A tanúsítványalapú hitelesítés első lépései a Microsoft Entra-azonosítóban összevonással

  • Cikk

A tanúsítványalapú hitelesítés (CBA) összevonással lehetővé teszi, hogy a Microsoft Entra ID hitelesítse egy ügyféltanúsítvánnyal Windows, Android vagy iOS rendszerű eszközön, amikor az Exchange online fiókját a következőhöz csatlakoztatja:

  • Microsoft-mobilalkalmazások, például a Microsoft Outlook és a Microsoft Word
  • Exchange ActiveSync protokoll (EAS) ügyfelek

A funkció konfigurálásával nem szükséges felhasználónevet és jelszót beírni bizonyos levelezési és Microsoft-Office-app licációkba a mobileszközén.

Feljegyzés

Alternatív megoldásként a szervezetek összevonás nélkül is üzembe helyezhetik a Microsoft Entra CBA-t. További információ: A Microsoft Entra tanúsítványalapú hitelesítésének áttekintése a Microsoft Entra-azonosítóval.

Ez a témakör:

  • Megadja a CBA konfigurálásának és felhasználásának lépéseit Office 365 Nagyvállalati verzió, üzleti, oktatási és US Government-csomagok bérlői számára.
  • Feltételezi, hogy már van konfigurálva nyilvános kulcsú infrastruktúra (PKI) és AD FS .

Követelmények

A CBA összevonással való konfigurálásához az alábbi utasításoknak igaznak kell lenniük:

  • Az összevonással rendelkező CBA csak a böngészőalkalmazások összevont környezeteihez, a modern hitelesítést használó natív ügyfelekhez vagy az MSAL-kódtárakhoz támogatott. Az egyetlen kivétel az Exchange Online-hoz készült Exchange Active Sync (EAS) (EXO), amely összevont és felügyelt fiókokhoz használható. Ha összevonás nélkül szeretné konfigurálni a Microsoft Entra CBA-t, olvassa el a Microsoft Entra tanúsítványalapú hitelesítésének konfigurálását ismertető témakört.
  • A főtanúsítvány-szolgáltatót és a köztes hitelesítésszolgáltatókat a Microsoft Entra-azonosítóban kell konfigurálni.
  • Minden hitelesítésszolgáltatónak rendelkeznie kell egy visszavont tanúsítványok listájával (CRL), amely egy internetes URL-címen keresztül hivatkozható.
  • Legalább egy, a Microsoft Entra-azonosítóban konfigurált hitelesítésszolgáltatóval kell rendelkeznie. A kapcsolódó lépéseket a Hitelesítésszolgáltatók konfigurálása szakaszban találja.
  • Exchange ActiveSync protokoll ügyfelek esetében az ügyféltanúsítványnak rendelkeznie kell a felhasználó nem használható e-mail-címével az Exchange Online-ban az Egyszerű név vagy a Tulajdonos alternatív neve mező RFC822 Név értékével. A Microsoft Entra ID leképozza az RFC822 értéket a címtár proxycím attribútumára.
  • Az ügyféleszköznek hozzáféréssel kell rendelkeznie legalább egy olyan hitelesítésszolgáltatóhoz, amely ügyféltanúsítványokat bocsát ki.
  • Az ügyfélhitelesítéshez szükséges ügyféltanúsítványt ki kell adni az ügyfélnek.

Fontos

A Microsoft Entra ID sikeres letöltéséhez és gyorsítótárazásához szükséges CRL maximális mérete 20 MB, és a CRL letöltéséhez szükséges idő nem haladhatja meg a 10 másodpercet. Ha a Microsoft Entra-azonosító nem tudja letölteni a CRL-t, a megfelelő hitelesítésszolgáltató által kiadott tanúsítványalapú hitelesítések sikertelenek lesznek. Ajánlott eljárások annak biztosítására, hogy a CRL-fájlok méretkorláton belül legyenek, a tanúsítvány élettartamának ésszerű korlátokon belüli megtartása és a lejárt tanúsítványok törlése.

1. lépés: Az eszközplatform kiválasztása

Első lépésként a fontos eszközplatform esetében a következőket kell áttekintenie:

  • Az Office-mobilalkalmazások támogatása
  • A konkrét megvalósítási követelmények

A kapcsolódó információk a következő eszközplatformokhoz léteznek:

2. lépés: A hitelesítésszolgáltatók konfigurálása

A hitelesítésszolgáltatók Microsoft Entra-azonosítóban való konfigurálásához minden hitelesítésszolgáltatóhoz töltse fel a következőket:

  • A tanúsítvány nyilvános része .cer formátumban
  • Azok az internetes URL-címek, amelyeken a visszavont tanúsítványok listája (CRL-ek) találhatók

A hitelesítésszolgáltató sémája a következőképpen néz ki:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

A konfigurációhoz használhatja a Microsoft Graph PowerShellt:

  1. Indítsa el a Windows PowerShellt rendszergazdai jogosultságokkal.

  2. A Microsoft Graph PowerShell telepítése:

        Install-Module Microsoft.Graph

Első konfigurációs lépésként létre kell hoznia egy kapcsolatot a bérlővel. Amint létrejön egy kapcsolat a bérlővel, áttekintheti, hozzáadhatja, törölheti és módosíthatja a címtárban definiált megbízható hitelesítésszolgáltatókat.

Kapcsolódás

A bérlővel való kapcsolat létrehozásához használja a Csatlakozás-MgGraphot:

    Connect-MgGraph

Elhoz

A címtárban definiált megbízható hitelesítésszolgáltatók lekéréséhez használja a Get-MgOrganizationCertificateBasedAuthConfiguration parancsot.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Hitelesítésszolgáltató hozzáadásához, módosításához vagy eltávolításához használja a Microsoft Entra felügyeleti központot:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.

  2. Keresse meg a Protection>Show more>Security Center (vagy Identity Secure Score) >hitelesítésszolgáltatókat.

  3. Hitelesítésszolgáltató feltöltéséhez válassza a Feltöltés lehetőséget:

    1. Válassza ki a ca-fájlt.

    2. Válassza az Igen lehetőséget, ha a hitelesítésszolgáltató főtanúsítvány, ellenkező esetben válassza a Nem lehetőséget.

    3. A visszavont tanúsítványok listájának URL-címéhez állítsa be az összes visszavont tanúsítványt tartalmazó hitelesítésszolgáltatói alapszintű CRL internetes URL-címét. Ha az URL-cím nincs beállítva, a visszavont tanúsítványokkal való hitelesítés nem fog meghiúsulni.

    4. A Delta-tanúsítványok visszavonási listájának URL-címéhez állítsa be annak a CRL-nek az internetre mutató URL-címét, amely az utolsó alap CRL közzététele óta minden visszavont tanúsítványt tartalmaz.

    5. Válassza a Hozzáadás lehetőséget.

      Képernyőkép a hitelesítésszolgáltató fájljának feltöltéséről.

  4. Ca-tanúsítvány törléséhez jelölje ki a tanúsítványt, és válassza a Törlés lehetőséget.

  5. Oszlopok hozzáadásához vagy törléséhez válassza az Oszlopok lehetőséget.

3. lépés: Visszavonás konfigurálása

Az ügyféltanúsítvány visszavonásához a Microsoft Entra ID lekéri a tanúsítvány-visszavonási listát (CRL) a hitelesítésszolgáltató adatainak részeként feltöltött URL-címekről, és gyorsítótárazza azt. A CRL utolsó közzétételi időbélyege (Effective Date tulajdonság) annak ellenőrzésére szolgál, hogy a CRL továbbra is érvényes-e. A CRL-ra rendszeres időközönként hivatkozunk a lista részét képező tanúsítványokhoz való hozzáférés visszavonásához.

Ha azonnali visszavonásra van szükség (például ha egy felhasználó elveszíti az eszközt), a felhasználó engedélyezési jogkivonata érvényteleníthető. Az engedélyezési jogkivonat érvénytelenítéséhez állítsa be az adott felhasználó StsRefreshTokenValidFrom mezőjét a Windows PowerShell használatával. Frissítenie kell a StsRefreshTokenValidFrom mezőt minden olyan felhasználóhoz, akihez vissza szeretné vonni a hozzáférést.

Annak érdekében, hogy a visszavonás továbbra is megmaradjon, a visszavont tanúsítványok érvényes dátumát a StsRefreshTokenValidFrom által beállított érték utáni dátumra kell állítania , és győződjön meg arról, hogy a szóban forgó tanúsítvány szerepel a CRL-ben.

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

Az alábbi lépések az engedélyezési jogkivonat frissítésének és érvénytelenítésének folyamatát ismertetik a StsRefreshTokenValidFrom mező beállításával.

  1. Csatlakozás a PowerShellhez:

    Connect-MgGraph

  2. A felhasználó aktuális StsRefreshTokensValidFrom értékének lekérése:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. Konfiguráljon egy új StsRefreshTokensValidFrom értéket a felhasználó számára, amely megegyezik az aktuális időbélyegzővel:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

A megadott dátumnak a jövőben kell lennie. Ha a dátum nem a jövőben van megadva, a StsRefreshTokensValidFrom tulajdonság nincs beállítva. Ha a dátum a jövőben van, a StsRefreshTokensValidFrom az aktuális időpontra van állítva (nem a Set-MsolUser parancs által jelzett dátumra).

4. lépés: A konfiguráció tesztelése

A tanúsítvány tesztelése

Első konfigurációs tesztként próbáljon meg bejelentkezni az Outlook Web Accessbe vagy a SharePoint Online-ba az eszközböngésző használatával.

Ha a bejelentkezés sikeres, akkor a következőt tudja:

  • A felhasználói tanúsítvány ki lett építve a teszteszközre
  • Az AD FS megfelelően van konfigurálva

Office-mobilalkalmazások tesztelése

  1. A teszteszközön telepítsen egy Office-mobilalkalmazást (például OneDrive-ot).
  2. Indítsa el az alkalmazást.
  3. Adja meg a felhasználónevét, majd válassza ki a használni kívánt felhasználói tanúsítványt.

Sikeresen be kell jelentkeznie.

Exchange ActiveSync protokoll ügyfélalkalmazások tesztelése

A Exchange ActiveSync protokoll (EAS) tanúsítványalapú hitelesítéssel való eléréséhez az ügyféltanúsítványt tartalmazó EAS-profilnak elérhetőnek kell lennie az alkalmazás számára.

Az EAS-profilnak a következő információkat kell tartalmaznia:

  • A hitelesítéshez használandó felhasználói tanúsítvány

  • Az EAS-végpont (például outlook.office365.com)

Az EAS-profilok konfigurálhatók és helyezhetők el az eszközön a mobileszköz-kezelés (MDM) (például a Microsoft Intune) használatával, vagy a tanúsítvány manuális elhelyezésével az EAS-profilban az eszközön.

EAS-ügyfélalkalmazások tesztelése Android rendszeren

  1. Konfiguráljon egy olyan EAS-profilt az alkalmazásban, amely megfelel az előző szakaszban ismertetett követelményeknek.
  2. Nyissa meg az alkalmazást, és ellenőrizze, hogy a levelek szinkronizálódnak-e.

Következő lépések

További információ a tanúsítványalapú hitelesítésről Android-eszközökön.

További információ a tanúsítványalapú hitelesítésről iOS-eszközökön.