Compartir vía


Introducción a la autenticación basada en certificados de Microsoft Entra

La autenticación basada en certificados (CBA) de Microsoft Entra habilita a los clientes para permitir o requerir que los usuarios se autentiquen directamente con certificados X.509 en Microsoft Entra ID para aplicaciones e inicio de sesión en el explorador. Esta característica permite a los clientes adoptar una autenticación resistente a la suplantación de identidad (phishing) y autenticarse con un certificado X.509 en su infraestructura de clave pública (PKI).

¿Qué es la CBA de Microsoft Entra?

Antes de la compatibilidad administrada en la nube con la CBA en Microsoft Entra ID, los clientes tenían que implementar la autenticación federada basada en certificados, que requiere la implementación de Servicios de federación de Active Directory (AD FS) para poder autenticarse mediante certificados X.509 en Microsoft Entra ID. Con la autenticación basada en certificados de Microsoft Entra ID, los clientes pueden autenticarse directamente en Microsoft Entra ID y eliminar la necesidad de los AD FS federados, con entornos de cliente simplificados y reducción de costos.

Las imágenes siguientes muestran cómo la CBA de Microsoft Entra simplifica el entorno del cliente mediante la eliminación de AD FS.

Autenticación basada en certificados con AD FS federados

Diagrama de la autenticación basada en certificados con federación.

Autenticación basada en certificados (CBA) de Microsoft Entra

Diagrama de la autenticación basada en certificados de Microsoft Entra.

Ventajas clave del uso de la CBA de Microsoft Entra

Ventajas Descripción
Mejor experiencia del usuario - Los usuarios que necesitan autenticación basada en certificados ahora pueden autenticarse directamente en Microsoft Entra ID y no tienen que invertir en los AD FS federados.
- La interfaz de usuario del portal permite a los usuarios configurar fácilmente cómo asignar campos de certificado a un atributo de objeto de usuario para buscar al usuario en el inquilino (enlaces de nombre de usuario de certificado).
- Interfaz de usuario del portal para configurar directivas de autenticación que ayuden a determinar qué certificados son de un solo factor frente a multifactor.
Fácil de implementar y administrar - La CBA de Microsoft Entra es una característica gratuita y no necesita ninguna edición de pago de Microsoft Entra ID para utilizarla.
- No se requieren complejas implementaciones locales ni la configuración de la red.
- Autenticación directa en Microsoft Entra ID.
Seguridad - No es necesario que las contraseñas locales se almacenen en la nube.
- Protege las cuentas de usuario al trabajar sin problemas con directivas de acceso condicional de Microsoft Entra, incluida la autenticación multifactor resistente al phishing (MFA requiere una edición con licencia) y el bloqueo de la autenticación heredada.
- Compatibilidad con la autenticación sólida, donde los usuarios pueden definir directivas de autenticación a través de los campos de certificado, como emisor u OID (identificadores de objeto) de directiva, para determinar qué certificados se califican como de factor único frente a multifactor.
- La característica funciona perfectamente con las características de acceso condicional y la capacidad de seguridad de autenticación para aplicar MFA con el fin de ayudar a proteger a los usuarios.

Escenarios admitidos

Se admiten los escenarios siguientes:

  • El usuario inicia sesión en aplicaciones basadas en explorador web en todas las plataformas.
  • Inicios de sesión de usuario en aplicaciones móviles de Office en plataformas iOS/Android, así como aplicaciones nativas de Office en Windows, como Outlook, OneDrive, etc.
  • Inicios de sesión de usuario en exploradores nativos móviles.
  • Compatibilidad con reglas de autenticación granulares para la autenticación multifactor mediante el emisor de certificados Firmante y los OID de directiva.
  • Configuración de enlaces de certificado a cuenta de usuario mediante cualquiera de los campos de certificado:
    • Nombre alternativo del firmante (SAN) PrincipalName y SAN RFC822Name
    • Identificador de clave del firmante (SKI) y SHA1PublicKey
    • Emisor + Asunto, Asunto y Emisor + SerialNumber
  • Configuración de enlaces de certificado a cuenta de usuario mediante cualquiera de los atributos de objeto de usuario:
    • Nombre principal del usuario
    • onPremisesUserPrincipalName
    • CertificateUserIds

Escenarios no admitidos

No se admiten los escenarios siguientes:

  • No se admiten sugerencias de entidades de certificación, por lo que la lista de certificados que aparece para los usuarios en la interfaz de usuario de selección de certificados no tiene ámbito.
  • Solo se admite un punto de distribución de CRL (CDP) para una entidad de certificación de confianza.
  • CDP solo puede ser direcciones URL HTTP. No se admiten direcciones URL del Protocolo de estado de certificado en línea (OSCP) ni del Protocolo ligero de acceso a directorios (LDAP).
  • La contraseña como método de autenticación no se puede deshabilitar y la opción de iniciar sesión con una contraseña se muestra incluso con el método CBA de Microsoft Entra disponible para el usuario.

Limitación conocida con certificados de Windows Hello Para empresas

  • Aunque Windows Hello para empresas (WHFB) se puede usar para la autenticación multifactor en Microsoft Entra ID, WHFB no se admite para nuevas MFA. Los clientes pueden optar por inscribir certificados para los usuarios mediante el par de claves WHFB. Cuando se configura correctamente, estos certificados WHFB se pueden usar para la autenticación multifactor en Microsoft Entra ID. Los certificados WHFB son compatibles con la autenticación basada en certificados (CBA) de Microsoft Entra en exploradores Edge y Chrome; sin embargo, en este momento los certificados WHFB no son compatibles con Microsoft Entra CBA en escenarios que no son de explorador (como las aplicaciones de Office 365). La solución alternativa consiste en usar la opción "Iniciar sesión en Windows Hello o clave de seguridad" para iniciar sesión (cuando esté disponible), ya que esta opción no usa certificados para la autenticación y evita el problema con la CBA de Microsoft Entra; sin embargo, es posible que esta opción no esté disponible en algunas aplicaciones más antiguas.

Fuera del ámbito

Los siguientes escenarios están fuera del ámbito de la CBA de Microsoft Entra:

  • Infraestructura de clave pública para crear certificados de cliente. Los clientes deben configurar su propia infraestructura de clave pública (PKI) y aprovisionar certificados para sus usuarios y dispositivos.

Pasos siguientes