Présentation de l'authentification basée sur les certificats de Microsoft Entra
L’authentification basée sur les certificats (CBA) de Microsoft Entra permet aux clients d’autoriser ou de demander aux utilisateurs de s’authentifier directement avec des certificats X.509 sur leur instance Microsoft Entra ID pour se connecter aux applications et aux navigateurs. Cette fonctionnalité permet aux clients d’adopter une authentification résistante au hameçonnage et de s’authentifier avec un certificat X.509 sur l’infrastructure à clé publique (PKI).
Qu’est-ce que la CBA (Authentification basée sur les certificats) de Microsoft Entra ?
Avant la prise en charge gérée par le cloud pour la CBA vers Microsoft Entra ID, les clients doivent implémenter l’authentification basée sur des certificats fédérés, ce qui nécessite le déploiement de services de fédération Active Directory (AD FS) pour pouvoir s’authentifier à l’aide de certificats X.509 sur Microsoft Entra ID. Avec l’authentification basée sur les certificats de Microsoft Entra, les clients peuvent s’authentifier directement auprès de Microsoft Entra ID et éliminer le besoin d’AD FS fédéré, avec des environnements clients simplifiés et une réduction des coûts.
Les images suivantes montrent comment l’authentification basée sur les certificats de Microsoft Entra simplifie l’environnement des clients en éliminant les services AD FS fédérés.
Authentification basée sur les certificats avec services AD FS fédérés
Authentification basée sur les certificats de Microsoft Entra
Principaux avantages de l’utilisation de la CBA de Microsoft Entra
| Avantages | Description |
|---|---|
| Meilleure expérience utilisateur | - Les utilisateurs qui ont besoin d’une authentification basée sur les certificats peuvent désormais s’authentifier directement sur Microsoft Entra ID sans avoir à investir dans des services AD FS fédérés. - L’interface utilisateur du portail permet aux utilisateurs de configurer facilement la mise en correspondance des champs de certificat à un attribut d’objet utilisateur pour rechercher l’utilisateur dans le locataire (liaisons de noms d’utilisateur de certificat) - L’interface utilisateur du portail pour configurer des stratégies d’authentification afin de déterminer les certificats monofacteurs et multifacteurs. |
| Facile à déployer et à gérer | La CBA de Microsoft Entra est une fonctionnalité gratuite et vous n'avez besoin d'aucune édition payante de Microsoft Entra ID pour l'utiliser. - Pas besoin de déploiements locaux ou de configuration réseau complexes. - Authentifiez-vous directement par rapport à Microsoft Entra ID. |
| Sécuriser | - Les mots de passe locaux n’ont pas besoin d’être stockés dans le cloud sous quelque forme que ce soit. - Protège vos comptes d’utilisateur en fonctionnant de façon fluide avec les stratégies d’accès conditionnel Microsoft Entra, notamment l’authentification multifacteur anti-hameçonnage (l’authentification MFA nécessite une édition sous licence) et le blocage de l’authentification héritée. - Prise en charge de l’authentification forte où les utilisateurs peuvent définir des stratégies d’authentification par le biais de champs de certificat tels que l’émetteur ou l’OID (identificateur d’objet) de stratégie pour déterminer quels certificats sont éligibles comme monofacteurs ou multifacteurs. - La fonctionnalité fonctionne en toute transparence avec les fonctionnalités d’accès conditionnel et la capacité de force d’authentification pour appliquer l’authentification multifacteur pour aider à sécuriser vos utilisateurs. |
Scénarios pris en charge
Les scénarios suivants sont pris en charge :
- L’utilisateur se connecte à des applications s’appuyant sur un navigateur web sur toutes les plateformes.
- Les utilisateurs se connectent aux applications mobiles Office sur les plateformes iOS/Android et aux applications natives Office dans Windows, notamment Outlook, OneDrive, etc.
- Connexions utilisateur sur les navigateurs natifs mobiles.
- Prise en charge des règles d’authentification granulaires pour l’authentification multifacteur à l’aide des OID de stratégie et d’objet de l’émetteur de certificat.
- Configuration des liaisons de compte d’utilisateur à certificat à l’aide de l’un des champs de certificat :
- Autre nom d’objet (SAN) PrincipalName et SAN RFC822Name
- Identificateur de clé d’objet (SKI) et SHA1PublicKey
- Émetteur + Objet, Objet et Émetteur + SerialNumber
- Configuration des liaisons de compte d’utilisateur à certificat à l’aide de l’un des attributs d’objet utilisateur :
- Nom d’utilisateur principal
- onPremisesUserPrincipalName
- CertificateUserIds
Scénarios non pris en charge
Les scénarios suivants ne sont pas pris en charge :
- Les conseils de l’autorité de certification ne sont pas pris en charge. Par conséquent, la liste des certificats qui s’affiche pour les utilisateurs dans l’interface utilisateur du sélecteur de certificat n’est pas dans l’étendue.
- Un seul point de distribution de liste de révocation de certificats (CDP) pour une autorité de certification approuvée est pris en charge.
- Le CDP peut être uniquement des URL HTTP. Nous ne prenons pas en charge le protocole OCSP (Online Certificate Status Protocol) ou les URL LDAP (Lightweight Directory Access Protocol).
- Le mot de passe en tant que méthode d’authentification ne peut pas être désactivé et l’option de connexion à l’aide d’un mot de passe s’affiche même avec la méthode CBA de Microsoft Entra disponible pour l’utilisateur.
Limitation connue avec des certificats Windows Hello Entreprise
- Bien que la fonctionnalité Windows Hello Entreprise (WHFB) puisse être utilisée pour une authentification multifacteur (MFA) dans Microsoft Entra ID, WHFB n’est pas prise en charge pour une nouvelle MFA. Les clients peuvent choisir d’inscrire des certificats pour vos utilisateurs en utilisant la paire de clés WHFB. Lorsqu’ils sont correctement configurés, vous pouvez utiliser ces certificats WHFB pour l’authentification multifacteur dans Microsoft Entra. Les certificats WHFB sont compatibles avec l’authentification basée sur les certificats (CBA) de Microsoft Entra dans les navigateurs Edge et Chrome. Toutefois, à l’heure actuelle, les certificats WHFB ne sont pas compatibles avec la CBA de Microsoft Entra dans des scénarios sans navigateur (par exemple, des applications Office 365). La solution de contournement consiste à utiliser l’option « Se connecter à Windows Hello ou à une clé de sécurité » pour la connexion (lorsqu’elle est disponible), car cette option n’utilise aucun certificat pour l’authentification et évite le problème avec la CBA de Microsoft Entra. Toutefois, il est possible que cette option ne soit pas disponible dans certaines applications plus anciennes.
Non pris en compte
Les scénarios suivants sont hors de portée pour la CBA de Microsoft Entra :
- Infrastructure à clé publique pour créer des certificats clients. Les clients doivent configurer leur propre infrastructure à clé publique (PKI) et provisionner des certificats pour leurs utilisateurs et leurs appareils.
Étapes suivantes
- Immersion technique dans l’authentification basée sur les certificats Microsoft Entra
- Guide pratique pour configurer l’authentification basée sur les certificats de Microsoft Entra
- Authentification basée sur les certificats de Microsoft Entra sur les appareils iOS
- Authentification basée sur les certificats de Microsoft Entra sur les appareils Android
- Connexion par carte à puce Windows à l'aide de la CBA de Microsoft Entra
- ID des utilisateurs du certificat
- Comment migrer des utilisateurs fédérés
- FORUM AUX QUESTIONS