Partager via


Comment configurer l’authentification Microsoft Entra basée sur certificat

L’authentification basée sur certificat (CBA/Certificate-based Authentication) Microsoft Entra permet aux organisations de configurer leurs locataires Microsoft Entra pour autoriser ou demander aux utilisateurs de s’authentifier avec des certificats X.509 créés par l’infrastructure à clé publique (Public Key Infrastructure/PKI) de leur entreprise afin de se connecter aux applications et aux navigateurs. Cette fonctionnalité permet aux organisations d’adopter une authentification sans mot de passe moderne résistante au hameçonnage en utilisant un certificat X.509.

Lors de la connexion, les utilisateurs voient également une option permettant de s’authentifier avec un certificat au lieu d’entrer un mot de passe. Si plusieurs certificats correspondants sont présents sur l’appareil, l’utilisateur peut choisir celui à utiliser. Le certificat est validé par rapport au compte d'utilisateur et, en cas de succès, il se connecte.

Suivez ces instructions pour configurer et utiliser Microsoft Entra CBA pour les locataires des plans Office 365 Entreprise et US Government. Vous devriez déjà avoir une infrastructure à clé publique (PKI) configurée.

Prérequis

Vérifiez que les prérequis suivants sont en place :

  • Configurez au moins une autorité de certification (CA/Certification Authority) et des CA intermédiaires dans Microsoft Entra ID.
  • L’utilisateur doit avoir accès à un certificat utilisateur (émis à partir d’une infrastructure à clé publique approuvée configurée sur le locataire) destiné à l’authentification client pour s’authentifier auprès de Microsoft Entra ID.
  • Chaque autorité de certification doit avoir une liste de révocation de certificats (CRL) qui peut être référencée à partir d’URL accessibles sur Internet. Si l’autorité de certification approuvée n’a pas de liste de révocation de certificats configurée, Microsoft Entra ID n’effectuera aucune vérification de liste de révocation de certificats, la révocation des certificats utilisateur ne fonctionnera pas et l’authentification ne sera pas bloquée.

Important

Assurez-vous que l’infrastructure à clé publique est sécurisée et qu’elle ne peut pas être compromise facilement. En cas de compromission, l’attaquant peut créer et signer des certificats client et compromettre n’importe quel utilisateur dans le locataire, à la fois les utilisateurs qui sont synchronisés à partir des locaux et les utilisateurs cloud seul. Toutefois, une stratégie de protection de clé forte, ainsi que d’autres contrôles physiques et logiques, tels que des cartes d’activation HSM ou des jetons pour le stockage sécurisé des artefacts, peuvent fournir une défense en profondeur pour empêcher les attaquants externes ou les menaces internes de compromettre l’intégrité de l’infrastructure à clé publique. Pour plus d’informations, consultez Sécurisation de l’infrastructure à clé publique.

Important

Veuillez consulter les recommandations Microsoft pour les meilleures pratiques pour Microsoft Cryptographic concernant le choix de l'algorithme, la longueur de la clé et la protection des données. Assurez-vous d'utiliser l'un des algorithmes recommandés, la longueur de clé et les courbes approuvées par le NIST.

Important

Dans le cadre des améliorations en cours en matière de sécurité, les points de terminaison Azure/M365 ajoutent la prise en charge de TLS1.3 et ce processus devrait prendre quelques mois pour couvrir les milliers de points de terminaison de service dans Azure/M365. Cela inclut le point de terminaison Microsoft Entra utilisé par l’authentification par certificat Microsoft Entra (CBA) *.certauth.login.microsoftonline.com et *.certauth.login.microsoftonline.us. TLS 1.3 est la dernière version du protocole de sécurité le plus déployé d’Internet, qui chiffre les données pour fournir un canal de communication sécurisé entre deux points de terminaison. TLS 1.3 élimine les algorithmes de chiffrement obsolètes, améliore la sécurité sur les versions antérieures et vise à chiffrer autant que possible l’établissement d'une liaison. Nous vous recommandons vivement aux développeurs de commencer à tester TLS 1.3 dans leurs applications et services.

Remarque

Lors de l’évaluation d’une infrastructure à clé publique, il est important de passer en revue les stratégies d’émission de certificats et l’application. Comme mentionné, l’ajout d’autorités de certification (CA) à la configuration Microsoft Entra permet aux certificats émis par ces autorités de certification d’authentifier tout utilisateur dans Microsoft Entra ID. Pour cette raison, il est important de prendre en compte comment et quand les autorités de certification sont autorisées à émettre des certificats et comment elles implémentent des identificateurs réutilisables. Lorsque les administrateurs doivent s’assurer qu’un certificat spécifique est en mesure d’être utilisé pour authentifier un utilisateur, les administrateurs doivent exclusivement utiliser des liaisons d’affinité élevée pour obtenir un niveau plus élevé d’assurance que seul un certificat spécifique est en mesure d’authentifier l’utilisateur. Pour plus d’informations, consultez liaisons d’affinité élevée.

Étapes de configuration et de test de Microsoft Entra CBA

Quelques étapes de configuration à effectuer avant d’activer Microsoft Entra CBA. Tout d’abord, un administrateur doit configurer les autorités de certification approuvées qui émettent les certificats utilisateur. Comme indiqué dans le diagramme suivant, nous utilisons le contrôle d’accès en fonction du rôle pour nous assurer que seuls les administrateurs dotés de privilèges minimum sont nécessaires pour apporter des changements.

Un administrateur général est nécessaire pour gérer cette fonctionnalité.

Si vous le souhaitez, vous pouvez aussi configurer des liaisons d’authentification pour mapper les certificats à une authentification multifacteur ou à facteur unique et configurer des liaisons de nom d’utilisateur pour mapper un champ de certificat à un attribut d’objet utilisateur. Les administrateurs de stratégie d’authentification peuvent configurer les paramètres liés à l’utilisateur. Une fois toutes les configurations terminées, activez Microsoft Entra CBA sur le locataire.

Diagramme des étapes requises pour activer l’authentification basée sur certificat Microsoft Entra.

Étape 1 : Configurer les autorités de certification

Vous pouvez configurer des autorités de certification (CA) à l’aide du Centre d’administration Microsoft Entra ou des API REST Microsoft Graph et des kits de développement logiciel (SDK) pris en charge, tels que Microsoft Graph PowerShell. L’infrastructure PKI ou l’administrateur PKI doit être en mesure de fournir la liste des autorités de certification émettrices. Pour vous assurer que vous avez configuré tous les autorités de certification, ouvrez le certificat utilisateur, cliquez sur l’onglet « Chemin d’accès de certification » et vérifiez que chaque autorité de certification jusqu’à la racine soit chargée dans le magasin de confiance Microsoft Entra ID. L’authentification basée sur les certificats échoue en cas d’absence d’autorités de certification.

Configurer les autorités de certification à l’aide du centre d’administration Microsoft Entra

Pour activer l’authentification basée sur les certificats et configurer les liaisons utilisateur dans le centre d’administration Microsoft Entra, procédez comme suit :

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.

  2. Accédez à Protection>Afficher plus>Security Center (ou score d'identité sécurisée) >Autorités de certification.

  3. Pour charger un fichier, sélectionnez Charger :

    1. Sélectionnez le fichier d’autorité de certification.

    2. Sélectionnez Oui si l’autorité de certification est un certificat racine. Sinon, sélectionnez Non.

    3. Pour URL de liste de révocation de certificats, définissez l’URL accessible sur Internet pour la liste de révocation de certificats de base de l’autorité de certification qui contient tous les certificats révoqués. Si l’URL n’est pas définie, l’authentification avec des certificats révoqués n’échoue pas.

    4. Pour URL de liste de révocation de certificats Delta, définissez l’URL accessible sur Internet pour la liste de révocation de certificats qui contient tous les certificats révoqués depuis la dernière liste de révocation de certificats de base publiée.

    5. Sélectionnez Ajouter.

      Capture d’écran de la façon de charger le fichier d’autorité de certification.

  4. Pour supprimer un certificat d’autorité de certification, sélectionnez le certificat et sélectionnez Supprimer.

  5. Sélectionnez Colonnes pour ajouter ou supprimer des colonnes.

Remarque

Le chargement d’une nouvelle autorité de certification échoue si une autorité de certification existante a expiré. Vous devriez supprimer toute autorité de certification expirée et réessayer de charger la nouvelle autorité de certification.

Un administrateur général est nécessaire pour gérer cette fonctionnalité.

Configurer les autorités de certification (CA) avec PowerShell

Un seul point de distribution de liste de révocation de certificats (CDP) pour une autorité de certification approuvée est pris en charge. Le CDP peut uniquement être des URL HTTP. Les URL du protocole OSCP (Online Certificate Status Protocol) ou LDAP (Lightweight Directory Access Protocol) ne sont pas prises en charge.

Pour configurer vos autorités de certification dans Microsoft Entra ID, pour chaque autorité de certification, vous devez télécharger les éléments suivants :

  • La partie publique du certificat, au format .cer
  • Les URL accessibles sur Internet où résident les listes de révocation de certificat (CRL).

Le schéma d’une autorité de certification se présente comme suit :

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Pour la configuration, vous pouvez utiliser Microsoft Graph PowerShell :

  1. Démarrez Windows PowerShell avec les privilèges administrateur.

  2. Installer microsoft Graph PowerShell :

        Install-Module Microsoft.Graph
    

Comme première étape de configuration, vous devez établir une connexion avec votre client. Dès qu’une connexion est établie avec votre locataire, vous pouvez examiner, ajouter, supprimer et modifier les autorités de certification approuvées qui sont définies dans votre annuaire.

Se connecter

Pour établir une connexion avec votre locataire, utilisez Connect-MgGraph :

    Connect-MgGraph

Récupération

Pour récupérer les autorités de certification approuvées définies dans votre répertoire, utilisez Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Ajouter

Notes

Le chargement de nouvelles autorités de certification échoue lorsque l’une des autorités de certification existantes a expiré. L’Administrateur du locataire doit supprimer les autorités de certification expirées, puis charger la nouvelle autorité de certification.

Suivez les étapes précédentes pour ajouter une autorité de certification dans le centre d’administration Microsoft Entra.

AuthorityType

  • Utilisez 0 pour indiquer une autorité de certification racine
  • Utilisez 1 pour indiquer qu’il s’agit d’une autorité de certification intermédiaire ou émettrice

crlDistributionPoint

Vous pouvez télécharger la liste de révocation de certificats et comparer le certificat d’autorité de certification et les informations de liste de révocation de certificats pour valider que la valeur crlDistributionPoint dans l’exemple PowerShell précédent est valide pour l’autorité de certification que vous souhaitez ajouter.

Le tableau et le graphique suivants montrent comment mapper les informations du certificat d’autorité de certification aux attributs de la liste de révocation de certificats téléchargée.

Informations du certificat d’autorité de certification = Informations de la liste de révocation de certificats téléchargée
Objet = Émetteur
Identificateur de la clé du sujet = Identificateur de la clé de l’autorité (KeyID)

Comparez le certificat d’autorité de certification avec les informations de liste de révocation de certificats.

Conseil

La valeur de crlDistributionPoint dans l’exemple précédent est l’emplacement http pour la liste de révocation de certificats de l’autorité de certification. Cette valeur est disponible à plusieurs endroits :

  • Dans l’attribut de point de distribution de liste de révocation de certificats d’un certificat émis par l’autorité de certification.

Si l’autorité de certification émettrice exécute Windows Server :

  • Sur les Propriétés de l’autorité de certification dans la console MMC (Microsoft Management Console) de l’autorité de certification.
  • Sur l’autorité de certification en exécutant certutil -cainfo cdp. Pour plus d'informations, consultez certutil.

Pour plus d’informations, consultez Présentation du processus de révocation de certificat.

Configurer des autorités de certification à l’aide des API Microsoft Graph

Les API MS Graph peuvent être utilisées pour configurer les autorités de certification. Suivez les étapes décrites dans les commandes MSGraph certificatebasedauthconfiguration pour mettre à jour le magasin d’approbations Microsoft Entra Certificate Authority.

Valider la configuration de l’autorité de certification

Il est important de s’assurer que le résultat des étapes de configuration correspond à la capacité de Microsoft Entra à valider la chaîne de confiance de l’autorité de certification et à acquérir avec succès la liste de révocation de certificats (CRL) à partir du point de distribution CRL (CDP) de l’autorité de certification configurée. Pour faciliter cette tâche, il est recommandé d’installer le module PowerShell des Outils MSIdentity et d’exécuter Test-MsIdCBATrustStoreConfiguration. Cette commande cmdlet PowerShell vérifie la configuration de l’autorité de certification du locataire Microsoft Entra et affiche les erreurs/avertissements pour les problèmes courants de configuration incorrecte.

Étape 2 : Activer l’authentification basée sur les certificats sur le locataire

Important

Un utilisateur est considéré comme éligible à l’Authentification multifacteur dans l’étendue de l’Authentification par certificat dans la stratégie des méthodes d’authentification. Cette exigence de stratégie signifie qu’un utilisateur ne peut pas utiliser la preuve dans le cadre de son authentification pour l’inscription des autres méthodes disponibles. Si les utilisateurs n’ont pas accès aux certificats, ils vont subir un verrou et vont être incapable d’inscrire d’autres méthodes pour l’authentification multifacteur. L’administrateur doit donc autoriser les utilisateurs disposant d’un certificat valide dans l’étendue CBA. N’utilisez pas tous les utilisateurs pour la cible CBA et utilisez des groupes d’utilisateurs avec des certificats valides disponibles. Pour plus d’informations, consultez Authentification multifacteur Microsoft Entra.

Pour activer l’authentification basée sur les certificats dans le centre d’administration Microsoft Entra, procédez comme suit :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Groupes>Tous les groupes>, sélectionnez Nouveau groupe et créez un groupe pour les utilisateurs de l’authentification basée sur les certificats

  3. Accédez à Protection>Méthodes d’authentification>Authentification basée sur les certificats.

  4. Sous Activer et cibler, cliquez sur Activer.

  5. Sélectionnez Tous les utilisateurs, ou sélectionnez Ajouter des groupes pour sélectionner des groupes spécifiques comme celui créé ci-dessus. Il est recommandé d’utiliser des groupes spécifiques plutôt que l’option Tous les utilisateurs.

    Capture d’écran de l’activation de l’authentification basée sur les certificats.

Une fois l’authentification basée sur les certificats activée sur le locataire, tous les utilisateurs du locataire voient l’option de se connecter avec un certificat. Seuls les utilisateurs qui sont activés pour l’authentification basée sur les certificats peuvent s’authentifier à l’aide du certificat X.509.

Remarque

L’administrateur réseau doit autoriser l’accès au point de terminaison certauth pour l’environnement cloud du client en plus de login.microsoftonline.com. Désactivez l’inspection TLS sur le point de terminaison certauth pour vérifier que la demande de certificat client a bien abouti dans le cadre de la connexion TLS.

Étape 3 : Configurer la stratégie de liaison d’authentification

La stratégie de liaison d’authentification permet de définir la force de l’authentification sur un facteur, ou sur plusieurs. Le niveau de protection par défaut pour les certificats sur le locataire est l’authentification à facteur unique.

Un administrateur de stratégie d’authentification peut modifier la valeur par défaut en passant par exemple d’une authentification à facteur unique à une authentification multifacteur et configurer des règles de stratégie personnalisées. Les règles de liaison d’authentification mappent les attributs de certificat, tels que l’émetteur ou l’OID de stratégie, à une valeur et sélectionnent le niveau de protection par défaut pour cette règle. Vous pouvez créer plusieurs règles.

Pour modifier les paramètres par défaut du locataire dans le Centre d’administration Microsoft Entra, procédez comme suit :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Protection>Méthodes d’authentification>Stratégies.

  3. Sous Gérer, sélectionnez Méthodes d’authentification>Authentification basée sur les certificats.

    Capture d’écran de la stratégie d’authentification.

  4. Sélectionnez Configurer pour configurer la liaison d’authentification et la liaison de nom d’utilisateur.

  5. L’attribut de niveau de protection a la valeur par défaut Authentification à un facteur. Sélectionnez Authentification multifacteur pour remplacer la valeur par défaut par l’authentification multifacteur.

    Remarque

    La valeur de niveau de protection par défaut est en vigueur si aucune règle personnalisée n’est ajoutée. Si des règles personnalisées sont ajoutées, le niveau de protection défini au niveau de la règle est respecté à la place.

    Capture d’écran de la modification de la stratégie par défaut par l’authentification multifacteur.

  6. Vous pouvez également définir des règles de liaison d’authentification personnalisées pour aider à déterminer le niveau de protection pour les certificats clients. Il peut être configuré à l’aide des champs Sujet d’émetteur ou OID de stratégie dans le certificat.

    Les règles de liaison d’authentification mappent les attributs de certificat (émetteur ou OID de stratégie) à une valeur, et sélectionnent le niveau de protection par défaut pour cette règle. Plusieurs règles peuvent être créées.

    Pour ajouter des règles personnalisées, sélectionnez Ajouter une règle.

    Capture d’écran de l’ajout d’une règle.

    Pour créer une règle par l’émetteur du certificat, sélectionnez Émetteur de certificat.

    1. Sélectionnez un Identificateur d’émetteur de certificat dans la zone de liste.

    2. Sélectionnez Authentification multifacteur, Liaison d’affinité faible, puis cliquez sur Ajouter. Lorsque vous y êtes invité, cliquez sur j’accepte pour terminer l’ajout de la règle.

      Capture d’écran de la stratégie d’authentification multifacteur.

    Pour créer une règle par OID de stratégie, sélectionnez OID de stratégie.

    1. Entrez une valeur pour l’OID de stratégie.

    2. Sélectionnez Authentification multifacteur, Liaison d’affinité faible, puis cliquez sur Ajouter. Lorsque vous y êtes invité, cliquez sur j’accepte pour terminer l’ajout de la règle. .

      Capture d’écran du mappage à Policy OID.

    Pour créer une règle par l’émetteur et l’OID de stratégie :

    1. Sélectionnez Émetteur de certificat et stratégie OID.

    2. Sélectionnez un émetteur et saisissez l’OID de stratégie.

    3. Pour la force de l’authentification, sélectionnez authentification à facteur unique ou authentification multifacteur.

    4. Pour la liaison d’affinité, sélectionnez Faible.

      Capture d’écran sur la façon de sélectionner une liaison d’affinité faible.

    5. Sélectionnez Ajouter.

      Capture d’écran sur la façon d’ajouter une liaison d’affinité faible.

    6. Authentifiez-vous avec un certificat disposant de la stratégie OID 3.4.5.6 et émis par CN=CBATestRootProd. L’authentification doit passer et obtenir une revendication multifacteur.

Important

Il existe un problème connu dans lequel un administrateur client Microsoft Entra configure une règle de stratégie d’authentification CBA en utilisant à la fois l’OID de l’Émetteur et de la Stratégie, ce qui a un impact sur certains scénarios d’enregistrement de dispositifs, y compris :

  • Inscription à Windows Hello Entreprise
  • Inscription de clé de sécurité Fido2
  • Connexion Windows par téléphone sans mot de passe

L’inscription de l’appareil avec Workplace Join, Microsoft Entra ID et les scénarios de jonction d’appareils Microsoft Entra hybrides ne sont pas affectés. Les règles de stratégie d’authentification CBA utilisant l’OID de stratégie d’émetteur OU de stratégie ne sont pas affectées. Pour atténuer, les administrateurs doivent :

  • Modifiez actuellement les règles de stratégie d’authentification basées sur les certificats à l’aide des options OID émetteur et stratégie, puis supprimez l’exigence d’émetteur ou d’OID et enregistrez. OR
  • Supprimez la règle de stratégie d’authentification actuellement à l’aide de l’émetteur et de l’OID de stratégie et créez des règles seulement à l’aide de l’émetteur ou de l’OID de stratégie

Nous œuvrons à corriger ce problème.

Pour créer une règle par émetteur et numéro de série :

  1. Ajoutez une stratégie de liaison d’authentification qui nécessite tout certificat émis par CN=CBATestRootProd avec policyOID 1.2.3.4.6 nécessite uniquement une liaison d’affinité élevée (autrement dit, l’émetteur et le numéro de série sont utilisés).

    Capture d’écran d’un émetteur et d’un n° de série ajoutés au centre d’administration Microsoft Entra.

  2. Sélectionnez le champ Certificat. Dans cet exemple, nous allons sélectionner Émetteur et Numéro de série.

    Capture d’écran sur la façon de sélectionner un émetteur et un n° de série.

  3. Le seul attribut utilisateur pris en charge est CertificateUserIds. Sélectionnez Ajouter.

    Capture d’écran sur la façon d’ajouter un émetteur et un n° de série.

  4. Cliquez sur Enregistrer.

Le journal des connexions indique quelle liaison a été utilisée et les détails du certificat.

Capture d'écran d’un journal de connexions.

  1. Cliquez sur OK pour enregistrer les règles personnalisées.

Important

Entrez PolicyOID à l’aide du format d’identificateur d’objet. Par exemple, si la stratégie de certificat indique toutes les stratégies d’émission, entrez l’OID comme 2.5.29.32.0 lorsque vous ajoutez la règle. La chaîne Toutes les stratégies d’émission n’est pas valide pour l’éditeur de règles et ne prend pas effet.

Étape 4 : Configurer la stratégie de liaison de nom d’utilisateur

La stratégie de liaison de nom d’utilisateur permet de valider le certificat de l’utilisateur. Par défaut, nous mappons le nom de principal du certificat à UserPrincipalName dans l’objet utilisateur pour déterminer l’utilisateur.

Un administrateur de stratégie d’authentification peut remplacer la valeur par défaut et créer un mappage personnalisé. Pour déterminer comment configurer la liaison du nom d’utilisateur, consultez Comment fonctionne la liaison de nom d’utilisateur.

Pour plus d’informations sur les scénarios utilisant l’attribut certificateUserIds, consultez Identifiants utilisateur du certificat.

Important

Si une stratégie de liaison de nom d’utilisateur utilise des attributs synchronisés, tels que certificateUserIds, onPremisesUserPrincipalName et l’attribut userPrincipalName de l’objet utilisateur, sachez que les comptes disposant de privilèges d’administration dans Active Directory (tels que ceux avec des droits délégués sur des objets utilisateur ou des droits d’administration sur le serveur Microsoft Entra Connect) peuvent apporter des modifications qui affectent ces attributs dans Microsoft Entra ID.

  1. Créez la liaison de nom d’utilisateur en sélectionnant l’un des champs de certificat X.509 à lier à l’un des attributs utilisateur. L’ordre de liaison de nom d’utilisateur représente le niveau de priorité de la liaison. Le premier a la priorité la plus élevée, et ainsi de suite.

    Capture d’écran d’une stratégie de liaison de nom d’utilisateur.

    Si le champ du certificat X.509 spécifié est trouvé sur le certificat, mais que Microsoft Entra ID ne trouve pas d’objet utilisateur utilisant cette valeur, l’authentification échoue. Microsoft Entra ID tente la liaison suivante dans la liste.

  2. Sélectionnez Enregistrer pour enregistrer les modifications.

La configuration finale doit ressembler à cette image :

Capture d’écran de la configuration des métriques.

Étape 5 : Tester votre configuration

Cette section explique comment tester votre certificat et vos règles de liaison d’authentification personnalisées.

Tester votre certificat

Dans le cadre d’un premier test de configuration, vous devez essayer de vous connecter au portail MyApps à l’aide de votre navigateur sur appareil.

  1. Entrez votre nom d’utilisateur principal (UPN).

    Capture d’écran du nom d’utilisateur principal (UPN).

  2. Cliquez sur Suivant.

    Capture d’écran de la connexion avec certificat.

    Si vous avez activé d’autres méthodes d’authentification comme la connexion par téléphone ou FIDO2, les utilisateurs risquent de voir un écran de connexion différent.

    Capture d’écran de la connexion alternative.

  3. Sélectionnez Se connecter avec un certificat.

  4. Sélectionnez le certificat d’utilisateur approprié dans l’interface utilisateur du sélecteur de certificat client, puis sélectionnez OK.

    Capture d’écran de l’interface utilisateur sélecteur de certificat.

  5. Les utilisateurs doivent être connectés au portail MyApps.

Si votre connexion est réussie, vous savez que :

  • Le certificat utilisateur a été provisionné sur votre appareil de test.
  • Microsoft Entra ID est configuré correctement avec les autorités de certification approuvées.
  • La liaison de nom d’utilisateur est correctement configurée et l’utilisateur est trouvé et authentifié.

Test des règles de liaison d’authentification personnalisées

Examinons un scénario dans lequel nous validons l’authentification forte. Nous allons créer deux règles de stratégie d’authentification, une à l’aide de l’émetteur soumis pour satisfaire l’authentification à facteur unique, et une autre en utilisant l’OID de stratégie pour satisfaire l’authentification multifacteur.

  1. Créez une règle de sujet d’émetteur avec le niveau de protection d’une authentification à un facteur et la valeur définie avec la valeur de votre sujet d’autorités de certificat. Par exemple :

    CN = WoodgroveCA

  2. Créez une règle d’OID de stratégie avec le niveau de protection d’une authentification multifacteur et la valeur définie avec l’un des OID de stratégie de votre certificat. Par exemple, 1.2.3.4.

    Capture d’écran de la règle OID de stratégie.

  3. Créez une stratégie d’accès conditionnel pour l’utilisateur afin d’exiger une authentification multifacteur en suivant les étapes dans Accès conditionnel - Exiger MFA.

  4. Accédez au portail MyApps. Entrez votre nom d’utilisateur principal et sélectionnez Suivant.

    Capture d’écran du nom d’utilisateur principal (UPN).

  5. Sélectionnez Se connecter avec un certificat.

    Capture d’écran de la connexion avec certificat.

    Si vous avez activé d’autres méthodes d’authentification telles que la connexion par téléphone ou les clés de sécurité, les utilisateurs peuvent voir un autre écran de connexion.

    Capture d’écran de la connexion alternative.

  6. Sélectionnez le certificat client et sélectionnez Informations sur le certificat.

    Capture d’écran du sélecteur de client.

  7. Le certificat s’affiche, et vous pouvez vérifier les valeurs de l’émetteur et de l’OID de stratégie. Capture d'écran de l'émetteur.

  8. Pour voir les valeurs de l’OID de stratégie, sélectionnez Détails.

    Capture d’écran des informations sur l’authentification.

  9. Sélectionnez le certificat client et sélectionnez OK.

  10. L’OID de stratégie dans le certificat correspond à la valeur configurée de 1.2.3.4 et répond à l’authentification multifacteur. De même, l’émetteur dans le certificat correspond à la valeur configurée de CN=WoodgroveCA et répond à l’authentification à un facteur.

  11. Étant donné que la règle d’OID de stratégie est prioritaire sur la règle d’émetteur, le certificat répond à l’authentification multifacteur.

  12. La stratégie d’accès conditionnel pour l’utilisateur exige MFA et le certificat répond à l’authentification multifacteur, donc l’utilisateur peut se connecter à l’application.

Test de stratégie de liaison de nom d’utilisateur

La stratégie de liaison de nom d’utilisateur permet de valider le certificat de l’utilisateur. Il y a trois liaisons prises en charge pour la stratégie de liaison de nom d’utilisateur :

  • IssuerAndSerialNumber > CertificateUserIds
  • IssuerAndSubject > CertificateUserIds
  • Subject > CertificateUserIds

Par défaut, Microsoft Entra ID mappe le nom de principal du certificat à UserPrincipalName dans l’objet utilisateur pour déterminer l’utilisateur. Un administrateur de stratégie d’authentification peut remplacer la valeur par défaut et créer un mappage personnalisé, comme expliqué précédemment dans l’étape 4

Avant d'activer les nouvelles liaisons, l'administrateur de la politique d'authentification doit s'assurer que les valeurs correctes des liaisons sont mises à jour dans l'attribut Certificate UserIds de l'objet utilisateur pour les liaisons de nom d'utilisateur correspondantes.

Important

Le format des valeurs Émetteur, Objet et Numérodesérie doivent être dans l’ordre inverse de leur format dans le certificat. N’ajoutez pas d’espace dans Émetteur ou Objet.

Mappage manuel Émetteur et Numéro de série

Voici un exemple de mappage manuel Émetteur et Numéro de série. La valeur Émetteur à ajouter est :

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Capture d'écran de la valeur Émetteur.

Pour obtenir la valeur correcte pour le numéro de série, exécutez la commande suivante et stockez la valeur affichée dans CertificateUserIds. Syntaxe de la commande :

Certutil –dump –v [~certificate path~] >> [~dumpFile path~] 

Par exemple :

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Voici un exemple pour la commande certutil :

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48 

La valeur SerialNumber à ajouter dabs CertificateUserId est :

b24134139f069b49997212a86ba0ef48

CertificateUserId :

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48 

Mappage manuel Émetteur et Objet

Voici un exemple de mappage manuel Émetteur et Objet. La valeur Émetteur est :

Capture d’écran de la valeur Émetteur en cas d’utilisation avec plusieurs liaisons.

La valeur Objet est :

Capture d’écran de la valeur Objet.

CertificateUserId :

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Mappage manuel Objet

Voici un exemple de mappage manuel Objet. La valeur Objet est :

Capture d’écran d’une autre valeur Objet.

CertificateUserId :

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Test de liaison d’affinité

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Protection>Méthodes d’authentification>Stratégies.

  3. Sous Gérer, sélectionnez Méthodes d’authentification>Authentification basée sur les certificats.

  4. Sélectionnez Configurer.

  5. Définir la liaison d’affinité requise au niveau du locataire.

    Important

    attention au paramètre d’affinité à l’échelle du locataire. Vous pouvez verrouiller l'ensemble du locataire si vous modifiez la liaison d'affinité requise pour le locataire et que vous n'avez pas les valeurs appropriées dans l'objet utilisateur. De même, si vous créez une règle personnalisée qui s'applique à tous les utilisateurs et nécessite une liaison à forte affinité, les utilisateurs du locataire peuvent être bloqués.

    Capture d’écran sur la façon de définir une liaison d’affinité requises.

  6. Pour faire un test, définissez Liaison d’affinité requise sur Basse.

  7. Ajouter une liaison à haute affinité comme SKI. Sélectionnez Ajouter règle sous Liaison de nom d'utilisateur.

  8. Sélectionnez SKI, puis Ajouter.

    Capture d’écran sur la façon d’ajouter une liaison d’affinité.

    Une fois terminée, la règle doit ressembler à celle de la capture d’écran :

    Capture d’écran d’une liaison d’affinité terminée.

  9. Mettre à jour l'attribut CertificateUserIds de tous les objets utilisateurs pour qu'il contienne la valeur correcte du SKI du certificat de l'utilisateur. Pour plus d'informations, voir Modèles pris en charge pour CertificateUserIDs.

  10. Créer une règle personnalisée pour la liaison d’authentification.

  11. Sélectionnez Ajouter.

    Capture d’écran d’une liaison d’authentification personnalisée.

    Une fois terminée, la règle doit ressembler à celle de la capture d’écran :

    Capture d’écran d’une règle personnalisée.

  12. Mettre à jour les CertificateUserIds de l'utilisateur avec la valeur SKI correcte du certificat avec l'OID de stratégie 9.8.7.5.

  13. Testez avec un certificat avec l'OID de stratégie 9.8.7.5 et l'utilisateur devrait être authentifié avec la liaison SKI et obtenir l'Authentification multifacteur avec seulement le certificat.

Automatiser le CBA à l’aide de l’API Microsoft Graph

Pour activer l’authentification basée sur les certificats et configurer les liaisons de nom d’utilisateur avec l’API Graph, effectuez les étapes suivantes.

  1. Accédez à Microsoft Graph Explorer.

  2. Sélectionnez Vous connecter à Graph Explorer et connectez-vous à votre locataire.

  3. Suivez les étapes pour consentir à l’autorisation déléguée Policy.ReadWrite.AuthenticationMethod.

  4. Obtenez (GET) toutes les méthodes d’authentification :

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
    
  5. Obtenez (GET) la configuration pour la méthode d’authentification x509 :

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate
    
  6. Par défaut, la méthode d’authentification x509 est désactivée. Pour permettre aux utilisateurs de se connecter avec un certificat, vous devez activer la méthode d’authentification et configurer les stratégies de liaison d’authentification et de nom d’utilisateur par le biais d’une opération de mise à jour. Pour mettre à jour la stratégie, exécutez une requête PATCH.

    Corps de la requête :

    PATCH https: //graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
    Content-Type: application/json
    
    {
        "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
        "id": "X509Certificate",
        "state": "enabled",
        "certificateUserBindings": [
            {
                "x509CertificateField": "PrincipalName",
                "userProperty": "onPremisesUserPrincipalName",
                "priority": 1
            },
            {
                "x509CertificateField": "RFC822Name",
                "userProperty": "userPrincipalName",
                "priority": 2
            }, 
            {
                "x509CertificateField": "PrincipalName",
                "userProperty": "certificateUserIds",
                "priority": 3
            }
        ],
        "authenticationModeConfiguration": {
            "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
            "rules": [
                {
                    "x509CertificateRuleType": "issuerSubject",
                    "identifier": "CN=WoodgroveCA ",
                    "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
                },
                {
                    "x509CertificateRuleType": "policyOID",
                    "identifier": "1.2.3.4",
                    "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
                }
            ]
        },
        "includeTargets": [
            {
                "targetType": "group",
                "id": "all_users",
                "isRegistrationRequired": false
            }
        ]
    }
    
  7. Vous obtenez un code de réponse 204 No content. Réexécutez la requête GET pour vous assurer que les stratégies sont correctement mises à jour.

  8. Testez la configuration en vous connectant à l’aide d’un certificat qui répond à la stratégie.

Activer l’authentification basée sur les certificats à l’aide de Microsoft PowerShell

  1. Ouvrir une fenêtre de commande PowerShell
  2. Se connecter à Microsoft Graph
    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
    
  3. Créer une variable pour définir un groupe pour les utilisateurs de l’authentification basée sur les certificats
    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
    
  4. Définir le corps de la demande
    $body = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
    "id" = "X509Certificate"
    "state" = "enabled"
    "certificateUserBindings" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
            "x509CertificateField" = "SubjectKeyIdentifier"
            "userProperty" = "certificateUserIds"
            "priority" = 1
        },
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
            "x509CertificateField" = "PrincipalName"
            "userProperty" = "UserPrincipalName"
            "priority" = 2
        },
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
            "x509CertificateField" = "RFC822Name"
            "userProperty" = "userPrincipalName"
            "priority" = 3
        }
    )
    "authenticationModeConfiguration" = @{
        "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
        "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
        "rules" = @(
            @{
                "@odata.type" = "#microsoft.graph.x509CertificateRule"
                "x509CertificateRuleType" = "policyOID"
                "identifier" = "1.3.6.1.4.1.311.21.1"
                "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
            }
        )
    }
    "includeTargets" = @(
        @{
            "targetType" = "group"
            "id" = $group.Id
            "isRegistrationRequired" = $false
        }
    ) } | ConvertTo-Json -Depth 5
    
  5. Exécuter la requête PATCH
     Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"
    

Étapes suivantes