sie eine Aussteller-Betreffregel mit einer Schutzstufe der einzelstufigen Authentifizierung. Legen Sie den Wert auf den Betreffwert ihrer Zertifizierungsstelle fest.

    Zum Beispiel:

    CN=WoodgroveCA

  2. Erstellen Sie eine Richtlinien-OID-Regel mit einer Schutzebene für die mehrstufige Authentifizierung. Legen Sie den Wert auf eine der Richtlinien-OIDs in Ihrem Zertifikat fest. Beispiel ist 1.2.3.4.

    Screenshot der Richtlinien-OID-Regel.

  3. Erstellen Sie eine Microsoft Entra-Richtlinie für bedingten Zugriff, damit der Benutzer MFA benötigt. Führen Sie die unter "Bedingten Zugriff" beschriebenen Schritte aus: MFA erforderlich.

  4. Wechseln Sie zum Portal "MyApps". Geben Sie Ihren UPN ein, und wählen Sie Weiter aus.

    Screenshot des Benutzerprinzipalnamens.

  5. Wählen Sie "Zertifikat oder Smartcard verwenden" aus.

    Screenshot der Anmeldung mithilfe eines Zertifikats.

    Wenn Sie andere Authentifizierungsmethoden verfügbar gemacht haben, z. B. die Telefonanmeldung oder Sicherheitsschlüssel, wird ihren Benutzern möglicherweise ein anderes Anmeldedialogfeld angezeigt.

    Screenshot der alternativen Anmeldung.

  6. Wählen Sie das Clientzertifikat aus, und wählen Sie dann "Zertifikatinformationen" aus.

    Screenshot der Clientauswahl.

    Das Zertifikat wird angezeigt, und Sie können den Aussteller und OID-Werte der Richtlinie überprüfen.

    Screenshot, der den Aussteller zeigt.

  7. Um Richtlinien-OID-Werte anzuzeigen, wählen Sie "Details" aus.

    Screenshot der Authentifizierungsdetails.

  8. Wählen Sie das Clientzertifikat aus, und wählen Sie OK.

Die Richtlinien-OID im Zertifikat entspricht dem konfigurierten Wert und 1.2.3.4 erfüllt MFA. Der Aussteller im Zertifikat stimmt mit dem konfigurierten Wert überein CN=WoodgroveCA und erfüllt die einzelstufige Authentifizierung.

Da die Richtlinien-OID-Regel Vorrang vor der Ausstellerregel hat, erfüllt das Zertifikat die MFA.

Die Richtlinie für den bedingten Zugriff für den Benutzer erfordert MFA und das Zertifikat erfüllt MFA, sodass sich der Benutzer bei der Anwendung anmelden kann.

Testen der Richtlinie für die Benutzernamenbindung

Die Bindungsrichtlinie für Benutzernamen hilft beim Überprüfen des Benutzerzertifikats. Für die Richtlinie für die Benutzernamenbindung werden drei Bindungen unterstützt:

  • IssuerAndSerialNumber > certificateUserIds
  • IssuerAndSubject > certificateUserIds
  • Subject > certificateUserIds

Standardmäßig ordnet Die Microsoft Entra-ID den Prinzipalnamen im Zertifikat userPrincipalName dem Benutzerobjekt zu, um den Benutzer zu bestimmen. Ein Authentifizierungsrichtlinienadministrator kann die Standardeinstellung außer Kraft setzen und wie zuvor beschrieben eine benutzerdefinierte Zuordnung erstellen.

Ein Authentifizierungsrichtlinienadministrator muss die neuen Bindungen einrichten. Zur Vorbereitung müssen sie sicherstellen, dass die richtigen Werte für die entsprechenden Benutzernamenbindungen im certificateUserIds Attribut des Benutzerobjekts aktualisiert werden:

Wichtig

Das Format der Werte " Aussteller", " Betreff" und " Seriennummer " muss in umgekehrter Reihenfolge des Formats im Zertifikat vorliegen. Fügen Sie keine Leerzeichen in den Aussteller - oder Betreffwerten hinzu.

Manuelle Zuordnung von Ausstellern und Seriennummern

Im folgenden Beispiel wird die manuelle Zuordnung von Ausstellern und Seriennummern veranschaulicht.

Der hinzuzufügende Ausstellerwert lautet:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Screenshot der manuellen Zuordnung für den Ausstellerwert.

Führen Sie den folgenden Befehl aus, um den richtigen Wert für die Seriennummer abzurufen. Speichern Sie den wert, der in certificateUserIds.

Die Befehlssyntax ist wie folgt:

certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Zum Beispiel:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Hier ist ein Beispiel für den certutil Befehl:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Der zu addierende certificateUserIdZahlenwert lautet:

b24134139f069b49997212a86ba0ef48

Der certificateUserIds Wert lautet:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Manuelle Zuordnung von Ausstellern und Themen

Im folgenden Beispiel wird die manuelle Zuordnung von Ausstellern und Themen veranschaulicht.

Der Ausstellerwert lautet:

Screenshot, der den Ausstellerwert zeigt, wenn er mit mehreren Bindungen verwendet wird.

Der Betreffwert lautet:

Screenshot, der den Betreffwert zeigt.

Der certificateUserId Wert lautet:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Manuelle Subject-Zuordnung

Im folgenden Beispiel wird die manuelle Zuordnung des Betreffs veranschaulicht.

Der Betreffwert lautet:

Screenshot, der einen anderen Betreffwert zeigt.

Der certificateUserIds Wert lautet:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testen der Affinitätsbindung

  1. Melden Sie sich beim Microsoft Entra Admin Center mit einem Konto an, dem mindestens die Administratorrolle für Authentifizierungsrichtlinien zugewiesen ist.

  2. Wechseln Sie zuRichtlinien für entra-ID-Authentifizierungsmethoden>>.

  3. Wählen Sie unter "Verwalten" die Zertifikatbasierte Authentifizierungsmethoden> aus.

  4. Wählen Sie Konfigurierenaus.

  5. Legen Sie die erforderliche Affinitätsbindung auf Mandantenebene fest.

    Wichtig

    Achten Sie bei der mandantenweiten Affinitätseinstellung darauf. Sie können den gesamten Mandanten sperren, wenn Sie den Erforderlichen Affinitätsbindungswert für den Mandanten ändern und keine korrekten Werte im Benutzerobjekt haben. Wenn Sie eine benutzerdefinierte Regel erstellen, die für alle Benutzer gilt und eine Bindung mit hoher Affinität erfordert, werden Benutzer im Mandanten möglicherweise gesperrt.

    Screenshot, der zeigt, wie die erforderliche Affinitätsbindung festgelegt wird.

  6. Um zu testen, wählen Sie für die erforderliche Affinitätsbindung"Niedrig" aus.

  7. Fügen Sie eine Bindung mit hoher Affinität hinzu, z. B. den Betreffschlüsselbezeichner (SKI). Wählen Sie unter "Benutzernamenbindung" die Option "Regel hinzufügen" aus.

  8. Wählen Sie SKI und dann Hinzufügen aus.

    Screenshot, der zeigt, wie Eine Affinitätsbindung hinzugefügt wird.

    Wenn sie fertig sind, sieht die Regel ähnlich wie in diesem Beispiel aus:

    Screenshot einer abgeschlossenen Affinitätsbindung.

  9. Aktualisieren Sie das certificateUserIds Attribut für alle Benutzerobjekte mit dem richtigen SKI-Wert aus dem Benutzerzertifikat.

    Weitere Informationen finden Sie unter Unterstützte Muster für CertificateUserIDs.

  10. Erstellen Sie eine benutzerdefinierte Regel für die Authentifizierungsbindung.

  11. Wählen Sie Hinzufügen aus.

    Screenshot einer benutzerdefinierten Authentifizierungsbindung.

    Überprüfen Sie, ob die abgeschlossene Regel ähnlich wie in diesem Beispiel aussieht:

    Screenshot einer benutzerdefinierten Regel.

  12. Aktualisieren Sie den Benutzerwert certificateUserIds mit dem richtigen SKI-Wert aus dem Zertifikat und der Richtlinien-OID von 9.8.7.5.

  13. Testen Sie mithilfe eines Zertifikats mit Richtlinien-OID von 9.8.7.5. Stellen Sie sicher, dass der Benutzer mit der SKI-Bindung authentifiziert ist und dass er aufgefordert wird, sich mit MFA und nur dem Zertifikat anzumelden.

Einrichten von CBA mithilfe von Microsoft Graph-APIs

So richten Sie CBA ein und konfigurieren Benutzernamenbindungen mithilfe von Microsoft Graph-APIs:

  1. Navigieren Sie zu Microsoft Graph-Tester.

  2. Wählen Sie "Bei Graph-Explorer anmelden " aus, und melden Sie sich bei Ihrem Mandanten an.

  3. Führen Sie die Schritte aus, um der Policy.ReadWrite.AuthenticationMethod delegierten Berechtigung zuzustimmen.

  4. Abrufen aller Authentifizierungsmethoden:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. Abrufen der Konfiguration für die X.509-Zertifikatauthentifizierungsmethode:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Standardmäßig ist die X.509-Zertifikatauthentifizierungsmethode deaktiviert. Damit sich Benutzer mithilfe eines Zertifikats anmelden können, müssen Sie die Authentifizierungsmethode aktivieren und die Authentifizierungs- und Benutzernamenbindungsrichtlinien über einen Aktualisierungsvorgang konfigurieren. Führen Sie eine Anforderung aus, um die PATCH Richtlinie zu aktualisieren.

    Anfragekörper

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Stellen Sie sicher, dass ein 204 No content Antwortcode zurückgegeben wird. Führen Sie die GET Anforderung erneut aus, um sicherzustellen, dass die Richtlinien ordnungsgemäß aktualisiert werden.

  8. Testen Sie die Konfiguration, indem Sie sich mit einem Zertifikat anmelden, das die Richtlinie erfüllt.

Einrichten von CBA mithilfe von Microsoft PowerShell

  1. Öffnen Sie PowerShell.

  2. Herstellen einer Verbindung mit Microsoft Graph:

    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"

  3. Erstellen Sie eine Variable, die zum Definieren einer Gruppe für CBA-Benutzer verwendet werden soll:

    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"

  4. Definieren Sie den Anforderungstext:

    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5

  5. Führen Sie die PATCH Anforderung aus:

    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Verwandte Inhalte

  • Last updated on