Erste Schritte mit der zertifikatbasierten Authentifizierung in Microsoft Entra ID mit Verbund

  • Artikel

Bei Verwendung der zertifikatbasierten Authentifizierung (Certificate-based Authentication, CBA) mit Verbund können Sie von Microsoft Entra ID mit einem Clientzertifikat auf einem Windows-, Android- oder iOS-Gerät authentifiziert werden, wenn Sie Ihr Exchange Online-Konto mit folgenden Anwendungen oder Clients verbinden:

  • Mobile Microsoft-Anwendungen wie Microsoft Outlook und Microsoft Word
  • Exchange ActiveSync-Clients (EAS)

Wenn Sie dieses Feature konfigurieren, ist es bei bestimmten E-Mail- und Microsoft Office-Anwendungen auf Ihrem mobilen Gerät nicht länger erforderlich, einen Benutzernamen und ein Kennwort einzugeben.

Hinweis

Alternativ können Organisationen Microsoft Entra-CBA bereitstellen, ohne dass ein Verbund benötigt wird. Weitere Informationen finden Sie unter Übersicht über die zertifikatbasierte Microsoft Entra-Authentifizierung gegen Microsoft Entra ID.

Dieses Thema:

  • Informiert Sie über die Schritte zum Konfigurieren und Nutzen der zertifikatbasierten Authentifizierung für Benutzer*innen von Mandanten in Office 365 Enterprise-, Business-, Education- und US Government-Plänen.
  • Setzt voraus, dass Sie bereits über eine Public Key-Infrastruktur (PKI) verfügen und AD FS konfiguriert haben.

Requirements (Anforderungen)

Um die zertifikatbasierte Authentifizierung zu konfigurieren, müssen die folgenden Aussagen zutreffen:

  • Die zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) mit Verbund wird nur für Verbundumgebungen für Browseranwendungen, native Clients mit moderner Authentifizierung oder MSAL-Bibliotheken unterstützt. Die einzige Ausnahme ist das EAS-Protokoll (Exchange ActiveSync) für Exchange Online (EXO), das sowohl für Verbund- als auch verwaltete Konten verwendet werden kann. Informationen zum Konfigurieren von Microsoft Entra-CBA ohne Verbund finden Sie unter Konfigurieren der zertifikatbasierten Authentifizierung in Microsoft Entra.
  • Die Stammzertifizierungsstelle und alle Zwischenzertifizierungsstellen müssen in Microsoft Entra ID konfiguriert sein.
  • Jede Zertifizierungsstelle muss über eine Zertifikatsperrliste verfügen, auf die über eine Internet-URL verwiesen werden kann.
  • Sie müssen mindestens eine Zertifizierungsstelle in Microsoft Entra ID konfiguriert haben. Die entsprechenden Schritte finden Sie im Abschnitt Konfigurieren Sie die Zertifizierungsstellen.
  • Bei Exchange ActiveSync-Clients muss das Clientzertifikat über die routingfähige E-Mail-Adresse des Benutzers in Exchange Online verfügen (entweder als Prinzipalname oder als Wert des RFC822-Namens im Feld „Alternativer Antragstellername“). Microsoft Entra ID ordnet den RFC822-Wert dem Attribut für die Proxyadresse innerhalb des Verzeichnisses zu.
  • Ihr Clientgerät benötigt Zugriff auf mindestens eine Zertifizierungsstelle, die Clientzertifikate ausstellt.
  • Ein Clientzertifikat für die Clientauthentifizierung muss für Ihren Client ausgestellt sein.

Wichtig

Eine Zertifikatsperrliste für Microsoft Entra ID darf maximal 20 MB groß sein, damit sie erfolgreich heruntergeladen und zwischengespeichert werden kann, und der Download der Zertifikatsperrliste darf maximal 10 Sekunden dauern. Wenn Microsoft Entra ID keine Zertifikatsperrliste herunterladen kann, sind zertifikatbasierte Authentifizierungen mit Zertifikaten, die von der entsprechenden Zertifizierungsstelle ausgestellt wurden, nicht erfolgreich. Zur Einhaltung der Größenbeschränkungen für CRL-Dateien empfiehlt es sich, eine angemessene Zertifikatlebensdauer zu verwenden und abgelaufene Zertifikate zu bereinigen.

Schritt 1: Auswählen Ihrer Geräteplattform

Als ersten Schritt müssen Sie für Ihre Geräteplattform Folgendes überprüfen:

  • Die Unterstützung mobiler Office-Anwendungen
  • Die spezifischen Implementierungsanforderungen

Die entsprechenden Informationen sind für die folgenden Geräteplattformen vorhanden:

Schritt 2: Konfigurieren der Zertifizierungsstellen

Laden Sie zum Konfigurieren Ihrer Zertifizierungsstellen in Microsoft Entra ID für jede Zertifizierungsstelle Folgendes hoch:

  • Den öffentlichen Teil des Zertifikats im Format CER
  • Die Internet-URLs der Zertifikatsperrlisten

So sieht das Schema für eine Zertifizierungsstelle aus:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Für die Konfiguration können Sie Microsoft Graph PowerShell verwenden:

  1. Starten Sie Windows PowerShell mit Administratorrechten.

  2. Installieren von Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Im ersten Konfigurationsschritt müssen Sie eine Verbindung mit Ihrem Mandanten herstellen. Sobald eine Verbindung mit Ihrem Mandanten hergestellt ist, können Sie die in Ihrem Verzeichnis definierten vertrauenswürdigen Zertifizierungsstellen überprüfen, hinzufügen, löschen und ändern.

Verbinden

Verwenden Sie Connect-MgGraph, um eine Verbindung mit Ihrem Mandanten herzustellen:

    Connect-MgGraph

Abrufen

Um die vertrauenswürdigen Zertifizierungsstellen abzurufen, die in Ihrem Verzeichnis definiert sind, verwenden Sie Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Um eine Zertifizierungsstelle hinzuzufügen, zu ändern oder zu entfernen, verwenden Sie das Microsoft Entra Admin Center:

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

  2. Navigieren Sie zu Schutz>Mehr anzeigen>Security Center (oder Identitätssicherheitsbewertung) >Zertifizierungsstellen.

  3. Um eine Zertifizierungsstelle hochzuladen, wählen Sie Hochladen aus:

    1. Wählen Sie die Zertifizierungsstellendatei aus.

    2. Wählen Sie Ja aus, wenn es sich bei der Zertifizierungsstelle um ein Stammzertifikat handelt. Wählen Sie andernfalls Nein aus.

    3. Legen Sie für die Sperrlisten-URL die internetorientierte URL für die Zertifizierungsstelle-Basis-CRL fest, die alle widerrufenen Zertifikate enthält. Wenn die URL nicht festgelegt ist, schlägt die Authentifizierung mit widerrufenen Zertifikaten auch nicht fehl.

    4. Legen Sie für die Delta-Sperrlisten-URL die Internet-URL für die CRL fest, die alle widerrufenen Zertifikate seit der Veröffentlichung der letzten Basis-CRL enthält.

    5. Wählen Sie Hinzufügen aus.

      Screenshot des Hochladens der Zertifizierungsstellendatei

  4. Um ein Zertifizierungsstellenzertifikat zu löschen, wählen Sie das Zertifikat aus, und klicken Sie dann auf Löschen.

  5. Klicken Sie auf Spalten, um Spalten hinzuzufügen oder zu löschen.

Schritt 3: Konfigurieren der Sperrung

Zum Sperren eines Clientzertifikats ruft Microsoft Entra ID die Zertifikatsperrliste von den URLs ab, die als Teil der Informationen zur Zertifizierungsstelle hochgeladen wurden, und platziert diese Liste im Zwischenspeicher. Anhand des Zeitstempels der letzten Veröffentlichung (EigenschaftEffective Date ) in der Zertifikatsperrliste wird sichergestellt, dass die Liste noch gültig ist. Der Verweis auf die Zertifikatsperrliste erfolgt regelmäßig, um den Zugriff auf Zertifikate zu sperren, die in dieser Liste enthalten sind.

Wenn eine schnellere Sperrung erforderlich ist (beispielsweise beim Verlust eines Geräts), kann der Autorisierungstoken des Benutzers für ungültig erklärt werden. Um das Autorisierungstoken für ungültig zu erklären, legen Sie das Feld StsRefreshTokenValidFrom für diesen Benutzer über Windows PowerShell fest. Das Feld StsRefreshTokenValidFrom muss für jeden Benutzer aktualisiert werden, für den der Zugriff gesperrt werden soll.

Um sicherzustellen, dass die Sperrung aufrechterhalten wird, muss die Eigenschaft Effective Date der Zertifikatsperrliste auf ein Datum festgelegt werden, das nach dem Wert von StsRefreshTokenValidFrom liegt. Stellen Sie außerdem sicher, dass das betroffene Zertifikat in der Zertifikatsperrliste enthalten ist.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Die unten aufgeführten Schritte zeigen, wie Sie das Autorisierungstoken aktualisieren und für ungültig erklären, indem Sie das Feld StsRefreshTokenValidFrom festlegen.

  1. Herstellen einer Verbindung mit PowerShell:

    Connect-MgGraph

  2. Rufen Sie den aktuellen StsRefreshTokensValidFrom-Wert für einen Benutzer ab:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. Legen Sie einen neuen StsRefreshTokensValidFrom-Wert für den Benutzer fest, der mit dem aktuellen Zeitstempel übereinstimmt:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

Das festgelegte Datum muss in der Zukunft liegen. Wenn das Datum nicht in der Zukunft liegt, wird die StsRefreshTokensValidFrom -Eigenschaft nicht festgelegt. Wenn das Datum in der Zukunft liegt, wird StsRefreshTokensValidFrom auf die aktuelle Uhrzeit festgelegt (nicht das Datum, das mit dem Befehl „Set-MsolUser“ angegeben ist).

Schritt 4: Testen Ihrer Konfiguration

Testen Ihres Zertifikats

Als ersten Konfigurationstest sollten Sie versuchen, sich bei OWA oder SharePoint Online mithilfe Ihres Gerätebrowsers anzumelden.

Wenn die Anmeldung erfolgreich ist, wissen Sie:

  • Das Benutzerzertifikat wurde auf Ihrem Testgerät bereitgestellt.
  • AD FS ist richtig konfiguriert.

Testen mobiler Office-Anwendungen

  1. Installieren Sie auf Ihrem Testgerät eine mobile Office-Anwendung (z. B. OneDrive).
  2. Starten Sie die Anwendung.
  3. Geben Sie Ihren Benutzernamen ein, und wählen Sie das Benutzerzertifikat aus, das verwendet werden soll.

Sie sollten erfolgreich angemeldet werden.

Testen von Exchange ActiveSync-Clientanwendungen

Um über die zertifikatbasierte Authentifizierung auf Exchange ActiveSync (EAS) zuzugreifen, muss ein EAS-Profil mit dem Clientzertifikat für die Anwendung verfügbar sein.

Das EAS-Profil muss folgende Informationen enthalten:

  • Das Benutzerzertifikat, das für die Authentifizierung verwendet werden soll.

  • Der EAS-Endpunkt (z.B. outlook.office365.com)

Sie können ein EAS-Profil über die Verwaltung mobiler Geräte wie Microsoft Intune konfigurieren und auf dem Gerät platzieren oder das Zertifikat manuell im EAS-Profil auf dem Gerät platzieren.

Testen von EAS-Clientanwendungen auf Android

  1. Konfigurieren Sie ein EAS-Profil in der Anwendung, das die im vorigen Abschnitt beschriebenen Anforderungen erfüllt.
  2. Öffnen Sie die Anwendung, und stellen Sie sicher, dass die E-Mail synchronisiert wird.

Nächste Schritte

Weitere Informationen zur zertifikatbasierten Authentifizierung auf Android-Geräten

Weitere Informationen zur zertifikatbasierten Authentifizierung auf iOS-Geräten