A tanúsítványalapú hitelesítés bevezetése a Microsoft Entra azonosítóban federatív megoldással.

A tanúsítványalapú hitelesítés (CBA) összevonással lehetővé teszi, hogy a Microsoft Entra ID ügyféltanúsítvánnyal hitelesítse Önt Egy Windows, Android vagy iOS rendszerű eszközön, amikor az Exchange online fiókját a következőhöz csatlakoztatja:

• Microsoft-mobilalkalmazások, például a Microsoft Outlook és a Microsoft Word
• Exchange ActiveSync (EAS) kliensek

A funkció konfigurálásával nem szükséges felhasználónevet és jelszókombinációt beírnia bizonyos levelezési és Microsoft Office-alkalmazásokba a mobileszközén.

Jegyzet

Alternatív megoldásként a szervezetek összevonás nélkül is üzembe helyezhetik a Microsoft Entra CBA-t. További információ: A Microsoft Entra tanúsítványalapú hitelesítésének áttekintése a Microsoft Entra-azonosítóval.

Ez a témakör:

• Lépésekkel konfigurálhatja és használhatja a CBA-t az Office 365 Nagyvállalati, Vállalati, Oktatási és US Government-csomagban lévő bérlők felhasználói számára.
• Feltételezi, hogy már van konfigurálva nyilvános kulcsú infrastruktúra (PKI) és AD FS .

Követelmények

A CBA összevonással való konfigurálásához az alábbi utasításoknak igaznak kell lenniük:

• Az összevonással rendelkező CBA csak a böngészőalkalmazások összevont környezeteihez, a modern hitelesítést használó natív ügyfelekhez vagy az MSAL-kódtárakhoz támogatott. Az egyetlen kivétel az Exchange Online-hoz készült Exchange Active Sync (EAS) (EXO), amely összevont és felügyelt fiókokhoz használható. Ha összevonás nélkül szeretné konfigurálni a Microsoft Entra CBA-t, olvassa el a Microsoft Entra tanúsítványalapú hitelesítésének konfigurálását ismertető témakört.
• A főtanúsítvány-szolgáltatót és a köztes hitelesítésszolgáltatókat a Microsoft Entra-azonosítóban kell konfigurálni.
• Minden hitelesítésszolgáltatónak rendelkeznie kell egy visszavont tanúsítványok listájával (CRL), amely egy internetes URL-címen keresztül hivatkozható.
• Legalább egy, a Microsoft Entra-azonosítóban konfigurált hitelesítésszolgáltatóval kell rendelkeznie. A kapcsolódó lépéseket a Hitelesítésszolgáltatók konfigurálása szakaszban találja.
• Exchange ActiveSync-ügyfelek esetén az ügyféltanúsítványnak rendelkeznie kell a felhasználó e-mail-címével az Exchange online-ban a Principal Name vagy az RFC822 Name mező értékében a Subject Alternative Name mezőben. A Microsoft Entra ID leképozza az RFC822 értéket a címtár proxycím attribútumára.
• Az ügyféleszköznek hozzáféréssel kell rendelkeznie legalább egy olyan hitelesítésszolgáltatóhoz, amely ügyféltanúsítványokat bocsát ki.
• Az ügyfélhitelesítéshez szükséges ügyféltanúsítványt ki kell adni az ügyfélnek.

Fontos

A Microsoft Entra ID sikeres letöltéséhez és gyorsítótárazásához szükséges CRL maximális mérete 20 MB, és a CRL letöltéséhez szükséges idő nem haladhatja meg a 10 másodpercet. Ha a Microsoft Entra-azonosító nem tudja letölteni a CRL-t, a megfelelő hitelesítésszolgáltató által kiadott tanúsítványalapú hitelesítések sikertelenek lesznek. Ajánlott eljárások annak biztosítására, hogy a CRL-fájlok méretkorláton belül legyenek, a tanúsítvány élettartamának ésszerű korlátokon belüli megtartása és a lejárt tanúsítványok törlése.

1. lépés: Az eszközplatform kiválasztása

Első lépésként a fontos eszközplatform esetében a következőket kell áttekintenie:

• Az Office-mobilalkalmazások támogatása
• A konkrét megvalósítási követelmények

A kapcsolódó információk a következő eszközplatformokhoz léteznek:

• Android
• Ios

2. lépés: A hitelesítésszolgáltatók konfigurálása

A hitelesítésszolgáltatók Microsoft Entra-azonosítóban való konfigurálásához minden hitelesítésszolgáltatóhoz töltse fel a következőket:

• A tanúsítvány nyilvános része .cer formátumban
• Azok az internetes URL-címek, amelyeken a visszavont tanúsítványok listája (CRL-ek) találhatók

A hitelesítésszolgáltató sémája a következőképpen néz ki:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

A konfigurációhoz használhatja a Microsoft Graph PowerShellt:

1. Indítsa el a Windows PowerShellt rendszergazdai jogosultságokkal.

2. A Microsoft Graph PowerShell telepítése:

       Install-Module Microsoft.Graph
   

Első konfigurációs lépésként létre kell hoznia egy kapcsolatot a bérlővel. Amint létrejön egy kapcsolat a bérlővel, áttekintheti, hozzáadhatja, törölheti és módosíthatja a címtárban definiált megbízható hitelesítésszolgáltatókat.

Kapcsolódik

A bérlővel való kapcsolat létrehozásához használja a Connect-MgGraphot:

    Connect-MgGraph

Lekér

A címtárban definiált megbízható hitelesítésszolgáltatók lekéréséhez használja a Get-MgOrganizationCertificateBasedAuthConfiguration parancsot.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez a gyakorlat segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt szerepkör, amelynek vészhelyzetekre kell korlátozódnia, vagy ha nem tud meglévő szerepkört használni.

Hitelesítésszolgáltató hozzáadásához, módosításához vagy eltávolításához használja a Microsoft Entra felügyeleti központot:

1. Jelentkezzen be a Microsoft Entra felügyeleti központbaglobális rendszergazdaként.

2. Keresse meg az Entra ID>Identity Secure Score>tanúsítványszolgáltatók.

3. Tanúsítvány feltöltéséhez válassza a Feltöltés lehetőséget.

   1. Válassza ki a ca-fájlt.

   2. Válassza az Igen lehetőséget, ha a hitelesítésszolgáltató gyökér tanúsítvány, ellenkező esetben válassza a Nem lehetőséget.

   3. A visszavont tanúsítványok listájának URL-címéhez állítsa be az összes visszavont tanúsítványt tartalmazó hitelesítésszolgáltatói alapszintű CRL internetes URL-címét. Ha az URL-cím nincs beállítva, a visszavont tanúsítványokkal való hitelesítés nem fog meghiúsulni.

   4. A Delta-tanúsítványok visszavonási listájának URL-címéhez állítsa be annak a CRL-nek az internetre mutató URL-címét, amely az utolsó alap CRL közzététele óta minden visszavont tanúsítványt tartalmaz.

   5. Válassza a Hozzáadás lehetőséget.

      

4. Ca-tanúsítvány törléséhez jelölje ki a tanúsítványt, és válassza a Törlés lehetőséget.

5. Oszlopok hozzáadásához vagy törléséhez válassza az Oszlopok lehetőséget.

3. lépés: Visszavonás konfigurálása

Az ügyféltanúsítvány visszavonásához a Microsoft Entra ID lekéri a tanúsítvány-visszavonási listát (CRL) a hitelesítésszolgáltató adatainak részeként feltöltött URL-címekről, és gyorsítótárazza azt. A CRL utolsó közzétételi időbélyege (Effective Date tulajdonság) annak ellenőrzésére szolgál, hogy a CRL továbbra is érvényes-e. A CRL-ra rendszeres időközönként hivatkozunk a lista részét képező tanúsítványokhoz való hozzáférés visszavonásához.

Ha azonnali visszavonásra van szükség (például ha egy felhasználó elveszíti az eszközt), a felhasználó engedélyezési jogkivonata érvényteleníthető. Az engedélyezési jogkivonat érvénytelenítéséhez állítsa be az adott felhasználó StsRefreshTokensValidFrom mezőjét a Windows PowerShell használatával. Frissítenie kell a StsRefreshTokensValidFrom mezőt minden olyan felhasználóhoz, akihez vissza szeretné vonni a hozzáférést.

Annak biztosításához, hogy a visszavonás továbbra is megmaradjon, a visszavont tanúsítványok érvényes dátumát a StsRefreshTokensValidFrom által beállított érték utáni dátumra kell állítania, és gondoskodnia kell arról, hogy a kérdéses tanúsítvány szerepeljen a CRL-ben.

Az alábbi lépések az engedélyezési jogkivonat frissítésének és érvénytelenítésének folyamatát ismertetik a StsRefreshTokensValidFrom mező beállításával.

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

A megadott dátumnak a jövőben kell lennie. Ha a dátum nem a jövőben van megadva, a StsRefreshTokensValidFrom tulajdonság nincs beállítva. Ha a dátum a jövőben van, a StsRefreshTokensValidFrom az aktuális időpontra van állítva (nem az Set-MsolUser parancs által jelzett dátumra).

4. lépés: A konfiguráció tesztelése

A tanúsítvány tesztelése

Első konfigurációs tesztként próbáljon meg bejelentkezni az Outlook Web Accessbe vagy a SharePointOnline-ba az eszközböngésző használatával.

Ha a bejelentkezés sikeres, akkor a következőt tudja:

• A felhasználói tanúsítvány ki lett építve a teszteszközre
• Az AD FS megfelelően van konfigurálva

Office-mobilalkalmazások tesztelése

1. A teszteszközön telepítsen egy Office-mobilalkalmazást (például OneDrive-ot).
2. Indítsa el az alkalmazást.
3. Adja meg a felhasználónevét, majd válassza ki a használni kívánt felhasználói tanúsítványt.

Sikeresen be kell jelentkeznie.

Exchange ActiveSync-ügyfélalkalmazások tesztelése

Az Exchange ActiveSync (EAS) tanúsítványalapú hitelesítésen keresztüli eléréséhez az ügyféltanúsítványt tartalmazó EAS-profilnak elérhetőnek kell lennie az alkalmazás számára.

Az EAS-profilnak a következő információkat kell tartalmaznia:

• A hitelesítéshez használandó felhasználói tanúsítvány

• Az EAS-végpont (például outlook.office365.com)

Az EAS-profilok konfigurálhatók és helyezhetők el az eszközön a mobileszköz-kezelés (MDM) (például a Microsoft Intune) használatával, vagy a tanúsítvány manuális elhelyezésével az EAS-profilban az eszközön.

EAS-ügyfélalkalmazások tesztelése Android rendszeren

1. Konfiguráljon egy olyan EAS-profilt az alkalmazásban, amely megfelel az előző szakaszban ismertetett követelményeknek.
2. Nyissa meg az alkalmazást, és ellenőrizze, hogy a levelek szinkronizálódnak-e.

Következő lépések

További információ a tanúsítványalapú hitelesítésről Android-eszközökön.

További információ a tanúsítványalapú hitelesítésről iOS-eszközökön.