Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les objets utilisateurs dans Microsoft Entra ID ont un attribut nommé certificateUserIds.
- L’attribut certificateUserIds dispose de plusieurs valeurs et peut en contenir jusqu’à 10.
- Chaque valeur ne peut pas dépasser 1 024 caractères.
- Chaque valeur doit être unique. Une fois qu'une valeur est présente sur un compte utilisateur, elle ne peut pas être écrite sur un autre compte utilisateur du même locataire Microsoft Entra.
- La valeur n'a pas besoin d'être au format email ID. L’attribut certificateUserIds peut stocker des noms d’utilisateur principaux non routables (UPN) comme bob@woodgrove ou bob@local.
Remarque
Bien que chaque valeur soit unique dans Microsoft Entra ID, vous pouvez mapper un seul certificat à plusieurs comptes en implémentant plusieurs liaisons de nom d’utilisateur. Pour plus d’informations, consultez Plusieurs liaisons de nom d’utilisateur.
Modèles pris en charge pour les ID des utilisateurs du certificat
Les valeurs stockées dans certificateUserIds doivent être au format décrit dans le tableau suivant. Les préfixes X509:<Mapping> sont sensibles à la casse.
Champ de mappage de certificat | Exemples de valeurs dans certificateUserIds |
---|---|
PrincipalNom | X509:<PN>bob@woodgrove.com |
PrincipalNom | X509:<PN>bob@woodgrove |
RFC822Name | X509:<RFC822>user@woodgrove.com |
ÉmetteurEtSujet | X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest |
Objet | X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest |
SKU | X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR |
SHA1PublicKey | X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT |
Émetteur et Numéro de Série | X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8qR9sT0uV Pour obtenir la valeur correcte pour le numéro de série, exécutez cette commande et stockez la valeur affichée dans certificateUserIds : Syntaxe : Certutil –dump –v [~certificate path~] >> [~dumpFile path~] Exemple : certutil -dump -v firstusercert.cer >> firstCertDump.txt |
Rôles pour mettre à jour certificateUserIds
Les utilisateurs cloud uniquement doivent avoir au moins le rôle Administrateur d’authentification privilégié pour mettre à jour les certificateUserIds. Les utilisateurs cloud uniquement peuvent utiliser le centre d’administration Microsoft Entra ou Microsoft Graph pour mettre à jour les certificateUserIds.
Les utilisateurs synchronisés doivent avoir au moins le rôle Administrateur d’identité hybride pour mettre à jour certificateUserIds. Seul Microsoft Entra Connect peut être utilisé pour mettre à jour les certificateUserIds en synchronisant la valeur depuis le site.
Remarque
Les administrateurs Active Directory peuvent apporter des modifications qui ont un impact sur la valeur certificateUserIds dans Microsoft Entra ID pour tout compte synchronisé. Les administrateurs peuvent inclure des comptes disposant de privilèges administratifs délégués sur des comptes d’utilisateur synchronisés ou des droits d’administration sur les serveurs Microsoft Entra Connect.
Comment trouver les valeurs CertificateUserIds correctes pour un utilisateur à partir du certificat de l’utilisateur final à l’aide du module PowerShell
Les identifiants utilisateur de certificat suivent un certain modèle pour leurs valeurs, conformément aux configurations de liaison UserName sur le tenant. La commande PowerShell suivante permet à un administrateur de récupérer les valeurs exactes de l’attribut UserIds de certificat pour un utilisateur à partir d’un certificat d’utilisateur final. L’administrateur peut également obtenir les valeurs actuelles dans l’attribut UserIds de certificat d’un utilisateur pour une liaison de nom d’utilisateur donnée et définir la valeur de l’attribut UserIds de certificat.
Pour plus d’informations, consultez l’installation de Microsoft Entra PowerShell et Microsoft Graph PowerShell.
Démarrez PowerShell.
Installez et importez le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.
Install-Module Microsoft.Graph -Scope CurrentUser Import-Module Microsoft.Graph.Authentication Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
Installer le module Microsoft Entra PowerShell (version minimale requise est 1.0.6)
Install-Module -Name Microsoft.Entra
Plus d’informations sur le module CertificateBasedAuthentication ici
Get-EntraUserCBAAuthorizationInfo
Get-EntraUserCBAAuthorizationInfo permet de récupérer des informations d’autorisation pour un utilisateur Microsoft Entra ID, y compris les identificateurs d’authentification basés sur des certificats.
Syntaxe : Get-EntraUserCBAAuthorizationInfo [-UserId] <String>
[-Raw]
[<CommonParameters>]
Exemple 1 : Obtenir des informations d’autorisation pour un utilisateur par nom d’utilisateur principal
Connect-Entra -Scopes 'User.Read.All'
Get-EntraUserCBAAuthorizationInfo -UserId ‘user@contoso.com'
Réponse:
Caractéristique | Valeur |
---|---|
Id | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Nom affiché | Contoso User |
Nom Principal de l'Utilisateur | user@contoso.com |
Type d'utilisateur | Member |
Informations d'Autorisation | @{CertificateUserIds=System.Object[]; RawAuthorizationInfo=System.Collections.Hashtable} |
Cette commande récupère les informations d’autorisation de l’utilisateur avec le nom d’utilisateur principal spécifié.
Exemple 2 : Récupérer des informations d’autorisation pour un utilisateur
Connect-Entra -Scopes 'User.Read.All'
$userInfo = Get-EntraUserCBAAuthorizationInfo -UserId 'user@contoso.com'
$userInfo.AuthorizationInfo.CertificateUserIds | Format-Table Type, TypeName, Value
Réponse:
Catégorie | TypeName | Valeur |
---|---|---|
PN | PrincipalNom | user@contoso.com |
S | Objet | CN=user@contoso.com |
SKU | IdentifiantCléSujet | 1111112222333344445555 |
Cet exemple récupère les informations d’autorisation.
Exemple 3 : Extraire des ID d’utilisateur de certificat spécifiques
Connect-Entra -Scopes 'User.Read.All'
$userInfo = Get-EntraUserCBAAuthorizationInfo -UserId user@contoso.com'
$userInfo.AuthorizationInfo.CertificateUserIds | Where-Object Type -eq "PN" | Select-Object -ExpandProperty Value
Réponse:user@contoso.com
Cet exemple récupère les informations d'autorisation, puis filtre les résultats pour afficher uniquement les valeurs de certificat Principal Name.
Get-EntraUserCertificateUserIdsFromCertificate
Retourne un objet avec les valeurs de certificat nécessaires pour configurer CertificateUserIDs pour l’authentification Certificate-Based dans Microsoft Entra ID.
Syntaxe : Get-EntraUserCertificateUserIdsFromCertificate [-Path] <string>
[[-Certificate] <System.Security.Cryptography.X509Certificates.X509Certificate2> [-CertificateMapping] <string>]
[<CommonParameters>]
Si les valeurs du certificat sont trop longues, vous pouvez envoyer la sortie à un fichier et la copier à partir de là.
Connect-Entra -Scopes 'User.Read.All'
Get-EntraUserCertificateUserIdsFromCertificate -Path C:\Downloads\test.pem | Format-List | Out-File -FilePath ".\certificateUserIds.txt"
Exemple 1 : Récupérer un objet de certificat à partir d’un chemin d’accès au certificat
Get-EntraUserCertificateUserIdsFromCertificate -Path 'C:\path\to\certificate.cer'
Réponse:
Nom | Valeur |
---|---|
Objet | X509 :<S>DC=com,DC=contoso,OU=UserAccounts,CN=user |
Émetteur et Numéro de Série | X509 :<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8qR9sV0uD |
RFC822Name | X509 :<RFC822>user@contoso.com |
SHA1PublicKey | X509 :<SHA1-PUKEY>cA2eB3gH4iJ5kL6mN7oP8qR9sT |
ÉmetteurEtSujet | X509 :<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=user |
SKU | X509 :<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR |
PrincipalNom | X509 :<PN>user@contoso.com |
Cet exemple montre comment obtenir tous les mappages de certificats possibles en tant qu’objet.
Exemple 2 : Récupérer un objet de certificat à partir d’un chemin d’accès de certificat et d’un mappage de certificat
Get-EntraUserCertificateUserIdsFromCertificate -Path 'C:\path\to\certificate.cer' -CertificateMapping 'Subject'
Réponse:X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user
Cette commande retourne la propriété PrincipalName.
Exemple 3 : Récupérer un objet de certificat à partir d’un certificat
$text = "-----BEGIN CERTIFICATE-----
MIIDiz...=
-----END CERTIFICATE-----"
$bytes = [System.Text.Encoding]::UTF8.GetBytes($text)
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($bytes)
Get-EntraUserCertificateUserIdsFromCertificate -Certificate $certificate -CertificateMapping 'Subject'
Réponse:X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user
Cette commande retourne la propriété PrincipalName.
Set-EntraUserCBACertificateUserId
Définit les ID d’utilisateur d’authentification basés sur un certificat pour un utilisateur dans Microsoft Entra ID à l’aide d’un fichier de certificat ou d’un objet.
Syntaxe Set-EntraUserCBACertificateUserId -UserId <string>
[-CertPath <string>]
[-Cert <System.Security.Cryptography.X509Certificates.X509Certificate2>]
-CertificateMapping <string[]>
[<CommonParameters>]
Exemple 1 : Mettre à jour les informations d’autorisation de certificat de l’utilisateur à l’aide du chemin d’accès au certificat
Connect-Entra -Scopes 'Directory.ReadWrite.All', 'User.ReadWrite.All'
Set-EntraUserCBACertificateUserId -UserId ‘user@contoso.com' -CertPath 'C:\path\to\certificate.cer' -CertificateMapping @('Subject', 'PrincipalName')
Cet exemple montre comment définir les ID d’utilisateur de certificat pour l’utilisateur spécifié à l’aide d’un fichier de certificat, en mappant les champs Subject et PrincipalName. Vous pouvez utiliser Get-EntraUserCBAAuthorizationInfo commande pour afficher les détails mis à jour.
Exemple 2 : Mettre à jour les informations d’autorisation de certificat de l’utilisateur à l’aide d’un certificat
Connect-Entra -Scopes 'Directory.ReadWrite.All', 'User.ReadWrite.All'
$text = '-----BEGIN CERTIFICATE-----
MIIDiz...=
-----END CERTIFICATE-----'
$bytes = [System.Text.Encoding]::UTF8.GetBytes($text)
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($bytes)
Set-EntraUserCBACertificateUserId -UserId user@contoso.com' -Cert $certificate -CertificateMapping @('RFC822Name', 'SKI')
Cet exemple montre comment définir les ID d’utilisateur de certificat pour l’utilisateur spécifié à l’aide d’un objet de certificat, en mappant les champs RFC822Name et SKI. Vous pouvez utiliser Get-EntraUserCBAAuthorizationInfo commande pour afficher les détails mis à jour.
Mettre à jour certificateUserIds à l’aide du Centre d’administration Microsoft Entra
Procédez comme suit pour mettre à jour les certificateUserIds des utilisateurs :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’authentification privilégié pour les utilisateurs cloud uniquement ou en tant qu’administrateur d’identité hybride pour les utilisateurs synchronisés.
Recherchez et sélectionnez Tous les utilisateurs.
Sélectionnez un utilisateur, puis modifiez les propriétés.
En regard des informations d’autorisation, sélectionnez Afficher.
Sélectionnez Modifier les ID d’utilisateur de certificat.
Sélectionnez Ajouter.
Entrez la valeur, puis sélectionnez Enregistrer. Vous pouvez ajouter jusqu’à quatre valeurs, de 120 caractères chacune.
Mettre à jour certificateUserIds au moyen de requêtes Microsoft Graph
Les exemples suivants montrent comment utiliser Microsoft Graph pour rechercher des certificateUserIds et les mettre à jour.
Consultez les identifiants de certificat
Les appelants autorisés peuvent exécuter des requêtes Microsoft Graph pour rechercher tous les utilisateurs avec une valeur certificateUserId donnée. Sur l’objet utilisateur Microsoft Graph, la collection de certificateUserIds est stockée dans la propriété authorizationInfo .
Pour récupérer les certificateUserIds de tous les objets utilisateur :
GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo
ConsistencyLevel: eventual
Pour récupérer les certificateUserIds d’un utilisateur donné par ObjectId de l’utilisateur :
GET https://graph.microsoft.com/v1.0/users/{user-object-id}?$select=authorizationinfo
ConsistencyLevel: eventual
Pour récupérer l’objet utilisateur avec une valeur spécifique dans certificateUserIds :
GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo&$filter=authorizationInfo/certificateUserIds/any(x:x eq 'X509:<PN>user@contoso.com')&$count=true
ConsistencyLevel: eventual
Vous pouvez également utiliser les opérateurs not
et startsWith
pour correspondre à la règle du filtre. Pour filtrer par rapport à l’objet certificateUserIds, la requête doit inclure la $count=true
chaîne de requête et l’en-tête ConsistencyLevel doit être défini sur eventual
.
Mettre à jour certificateUserIds
Exécutez une requête PATCH pour mettre à jour le certificateUserIds pour un utilisateur précis.
Corps de la requête
PATCH https://graph.microsoft.com/v1.0/users/{user-object-id}
Content-Type: application/json
{
"authorizationInfo": {
"certificateUserIds": [
"X509:<PN>123456789098765@mil"
]
}
}
Mettre à jour les certificateUserIds à l’aide des commandes Microsoft Graph PowerShell
Pour cette configuration, vous pouvez utiliser Microsoft Graph PowerShell.
Démarrez PowerShell avec les privilèges administrateur.
Installez et importez le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.
Install-Module Microsoft.Graph -Scope CurrentUser Import-Module Microsoft.Graph.Authentication Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
Connectez-vous au locataire et acceptez toutes les conditions.
Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>
Répertoriez l’attribut certificateUserIds d’un utilisateur donné.
$results = Invoke-MGGraphRequest -Method get -Uri 'https://graph.microsoft.com/v1.0/users/<userId>?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' } #list certificateUserIds $results.authorizationInfo
Créez une variable avec des valeurs certificateUserIds.
#Create a new variable to prepare the change. Ensure that you list any existing values you want to keep as this operation will overwrite the existing value $params = @{ authorizationInfo = @{ certificateUserIds = @( "X509:<SKI>gH4iJ5kL6mN7oP8qR9sT0uV1wX", "X509:<PN>user@contoso.com" ) } }
Mettez à jour l’attribut certificateUserIds.
$results = Invoke-MGGraphRequest -Method patch -Uri 'https://graph.microsoft.com/v1.0/users/<UserId>/?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' } -Body $params
Mettre à jour certificateUserIds à l’aide de l’objet utilisateur
Obtenir l'objet utilisateur.
$userObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" $user = Get-MgUser -UserId $userObjectId -Property AuthorizationInfo
Mettez à jour l’attribut certificateUserIds de l’objet utilisateur.
$user.AuthorizationInfo.certificateUserIds = @("X509:<SKI>iJ5kL6mN7oP8qR9sT0uV1wX2yZ", "X509:<PN>user1@contoso.com") Update-MgUser -UserId $userObjectId -AuthorizationInfo $user.AuthorizationInfo
Mettre à jour certificateUserIds à l'aide de Microsoft Entra Connect
Microsoft Entra Connect prend en charge la synchronisation des valeurs avec certificateUserIds à partir d’un environnement Active Directory local. Active Directory local prend en charge l’authentification basée sur des certificats et plusieurs liaisons de nom d'utilisateur. Veillez à utiliser la dernière version de Microsoft Entra Connect.
Pour utiliser ces méthodes de mappage, vous devez remplir l’attribut altSecurityIdentities des objets utilisateur dans le Active Directory local. En outre, après avoir appliqué des modifications d’authentification basées sur des certificats sur les contrôleurs de domaine Windows, comme décrit dans KB5014754, vous avez peut-être implémenté certaines des méthodes de mappage non modifiables (Type=strong) pour répondre aux exigences d’application de liaison de certificat forte Active Directory locales.
Pour éviter les erreurs de synchronisation, assurez-vous que les valeurs en cours de synchronisation suivent l’un des formats pris en charge pour les certificateUserIds.
Avant de commencer, vérifiez que tous les comptes d’utilisateur synchronisés à partir de Active Directory local ont :
10 valeurs ou moins dans leurs attributs altSecurityIdentities
Aucune valeur avec plus de 1 024 caractères
Aucune valeur dupliquée
Examinez attentivement si une valeur dupliquée est destinée à mapper un certificat unique à plusieurs comptes Active Directory local. Pour plus d’informations, consultez Plusieurs liaisons de nom d’utilisateur.
Remarque
Dans des scénarios spécifiques, un sous-ensemble d’utilisateurs peut avoir une justification métier valide pour mapper un seul certificat à plusieurs comptes Active Directory local. Passez en revue ces scénarios et, le cas échéant, implémentez des méthodes de mappage distinctes pour mapper à plusieurs comptes dans active Directory local et l’ID Microsoft Entra.
Considérations relatives à la synchronisation continue de certificateUserIds
- Vérifiez que le processus d’approvisionnement pour remplir les valeurs dans Active Directory local implémente une hygiène appropriée. Seules les valeurs associées aux certificats valides actuels sont remplies.
- Les valeurs sont supprimées lorsque le certificat correspondant a expiré ou a été révoqué.
- Les valeurs supérieures à 1 024 caractères ne sont pas remplies.
- Les valeurs en double ne sont pas provisionnées.
- Utilisez Microsoft Entra Connect Health pour surveiller la synchronisation.
Suivez ces étapes pour configurer Microsoft Entra Connecter pour synchroniser userPrincipalName avec certificateUserIds :
Sur le serveur Microsoft Entra Connect, recherchez et démarrez l’éditeur de règles de synchronisation.
Sélectionnez Direction, puis sélectionnez Sortant.
Recherchez la règle Out to Microsoft Entra ID – User Identity, sélectionnez Edit, et sélectionnez Yes pour confirmer.
Entrez un nombre élevé dans le champ Priorité , puis sélectionnez Suivant.
Sélectionnez Transformations>Ajouter une transformation. Vous devrez peut-être faire défiler la liste des transformations avant d’en créer une.
Synchroniser X509 :<PN>PrincipalNameValue
Pour synchroniser X509 :<PN>PrincipalNameValue, créez une règle de synchronisation sortante et choisissez Expression dans le type de flux. Choisissez l’attribut cible en tant que certificateUserIds et, dans le champ source, ajoutez l’expression suivante. Si votre attribut source n’est pas userPrincipalName, vous pouvez modifier l’expression en conséquence.
"X509:<PN>"&[userPrincipalName]
Synchroniser X509 :<RFC822>RFC822Name
Pour synchroniser X509 :<RFC822>RFC822Name, créez une règle de synchronisation sortante et choisissez Expression dans le type de flux. Choisissez l’attribut cible en tant que certificateUserIds et, dans le champ source, ajoutez l’expression suivante. Si votre attribut source n’est pas userPrincipalName, vous pouvez modifier l’expression en conséquence.
"X509:<RFC822>"&[userPrincipalName]
Sélectionnez Attribut cible, sélectionnez certificateUserIds, source, userPrincipalName, puis sélectionnez Enregistrer.
Sélectionnez OK pour confirmer.
Importante
Les exemples précédents utilisent l’attribut userPrincipalName comme attribut source dans la règle de transformation. Vous pouvez utiliser n’importe quel attribut disponible avec la valeur appropriée. Par exemple, certaines organisations utilisent l’attribut courrier. Pour obtenir des règles de transformation plus complexes, consultez Microsoft Entra Connect Sync : Présentation des expressions d’approvisionnement déclaratives
Pour plus d’informations sur les expressions d’approvisionnement déclaratives, consultez Microsoft Entra Connect : Expressions d’approvisionnement déclaratives.
Synchroniser l’attribut altSecurityIdentities d’Active Directory avec certificateUserIds de Microsoft Entra
L’attribut altSecurityIdentities ne fait pas partie de l’ensemble par défaut. Un administrateur doit ajouter un nouvel attribut à l’objet person dans le Métaverse, puis créer les règles de synchronisation appropriées pour relayer ces données vers certificateUserIds dans Microsoft Entra ID.
Ouvrez l'Éditeur de métaverse et sélectionnez l'objet représentant une personne. Pour créer l’attribut alternativeSecurityId, sélectionnez Nouvel attribut. Sélectionnez String (non indexable) pour créer une taille d’attribut allant jusqu’à 1 024 caractères, qui est la longueur maximale prise en charge pour certificateUserIds. Si vous sélectionnez String (indexable), la taille maximale d’une valeur d’attribut est de 448 caractères. Veillez à sélectionner Plusieurs valeurs.
Ouvrez Open Metaverse Designer et sélectionnez alternativeSecurityId pour l’ajouter à l'objet "personne".
Créez une règle de synchronisation entrante pour transformer l’attribut altSecurityIdentities en attribut alternativeSecurityId.
Dans la règle concernant le trafic entrant, utilisez les options suivantes.
Choix Valeur Nom Nom descriptif de la règle, comme : In from Active Directory - altSecurityIdentities Système connecté Votre domaine Active Directory local Type d’objet système connecté utilisateur Type d’objet métaverse personne Priorité Choisir un nombre inférieur à 100 qui n’est pas utilisé actuellement Sélectionnez Ensuite Transformations et créez un mappage direct à l’attribut cible alternativeSecurityId à partir de l’attribut source altSecurityIdentities, comme illustré dans la capture d’écran suivante.
Créez une règle de synchronisation sortante pour passer de l’attribut alternativeSecurityId à l’attribut certificateUserIds dans Microsoft Entra ID.
Choix Valeur Nom Nom descriptif de la règle, comme : Envoi vers Microsoft Entra ID - certificateUserIds Système connecté Votre domaine Microsoft Entra Type d’objet système connecté utilisateur Type d’objet métaverse personne Priorité Choisir un nombre élevé non utilisé actuellement au-dessus de toutes les règles par défaut, par exemple 150 Sélectionnez ensuite Transformations et créez un mappage direct vers l'attribut cible "certificateUserIds" à partir de l'attribut source "alternativeSecurityId", comme illustré dans la capture d’écran suivante.
Exécutez la synchronisation pour remplir les données de l’attribut certificateUserIds.
Pour vérifier la réussite, consultez les informations d’Autorisation d’un utilisateur dans Microsoft Entra ID.
Pour mapper un sous-ensemble de valeurs à partir de l’attribut altSecurityIdentities, remplacez la transformation à l’étape 4 par une expression. Pour utiliser une expression, passez à l’onglet Transformations et remplacez votre option FlowType par Expression, l’attribut cible par certificateUserIds, puis entrez l’expression dans le champ Source. L’exemple suivant filtre uniquement les valeurs qui s’alignent sur les champs de mappage de certificat SKI et SHA1PublicKey :
Code d’expression :
IIF(IsPresent([alternativeSecurityId]),
Where($item,[alternativeSecurityId],BitOr(InStr($item, "X509:<SKI>"),InStr($item, "X509:<SHA1-PUKEY>"))>0),[alternativeSecurityId]
)
Les administrateurs peuvent filtrer des valeurs de altSecurityIdentities qui s’alignent sur les modèles pris en charge. Vérifiez que la configuration de l'authentification basée sur les certificats (CBA) est mise à jour pour prendre en charge les associations de noms d'utilisateur synchronisées avec les IDsUtilisateurDeCertificat et activer l'authentification à l'aide de ces valeurs.
Étapes suivantes
- Vue d’ensemble de Microsoft Entra CBA
- Présentation technique approfondie de Microsoft Entra CBA
- Guide pratique pour configurer Microsoft Entra CBA
- Microsoft Entra CBA sur les appareils iOS
- Microsoft Entra CBA sur les appareils Android
- Connexion par carte à puce Windows utilisant Microsoft Entra CBA
- Comment migrer des utilisateurs fédérés
- FORUM AUX QUESTIONS