Bagikan melalui

Mulai menggunakan autentikasi berbasis sertifikat di ID Microsoft Entra dengan federasi

  • Artikel

Autentikasi berbasis sertifikat (CBA) dengan federasi memungkinkan MICROSOFT Entra ID mengautentikasi Anda dengan sertifikat klien di perangkat Windows, Android, atau iOS saat menyambungkan akun online Exchange Anda ke:

  • Aplikasi seluler Microsoft seperti Microsoft Outlook dan Microsoft Word
  • Pengguna Exchange ActiveSync (EAS)

Mengonfigurasi fitur ini menghilangkan kebutuhan untuk memasukkan kombinasi nama pengguna dan kata sandi ke dalam email tertentu dan aplikasi Microsoft Office di perangkat seluler Anda.

Nota

Sebagai alternatif, organisasi dapat menyebarkan Microsoft Entra CBA tanpa memerlukan federasi. Untuk informasi selengkapnya, lihat Gambaran Umum autentikasi berbasis sertifikat Microsoft Entra terhadap ID Microsoft Entra.

Topik ini:

  • Menyediakan langkah-langkah untuk mengonfigurasi dan menggunakan CBA untuk pengguna penyewa di paket Office 365 Enterprise, Business, Education, dan Pemerintah AS.
  • Mengasumsikan bahwa Anda sudah memiliki infrastruktur kunci publik (PKI) dan AD FS dikonfigurasi.

Persyaratan

Untuk mengonfigurasi CBA dengan federasi, pernyataan berikut harus benar:

  • Dukungan CBA dengan federasi hanya tersedia untuk lingkungan terfederasi bagi aplikasi peramban, klien asli yang menggunakan autentikasi modern, atau pustaka MSAL. Satu pengecualian adalah Exchange Active Sync (EAS) untuk Exchange Online (EXO), yang dapat digunakan untuk akun federasi dan terkelola. Untuk mengonfigurasi Microsoft Entra CBA tanpa memerlukan federasi, lihat Cara mengonfigurasi autentikasi berbasis sertifikat Microsoft Entra.
  • Otoritas sertifikat akar dan otoritas sertifikat perantara apa pun harus dikonfigurasi dalam ID Microsoft Entra.
  • Setiap otoritas sertifikat harus memiliki daftar pencabutan sertifikat (CRL) yang dapat dirujuk melalui URL yang terhubung ke internet.
  • Anda harus memiliki setidaknya satu otoritas sertifikat yang dikonfigurasi dalam ID Microsoft Entra. Anda dapat menemukan langkah-langkah terkait di bagian Mengonfigurasi otoritas sertifikat.
  • Untuk klien Exchange ActiveSync, sertifikat klien harus memiliki alamat email pengguna yang dapat dirutekan di Exchange Online, baik dalam nilai Nama Pokok atau Nama RFC822 dari bidang Nama Alternatif Subjek. MICROSOFT Entra ID memetakan nilai RFC822 ke atribut Alamat Proksi di direktori.
  • Perangkat klien Anda harus memiliki akses ke setidaknya satu otoritas sertifikat yang mengeluarkan sertifikat klien.
  • Sertifikat klien untuk autentikasi klien harus dikeluarkan untuk klien Anda.

Penting

Ukuran maksimum CRL untuk ID Microsoft Entra agar berhasil diunduh dan cache adalah 20MB, dan waktu yang diperlukan untuk mengunduh CRL tidak boleh melebihi 10 detik. Jika ID Microsoft Entra tidak dapat mengunduh CRL, autentikasi berbasis sertifikat menggunakan sertifikat yang dikeluarkan oleh CA terkait akan gagal. Praktik terbaik untuk memastikan file CRL berada dalam batasan ukuran adalah menjaga masa pakai sertifikat dalam batas yang wajar dan untuk membersihkan sertifikat yang kedaluwarsa.

Langkah 1: Pilih platform perangkat Anda

Sebagai langkah pertama, untuk platform perangkat yang Anda pedulikan, Anda perlu meninjau hal-hal berikut:

  • Aplikasi seluler Office mendukung
  • Persyaratan implementasi khusus

Informasi terkait ada untuk platform perangkat berikut:

Langkah 2: Mengonfigurasi otoritas sertifikat

Untuk mengonfigurasi otoritas sertifikat Anda di ID Microsoft Entra, untuk setiap otoritas sertifikat, unggah hal berikut:

  • Bagian publik sertifikat, dalam format .cer
  • URL yang menghadap internet tempat Daftar Pencabutan Sertifikat (CRL) berada

Skema untuk otoritas sertifikat terlihat sebagai berikut:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Untuk konfigurasi, Anda dapat menggunakan Microsoft Graph PowerShell:

  1. Mulai Windows PowerShell dengan hak istimewa administrator.

  2. Instal Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Sebagai langkah konfigurasi pertama, Anda perlu membuat koneksi dengan penyewa Anda. Segera setelah koneksi ke penyewa Anda ada, Anda dapat meninjau, menambahkan, menghapus, dan memodifikasi otoritas sertifikat tepercaya yang ditentukan dalam direktori Anda.

Sambung

Untuk membuat koneksi dengan penyewa Anda, gunakan Connect-MgGraph:

    Connect-MgGraph

Ambil kembali

Untuk mengambil otoritas sertifikasi terpercaya yang telah ditetapkan di direktori Anda, gunakan Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Penting

Microsoft menyarankan agar Anda menggunakan peran dengan izin terkecil. Praktik ini membantu meningkatkan keamanan untuk organisasi Anda. Administrator Global adalah peran yang sangat istimewa yang harus dibatasi pada skenario darurat atau ketika Anda tidak dapat menggunakan peran yang ada.

Untuk menambahkan, mengubah, atau menghapus CA, gunakan pusat admin Microsoft Entra:

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

  2. Telusuri ke Perlindungan>Tampilkan lebih banyak>Security Center (atau Identity Secure Score) >Otoritas sertifikat.

  3. Untuk mengunggah CA, pilih Unggah:

    1. Pilih file CA.

    2. Pilih Ya jika CA adalah sertifikat akar, jika tidak, pilih Tidak ada.

    3. Untuk URL Daftar Pencabutan Sertifikat , atur URL yang dapat diakses melalui internet untuk CRL dasar CA yang berisi semua sertifikat yang dicabut. Jika URL tidak diatur, autentikasi dengan sertifikat yang dicabut tidak akan gagal.

    4. Untuk URL Delta Daftar Pencabutan Sertifikat, atur URL yang dapat diakses dari internet untuk CRL yang berisi semua sertifikat yang dicabut sejak CRL dasar terakhir diterbitkan.

    5. Pilih Tambahkan.

      Cuplikan layar cara mengunggah file otoritas sertifikasi.

  4. Untuk menghapus sertifikat CA, pilih sertifikat dan pilih Hapus.

  5. Pilih Kolom untuk menambahkan atau menghapus kolom.

Langkah 3: Mengonfigurasi pencabutan

Untuk mencabut sertifikat klien, MICROSOFT Entra ID mengambil daftar pencabutan sertifikat (CRL) dari URL yang diunggah sebagai bagian dari informasi otoritas sertifikat dan menyimpannya di cache. Tanda waktu penerbitan terakhir (properti Tanggal Efektif) di CRL digunakan untuk memastikan CRL masih valid. CRL dirujuk secara berkala untuk mencabut akses ke sertifikat yang termasuk dalam daftar.

Jika pencabutan yang lebih instan diperlukan (misalnya, jika pengguna kehilangan perangkat), token otorisasi pengguna dapat dibatalkan. Untuk membatalkan token otorisasi, atur bidang StsRefreshTokensValidFrom untuk pengguna tertentu ini menggunakan Windows PowerShell. Anda harus memperbarui bidang StsRefreshTokensValidFrom untuk setiap pengguna yang ingin Anda cabut aksesnya.

Untuk memastikan bahwa pencabutan berlanjut, Anda harus mengatur Tanggal Efektif dari CRL ke tanggal setelah nilai yang ditetapkan oleh StsRefreshTokensValidFrom dan memastikan sertifikat yang dimaksud ada di CRL.

Langkah-langkah berikut menguraikan proses untuk memperbarui dan membatalkan token otorisasi dengan mengatur bidang StsRefreshTokensValidFrom.

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

Tanggal yang Anda tetapkan harus di masa mendatang. Jika tanggal bukan tanggal di masa mendatang, properti StsRefreshTokensValidFrom tidak ditetapkan. Jika tanggal di masa mendatang, StsRefreshTokensValidFrom diatur ke waktu saat ini (bukan tanggal yang ditunjukkan oleh perintah Set-MsolUser).

Langkah 4: Uji konfigurasi Anda

Menguji sertifikat Anda

Sebagai pengujian konfigurasi pertama, Anda harus mencoba masuk ke Outlook Web Access atau SharePoint Online menggunakan browser di perangkat Anda.

Jika proses masuk Anda berhasil, maka Anda tahu bahwa:

  • Sertifikat pengguna telah diprovisikan ke perangkat pengujian Anda
  • AD FS dikonfigurasi dengan benar

Menguji aplikasi seluler Office

  1. Di perangkat pengujian Anda, instal aplikasi seluler Office (misalnya, OneDrive).
  2. Luncurkan aplikasi.
  3. Masukkan nama pengguna Anda, lalu pilih sertifikat pengguna yang ingin Anda gunakan.

Anda seharusnya sudah berhasil masuk.

Menguji aplikasi klien Exchange ActiveSync

Untuk mengakses Exchange ActiveSync (EAS) melalui autentikasi berbasis sertifikat, profil EAS yang berisi sertifikat klien harus tersedia untuk aplikasi.

Profil EAS harus berisi informasi berikut:

  • Sertifikat pengguna yang akan digunakan untuk autentikasi

  • Titik akhir EAS (misalnya, outlook.office365.com)

Profil EAS dapat dikonfigurasi dan ditempatkan pada perangkat melalui pemanfaatan Manajemen perangkat seluler (MDM) seperti Microsoft Intune atau dengan menempatkan sertifikat secara manual di profil EAS pada perangkat.

Menguji aplikasi klien EAS di Android

  1. Konfigurasikan profil EAS dalam aplikasi yang memenuhi persyaratan di bagian sebelumnya.
  2. Buka aplikasi, dan verifikasi bahwa email sedang disinkronkan.

Langkah berikutnya

Informasi tambahan tentang autentikasi berbasis sertifikat di perangkat Android.

Informasi tambahan tentang autentikasi berbasis sertifikat di perangkat iOS.