A tanúsítványalapú hitelesítés első lépései a Microsoft Entra-azonosítóban összevonással
A tanúsítványalapú hitelesítés (CBA) összevonással lehetővé teszi, hogy a Microsoft Entra ID hitelesítse egy ügyféltanúsítvánnyal Windows, Android vagy iOS rendszerű eszközön, amikor az Exchange online fiókját a következőhöz csatlakoztatja:
- Microsoft-mobilalkalmazások, például a Microsoft Outlook és a Microsoft Word
- Exchange ActiveSync protokoll (EAS) ügyfelek
A funkció konfigurálásával nem szükséges felhasználónevet és jelszót beírni bizonyos levelezési és Microsoft-Office-app licációkba a mobileszközén.
Feljegyzés
Alternatív megoldásként a szervezetek összevonás nélkül is üzembe helyezhetik a Microsoft Entra CBA-t. További információ: A Microsoft Entra tanúsítványalapú hitelesítésének áttekintése a Microsoft Entra-azonosítóval.
Ez a témakör:
- Megadja a CBA konfigurálásának és felhasználásának lépéseit Office 365 Nagyvállalati verzió, üzleti, oktatási és US Government-csomagok bérlői számára.
- Feltételezi, hogy már van konfigurálva nyilvános kulcsú infrastruktúra (PKI) és AD FS .
Követelmények
A CBA összevonással való konfigurálásához az alábbi utasításoknak igaznak kell lenniük:
- Az összevonással rendelkező CBA csak a böngészőalkalmazások összevont környezeteihez, a modern hitelesítést használó natív ügyfelekhez vagy az MSAL-kódtárakhoz támogatott. Az egyetlen kivétel az Exchange Online-hoz készült Exchange Active Sync (EAS) (EXO), amely összevont és felügyelt fiókokhoz használható. Ha összevonás nélkül szeretné konfigurálni a Microsoft Entra CBA-t, olvassa el a Microsoft Entra tanúsítványalapú hitelesítésének konfigurálását ismertető témakört.
- A főtanúsítvány-szolgáltatót és a köztes hitelesítésszolgáltatókat a Microsoft Entra-azonosítóban kell konfigurálni.
- Minden hitelesítésszolgáltatónak rendelkeznie kell egy visszavont tanúsítványok listájával (CRL), amely egy internetes URL-címen keresztül hivatkozható.
- Legalább egy, a Microsoft Entra-azonosítóban konfigurált hitelesítésszolgáltatóval kell rendelkeznie. A kapcsolódó lépéseket a Hitelesítésszolgáltatók konfigurálása szakaszban találja.
- Exchange ActiveSync protokoll ügyfelek esetében az ügyféltanúsítványnak rendelkeznie kell a felhasználó nem használható e-mail-címével az Exchange Online-ban az Egyszerű név vagy a Tulajdonos alternatív neve mező RFC822 Név értékével. A Microsoft Entra ID leképozza az RFC822 értéket a címtár proxycím attribútumára.
- Az ügyféleszköznek hozzáféréssel kell rendelkeznie legalább egy olyan hitelesítésszolgáltatóhoz, amely ügyféltanúsítványokat bocsát ki.
- Az ügyfélhitelesítéshez szükséges ügyféltanúsítványt ki kell adni az ügyfélnek.
Fontos
A Microsoft Entra ID sikeres letöltéséhez és gyorsítótárazásához szükséges CRL maximális mérete 20 MB, és a CRL letöltéséhez szükséges idő nem haladhatja meg a 10 másodpercet. Ha a Microsoft Entra-azonosító nem tudja letölteni a CRL-t, a megfelelő hitelesítésszolgáltató által kiadott tanúsítványalapú hitelesítések sikertelenek lesznek. Ajánlott eljárások annak biztosítására, hogy a CRL-fájlok méretkorláton belül legyenek, a tanúsítvány élettartamának ésszerű korlátokon belüli megtartása és a lejárt tanúsítványok törlése.
1. lépés: Az eszközplatform kiválasztása
Első lépésként a fontos eszközplatform esetében a következőket kell áttekintenie:
- Az Office-mobilalkalmazások támogatása
- A konkrét megvalósítási követelmények
A kapcsolódó információk a következő eszközplatformokhoz léteznek:
2. lépés: A hitelesítésszolgáltatók konfigurálása
A hitelesítésszolgáltatók Microsoft Entra-azonosítóban való konfigurálásához minden hitelesítésszolgáltatóhoz töltse fel a következőket:
- A tanúsítvány nyilvános része .cer formátumban
- Azok az internetes URL-címek, amelyeken a visszavont tanúsítványok listája (CRL-ek) találhatók
A hitelesítésszolgáltató sémája a következőképpen néz ki:
class TrustedCAsForPasswordlessAuth
{
CertificateAuthorityInformation[] certificateAuthorities;
}
class CertificateAuthorityInformation
{
CertAuthorityType authorityType;
X509Certificate trustedCertificate;
string crlDistributionPoint;
string deltaCrlDistributionPoint;
string trustedIssuer;
string trustedIssuerSKI;
}
enum CertAuthorityType
{
RootAuthority = 0,
IntermediateAuthority = 1
}
A konfigurációhoz használhatja a Microsoft Graph PowerShellt:
Indítsa el a Windows PowerShellt rendszergazdai jogosultságokkal.
A Microsoft Graph PowerShell telepítése:
Install-Module Microsoft.Graph
Első konfigurációs lépésként létre kell hoznia egy kapcsolatot a bérlővel. Amint létrejön egy kapcsolat a bérlővel, áttekintheti, hozzáadhatja, törölheti és módosíthatja a címtárban definiált megbízható hitelesítésszolgáltatókat.
Kapcsolódás
A bérlővel való kapcsolat létrehozásához használja a Csatlakozás-MgGraphot:
Connect-MgGraph
Elhoz
A címtárban definiált megbízható hitelesítésszolgáltatók lekéréséhez használja a Get-MgOrganizationCertificateBasedAuthConfiguration parancsot.
Get-MgOrganizationCertificateBasedAuthConfiguration
Hitelesítésszolgáltató hozzáadásához, módosításához vagy eltávolításához használja a Microsoft Entra felügyeleti központot:
Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
Keresse meg a Protection>Show more>Security Center (vagy Identity Secure Score) >hitelesítésszolgáltatókat.
Hitelesítésszolgáltató feltöltéséhez válassza a Feltöltés lehetőséget:
Válassza ki a ca-fájlt.
Válassza az Igen lehetőséget, ha a hitelesítésszolgáltató főtanúsítvány, ellenkező esetben válassza a Nem lehetőséget.
A visszavont tanúsítványok listájának URL-címéhez állítsa be az összes visszavont tanúsítványt tartalmazó hitelesítésszolgáltatói alapszintű CRL internetes URL-címét. Ha az URL-cím nincs beállítva, a visszavont tanúsítványokkal való hitelesítés nem fog meghiúsulni.
A Delta-tanúsítványok visszavonási listájának URL-címéhez állítsa be annak a CRL-nek az internetre mutató URL-címét, amely az utolsó alap CRL közzététele óta minden visszavont tanúsítványt tartalmaz.
Válassza a Hozzáadás lehetőséget.
Ca-tanúsítvány törléséhez jelölje ki a tanúsítványt, és válassza a Törlés lehetőséget.
Oszlopok hozzáadásához vagy törléséhez válassza az Oszlopok lehetőséget.
3. lépés: Visszavonás konfigurálása
Az ügyféltanúsítvány visszavonásához a Microsoft Entra ID lekéri a tanúsítvány-visszavonási listát (CRL) a hitelesítésszolgáltató adatainak részeként feltöltött URL-címekről, és gyorsítótárazza azt. A CRL utolsó közzétételi időbélyege (Effective Date tulajdonság) annak ellenőrzésére szolgál, hogy a CRL továbbra is érvényes-e. A CRL-ra rendszeres időközönként hivatkozunk a lista részét képező tanúsítványokhoz való hozzáférés visszavonásához.
Ha azonnali visszavonásra van szükség (például ha egy felhasználó elveszíti az eszközt), a felhasználó engedélyezési jogkivonata érvényteleníthető. Az engedélyezési jogkivonat érvénytelenítéséhez állítsa be az adott felhasználó StsRefreshTokenValidFrom mezőjét a Windows PowerShell használatával. Frissítenie kell a StsRefreshTokenValidFrom mezőt minden olyan felhasználóhoz, akihez vissza szeretné vonni a hozzáférést.
Annak érdekében, hogy a visszavonás továbbra is megmaradjon, a visszavont tanúsítványok érvényes dátumát a StsRefreshTokenValidFrom által beállított érték utáni dátumra kell állítania , és győződjön meg arról, hogy a szóban forgó tanúsítvány szerepel a CRL-ben.
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
Az alábbi lépések az engedélyezési jogkivonat frissítésének és érvénytelenítésének folyamatát ismertetik a StsRefreshTokenValidFrom mező beállításával.
Csatlakozás a PowerShellhez:
Connect-MgGraph
A felhasználó aktuális StsRefreshTokensValidFrom értékének lekérése:
$user = Get-MsolUser -UserPrincipalName test@yourdomain.com` $user.StsRefreshTokensValidFrom
Konfiguráljon egy új StsRefreshTokensValidFrom értéket a felhasználó számára, amely megegyezik az aktuális időbélyegzővel:
Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")
A megadott dátumnak a jövőben kell lennie. Ha a dátum nem a jövőben van megadva, a StsRefreshTokensValidFrom tulajdonság nincs beállítva. Ha a dátum a jövőben van, a StsRefreshTokensValidFrom az aktuális időpontra van állítva (nem a Set-MsolUser parancs által jelzett dátumra).
4. lépés: A konfiguráció tesztelése
A tanúsítvány tesztelése
Első konfigurációs tesztként próbáljon meg bejelentkezni az Outlook Web Accessbe vagy a SharePoint Online-ba az eszközböngésző használatával.
Ha a bejelentkezés sikeres, akkor a következőt tudja:
- A felhasználói tanúsítvány ki lett építve a teszteszközre
- Az AD FS megfelelően van konfigurálva
Office-mobilalkalmazások tesztelése
- A teszteszközön telepítsen egy Office-mobilalkalmazást (például OneDrive-ot).
- Indítsa el az alkalmazást.
- Adja meg a felhasználónevét, majd válassza ki a használni kívánt felhasználói tanúsítványt.
Sikeresen be kell jelentkeznie.
Exchange ActiveSync protokoll ügyfélalkalmazások tesztelése
A Exchange ActiveSync protokoll (EAS) tanúsítványalapú hitelesítéssel való eléréséhez az ügyféltanúsítványt tartalmazó EAS-profilnak elérhetőnek kell lennie az alkalmazás számára.
Az EAS-profilnak a következő információkat kell tartalmaznia:
A hitelesítéshez használandó felhasználói tanúsítvány
Az EAS-végpont (például outlook.office365.com)
Az EAS-profilok konfigurálhatók és helyezhetők el az eszközön a mobileszköz-kezelés (MDM) (például a Microsoft Intune) használatával, vagy a tanúsítvány manuális elhelyezésével az EAS-profilban az eszközön.
EAS-ügyfélalkalmazások tesztelése Android rendszeren
- Konfiguráljon egy olyan EAS-profilt az alkalmazásban, amely megfelel az előző szakaszban ismertetett követelményeknek.
- Nyissa meg az alkalmazást, és ellenőrizze, hogy a levelek szinkronizálódnak-e.
Következő lépések
További információ a tanúsítványalapú hitelesítésről Android-eszközökön.
További információ a tanúsítványalapú hitelesítésről iOS-eszközökön.