Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Organisasi Anda dapat menggunakan autentikasi berbasis sertifikat (CBA) Microsoft Entra untuk mengizinkan atau mengharuskan pengguna mengautentikasi secara langsung dengan menggunakan sertifikat X.509 yang diautentikasi di ID Microsoft Entra untuk masuk aplikasi dan browser.
Gunakan fitur untuk mengadopsi autentikasi tahan phishing dan untuk mengautentikasi dengan menggunakan sertifikat X.509 terhadap infrastruktur kunci publik (PKI) Anda.
Apa itu Microsoft Entra CBA?
Sebelum dukungan yang dikelola cloud untuk CBA ke MICROSOFT Entra ID tersedia, organisasi harus menerapkan CBA federasi agar pengguna dapat mengautentikasi dengan menggunakan sertifikat X.509 terhadap ID Microsoft Entra. Ini termasuk menyebarkan Layanan Federasi Direktori Aktif (AD FS). Dengan Microsoft Entra CBA, Anda dapat mengautentikasi langsung terhadap ID Microsoft Entra dan menghilangkan kebutuhan akan LAYANAN Federasi Direktori Aktif gabungan, untuk lingkungan yang disederhanakan dan pengurangan biaya.
Angka berikutnya menunjukkan bagaimana Microsoft Entra CBA menyederhanakan lingkungan Anda dengan menghilangkan Layanan Federasi Direktori Aktif gabungan.
CBA dengan Layanan Federasi Direktori Aktif
Microsoft Entra CBA
Manfaat utama menggunakan Microsoft Entra CBA
| Keuntungan | Deskripsi |
|---|---|
| Pengalaman pengguna yang ditingkatkan | - Pengguna yang membutuhkan CBA sekarang dapat langsung mengautentikasi terhadap ID Microsoft Entra dan tidak perlu berinvestasi di Layanan Federasi Direktori Aktif gabungan. - Anda dapat menggunakan pusat admin untuk memetakan bidang sertifikat dengan mudah ke atribut objek pengguna untuk mencari pengguna di penyewa (pengikatan nama pengguna sertifikat) - Gunakan pusat admin untuk mengonfigurasi kebijakan autentikasi untuk membantu menentukan sertifikat mana yang merupakan faktor tunggal versus multifaktor. |
| Mudah untuk menyebarkan dan mengelola | - Microsoft Entra CBA adalah fitur gratis. Anda tidak memerlukan ID Microsoft Entra edisi berbayar untuk menggunakannya. Tidak perlu penyebaran lokal atau konfigurasi jaringan yang kompleks. - Autentikasi langsung terhadap ID Microsoft Entra. |
| Mengamankan | - Kata sandi lokal tidak perlu disimpan di cloud dalam bentuk apa pun. - Melindungi akun pengguna Anda dengan bekerja tanpa hambatan dengan kebijakan Akses Bersyarat Microsoft Entra, termasuk autentikasi multifaktor tahan phishing (MFA). MFA memerlukan edisi berlisensi dan memblokir autentikasi warisan. - Dukungan autentikasi yang kuat. Admin dapat menentukan kebijakan autentikasi melalui bidang sertifikat, seperti pengeluar sertifikat atau pengidentifikasi objek kebijakan (policy OID), untuk menentukan sertifikat mana yang memenuhi syarat sebagai faktor tunggal versus multifaktor. - Fitur ini bekerja dengan mulus dengan fitur Akses Bersyarat dan kemampuan tingkat autentikasi untuk menerapkan MFA dan membantu mengamankan pengguna Anda. |
Skenario yang didukung
Skenario berikut didukung:
Rincian masuk pengguna ke aplikasi berbasis browser web di semua platform
Masuk pengguna ke aplikasi seluler Office di platform iOS dan Android, dan aplikasi asli Office di Windows, termasuk Outlook dan OneDrive
Rincian masuk pengguna di browser asli seluler
Aturan autentikasi terperinci untuk MFA dengan menggunakan subjek penerbit sertifikat dan Policy OID
Pengikatan akun sertifikat ke pengguna dengan menggunakan salah satu bidang sertifikat:
-
SubjectAlternativeName(SAN),PrincipalName, danRFC822Name -
SubjectKeyIdentifier(SKI) danSHA1PublicKey -
IssuerAndSubjectdanIssuerAndSerialNumber
-
Pengikatan akun sertifikat ke pengguna dengan menggunakan salah satu atribut objek pengguna:
userPrincipalNameonPremisesUserPrincipalNamecertificateUserIds
Skenario yang tidak didukung
Skenario berikut tidak didukung:
- CBA tidak didukung dalam opsi masuk melalui Web saat login di Windows (di layar kunci/login).
- Hanya satu titik distribusi CRL (CDP) untuk CA tepercaya yang didukung.
- CDP hanya dapat berupa URL HTTP. Kami tidak mendukung URL Protokol Status Sertifikat Online (OCSP) atau Lightweight Directory Access Protocol (LDAP).
- Kata sandi sebagai metode autentikasi tidak dapat dinonaktifkan. Opsi untuk masuk dengan menggunakan kata sandi muncul, bahkan ketika metode Microsoft Entra CBA tersedia untuk pengguna.
Batasan yang diketahui dengan sertifikat Windows Hello for Business
Meskipun Windows Hello untuk Bisnis dapat digunakan untuk MFA di ID Microsoft Entra, Windows Hello for Business tidak didukung untuk MFA baru. Anda dapat memilih untuk mendaftarkan sertifikat untuk pengguna Anda dengan menggunakan kunci/pasangan Windows Hello for Business. Ketika dikonfigurasi dengan benar, sertifikat Windows Hello for Business dapat digunakan untuk MFA di ID Microsoft Entra.
Sertifikat Windows Hello untuk Bisnis kompatibel dengan Microsoft Entra CBA di browser Microsoft Edge dan Chrome. Saat ini, sertifikat Windows Hello for Business tidak kompatibel dengan Microsoft Entra CBA dalam skenario nonbrowser, seperti di aplikasi Office 365. Resolusinya adalah menggunakan opsi Masuk Windows Hello atau kunci keamanan untuk masuk (saat tersedia). Opsi ini tidak menggunakan sertifikat untuk autentikasi dan menghindari masalah dengan Microsoft Entra CBA. Opsi mungkin tidak tersedia di beberapa aplikasi sebelumnya.
Di luar cakupan
Skenario berikut berada di luar cakupan untuk Microsoft Entra CBA:
- Membuat atau menyediakan infrastruktur kunci publik (PKI) untuk membuat sertifikat klien. Anda harus mengonfigurasi PKI Anda sendiri dan menyediakan sertifikat kepada pengguna dan perangkat Anda.