Microsoft Entra konsep teknis autentikasi berbasis sertifikat

Artikel ini menjelaskan konsep teknis untuk menjelaskan cara kerja autentikasi berbasis sertifikat (CBA) Microsoft Entra. Dapatkan latar belakang teknis untuk lebih mengetahui cara menyiapkan dan mengelola CBA Microsoft Entra di penyewa Anda.

Bagaimana cara kerja autentikasi berbasis sertifikat Microsoft Entra?

Gambar berikut menggambarkan apa yang terjadi ketika pengguna mencoba masuk ke aplikasi di penyewa yang telah dikonfigurasi dengan Microsoft Entra CBA.

Langkah-langkah berikut meringkas proses CBA Microsoft Entra:

1. Pengguna mencoba mengakses aplikasi, seperti portal MyApps.

2. Jika pengguna belum masuk, mereka dialihkan ke halaman masuk pengguna Microsoft Entra ID di https://login.microsoftonline.com/.

3. Mereka memasukkan nama pengguna mereka di halaman masuk Microsoft Entra, lalu memilih Baru. Microsoft Entra ID menyelesaikan penemuan realm rumah dengan menggunakan nama penyewa. Ini menggunakan nama pengguna untuk mencari pengguna di penyewa.

   

4. Microsoft Entra ID memeriksa apakah CBA disiapkan untuk penyewa. Jika CBA disiapkan, pengguna akan melihat tautan ke Menggunakan sertifikat atau kartu pintar di halaman kata sandi. Jika pengguna tidak melihat tautan masuk, pastikan CBA disiapkan untuk penyewa.

   Untuk informasi selengkapnya, lihat Cara kita mengaktifkan Microsoft Entra CBA?.

   Catatan

   Jika CBA disiapkan untuk penyewa, semua pengguna melihat tautan Gunakan sertifikat atau kartu pintar di halaman masuk kata sandi. Namun, hanya pengguna yang berada dalam cakupan untuk CBA yang berhasil mengautentikasi untuk aplikasi yang menggunakan Microsoft Entra ID sebagai penyedia identitas mereka.

   

   Jika Anda membuat metode autentikasi lain tersedia, seperti masuk telepon atau kunci keamanan, pengguna Anda mungkin melihat dialog masuk yang berbeda.

   

5. Setelah pengguna memilih CBA, klien mengalihkan ke titik akhir autentikasi sertifikat. Untuk Microsoft Entra ID publik, endpoint autentikasi sertifikat adalah https://certauth.login.microsoftonline.com. Untuk Azure Government, titik akhir autentikasi sertifikat https://certauth.login.microsoftonline.us.

   Titik akhir melakukan autentikasi bersama Keamanan Lapisan Transportasi (TLS) dan meminta sertifikat klien sebagai bagian dari jabat tangan TLS. Entri untuk permintaan ini muncul di log masuk.

   Catatan

   Administrator harus mengizinkan akses ke halaman masuk pengguna dan ke *.certauth.login.microsoftonline.com titik akhir autentikasi sertifikat untuk lingkungan cloud Anda. Nonaktifkan inspeksi TLS pada titik akhir autentikasi sertifikat untuk memastikan bahwa permintaan sertifikat klien berhasil sebagai bagian dari jabat tangan TLS.

   Pastikan bahwa menonaktifkan inspeksi TLS juga berfungsi untuk petunjuk penerbit dengan URL baru. Jangan mengkodekan URL secara permanen dengan ID penyewa. ID penyewa mungkin berubah untuk pengguna business-to-business (B2B). Gunakan ekspresi reguler untuk memungkinkan URL sebelumnya dan URL baru berfungsi saat Anda menonaktifkan inspeksi TLS. Misalnya, tergantung pada proksi, gunakan *.certauth.login.microsoftonline.com atau *certauth.login.microsoftonline.com. Di Azure Government, gunakan *.certauth.login.microsoftonline.us atau *certauth.login.microsoftonline.us.

   Kecuali akses diizinkan, CBA gagal jika Anda mengaktifkan petunjuk pengeluar sertifikat.

6. Microsoft Entra ID meminta sertifikat klien. Pengguna memilih sertifikat klien, lalu memilih OK.

   

7. Microsoft Entra ID memverifikasi daftar pencabutan sertifikat (CRL) untuk memastikan bahwa sertifikat tidak dicabut dan valid. Microsoft Entra ID mengidentifikasi pengguna dengan menggunakan pengaitan username yang dikonfigurasi pada penyewa layanan untuk memetakan nilai bidang sertifikat ke nilai atribut pengguna.

8. Jika pengguna unik ditemukan melalui kebijakan Akses Bersyarat Microsoft Entra yang memerlukan autentikasi multifaktor (MFA) dan aturan pengikatan autentikasi sertifikat memenuhi syarat MFA, Microsoft Entra ID memasukkan pengguna. Jika MFA diperlukan tetapi sertifikat hanya memenuhi satu faktor, jika pengguna sudah terdaftar, masuk tanpa kata sandi dan FIDO2 ditawarkan sebagai faktor kedua.

9. Microsoft Entra ID menyelesaikan proses masuk dengan mengirim token refresh utama kembali untuk menunjukkan keberhasilan masuk.

Jika proses masuk pengguna berhasil, pengguna dapat mengakses aplikasi.

Petunjuk pengeluar sertifikat

Petunjuk pengeluar sertifikat mengirim kembali indikator CA tepercaya sebagai bagian dari jabat tangan TLS. Daftar CA tepercaya diatur sesuai dengan subjek CA yang tenant unggah ke penyimpanan kepercayaan Microsoft Entra. Klien browser atau klien aplikasi asli dapat menggunakan petunjuk yang dikirim server kembali untuk memfilter sertifikat yang ditampilkan di pemilih sertifikat. Klien hanya menunjukkan sertifikat autentikasi yang dikeluarkan oleh CA di dalam daftar penyimpanan tepercaya.

Mengaktifkan petunjuk penerbit

Untuk mengaktifkan petunjuk pengeluar sertifikat, pilih kotak centang Petunjuk Pengeluar Sertifikat . Administrator Kebijakan Autentikasi harus memilih Saya Mengakui setelah memastikan bahwa proksi yang telah menyiapkan inspeksi TLS diperbarui dengan benar, lalu menyimpan perubahan.

Catatan

Jika organisasi Anda memiliki firewall atau proksi yang menggunakan inspeksi TLS, akui bahwa Anda menonaktifkan inspeksi TLS dari titik akhir CA yang mampu mencocokkan nama apa pun di bawah [*.]certauth.login.microsoftonline.com, disesuaikan sesuai dengan proksi tertentu yang digunakan.

Catatan

Setelah Anda mengaktifkan petunjuk pengeluar sertifikat, URL CA memiliki format t<tenantId>.certauth.login.microsoftonline.com.

Penyebaran pembaruan toko kepercayaan CA

Setelah Anda mengaktifkan petunjuk penerbit dan menambahkan, memperbarui, atau menghapus CA dari penyimpanan sertifikat tepercaya, penundaan hingga 10 menit mungkin terjadi saat petunjuk penerbit menyebarkan kembali ke klien. Administrator Kebijakan Autentikasi perlu masuk menggunakan sertifikat setelah petunjuk penerbit tersedia untuk memulai propagasi.

Pengguna tidak dapat mengautentikasi dengan menggunakan sertifikat yang dikeluarkan oleh CA baru sampai indikasi tersebut disebarluaskan. Pengguna melihat pesan kesalahan berikut saat pembaruan penyimpanan kepercayaan CA sedang disebarluaskan:

Autentikasi Multi-Faktor (MFA) dengan CBA faktor tunggal

Microsoft Entra CBA memenuhi syarat untuk autentikasi faktor pertama dan autentikasi faktor kedua.

Berikut adalah beberapa kombinasi yang didukung:

• CBA (faktor pertama) dan kode akses (faktor kedua)
• CBA (faktor pertama) dan masuk dengan telepon tanpa kata sandi (faktor kedua)
• CBA (faktor pertama) dan kunci keamanan FIDO2 (faktor kedua)
• Kata sandi (faktor pertama) dan CBA (faktor kedua)

Pengguna harus memiliki cara untuk memperoleh MFA dan mendaftarkan metode masuk tanpa kata sandi atau FIDO2 sebelum melakukan masuk dengan menggunakan Microsoft Entra CBA.

Penting

Pengguna dianggap mampu MFA jika nama pengguna mereka muncul di pengaturan metode CBA. Dalam skenario ini, pengguna tidak dapat menggunakan identitas mereka sebagai bagian dari autentikasi mereka untuk mendaftarkan metode lain yang tersedia. Pastikan pengguna tanpa sertifikat yang valid tidak disertakan dalam pengaturan metode CBA. Untuk informasi selengkapnya tentang cara kerja autentikasi, lihat Microsoft Entra autentikasi multifaktor.

Pilihan untuk mendapatkan kemampuan MFA dengan mengaktifkan CBA

Microsoft Entra CBA dapat berupa faktor tunggal atau multifaktor tergantung pada konfigurasi penyewa. Mengaktifkan CBA membuat pengguna berpotensi mampu menyelesaikan MFA. Pengguna yang memiliki sertifikat faktor tunggal atau kata sandi harus menggunakan faktor lain untuk menyelesaikan MFA.

Kami tidak mengizinkan pendaftaran metode lain tanpa terlebih dahulu memenuhi MFA. Jika pengguna tidak memiliki metode MFA lain yang terdaftar dan berada dalam cakupan untuk CBA, pengguna tidak dapat menggunakan bukti identitas untuk mendaftarkan metode autentikasi lain dan mendapatkan MFA.

Jika pengguna berkemampuan CBA hanya memiliki sertifikat faktor tunggal dan perlu menyelesaikan MFA, pilih salah satu opsi ini untuk mengautentikasi pengguna:

• Pengguna dapat memasukkan kata sandi dan menggunakan sertifikat faktor tunggal.
• Administrator Kebijakan Autentikasi dapat mengeluarkan kode akses sementara.
• Administrator Kebijakan Autentikasi dapat menambahkan nomor telepon dan mengizinkan autentikasi pesan suara atau teks untuk akun pengguna.

Jika pengguna berkemampuan CBA belum mengeluarkan sertifikat dan perlu menyelesaikan MFA, pilih salah satu opsi ini untuk mengautentikasi pengguna:

• Administrator Kebijakan Autentikasi dapat mengeluarkan kode akses sementara.
• Administrator Kebijakan Autentikasi dapat menambahkan nomor telepon dan mengizinkan autentikasi pesan suara atau teks untuk akun pengguna.

Jika pengguna berkemampuan CBA tidak dapat menggunakan sertifikat multifaktor, seperti jika mereka menggunakan perangkat seluler tanpa dukungan kartu pintar tetapi mereka perlu menyelesaikan MFA, pilih salah satu opsi ini untuk mengautentikasi pengguna:

• Administrator Kebijakan Autentikasi dapat mengeluarkan kode akses sementara.
• Pengguna dapat mendaftarkan metode MFA lain (ketika pengguna dapat menggunakan sertifikat multifaktor pada perangkat).
• Administrator Kebijakan Autentikasi dapat menambahkan nomor telepon dan mengizinkan autentikasi pesan suara atau teks untuk akun pengguna.

Menyiapkan metode masuk tanpa kata sandi menggunakan telepon dengan CBA

Agar masuk telepon tanpa kata sandi berfungsi, pertama-tama nonaktifkan pemberitahuan lama melalui aplikasi seluler untuk pengguna.

1. Masuk ke Pusat Admin Microsoft Entra setidaknya sebagai Administrator Kebijakan Otentikasi.

2. Selesaikan langkah-langkah yang dijelaskan dalam Mengaktifkan autentikasi masuk telepon tanpa kata sandi.

   Penting

   Pastikan Anda memilih opsi Tanpa Kata Sandi . Untuk grup apa pun yang Anda tambahkan ke fitur masuk telepon tanpa kata sandi, Anda harus mengubah nilai untuk mode Autentikasi menjadi Tanpa Kata Sandi. Jika Anda memilih Mana saja, CBA dan masuk tanpa kata sandi tidak berfungsi.

3. Pilih Entra ID>Multifaktor autentikasi>Pengaturan tambahan autentikasi multifaktor berbasis cloud.

   

4. Di bawah Opsi verifikasi, kosongkan kotak centang Pemberitahuan melalui aplikasi seluler , lalu pilih Simpan.

   

Alur autentikasi MFA dengan menggunakan sertifikat faktor tunggal dan masuk tanpa kata sandi

Pertimbangkan contoh pengguna yang memiliki sertifikat faktor tunggal dan dikonfigurasi untuk masuk tanpa kata sandi. Sebagai pengguna, Anda akan menyelesaikan langkah-langkah berikut:

1. Masukkan nama prinsipal pengguna (UPN) Anda, lalu pilih Berikutnya.

   

2. Pilih Gunakan sertifikat atau kartu pintar.

   

   Jika Anda membuat metode autentikasi lain tersedia, seperti masuk telepon atau kunci keamanan, pengguna Anda mungkin melihat dialog masuk yang berbeda.

   

3. Di pemilih sertifikat klien, pilih sertifikat pengguna yang benar, lalu pilih OK.

   

4. Karena sertifikat dikonfigurasi untuk menjadi kekuatan autentikasi faktor tunggal, Anda memerlukan faktor kedua untuk memenuhi persyaratan MFA. Faktor otentikasi kedua yang tersedia ditampilkan dalam dialog masuk. Dalam hal ini, proses masuk tanpa kata sandi. Pilih Setujui permintaan di aplikasi Microsoft Authenticator saya.

   

5. Anda mendapatkan pemberitahuan di ponsel Anda. Pilih Setujui masuk?.

6. Di Microsoft Authenticator, masukkan nomor yang Anda lihat di browser atau aplikasi.

   

7. Pilih Ya, dan Anda dapat mengautentikasi dan masuk.

Kebijakan pengikatan autentikasi

Kebijakan pengikatan autentikasi membantu menetapkan kekuatan autentikasi sebagai faktor tunggal atau multifaktor. Administrator Kebijakan Autentikasi dapat mengubah metode default dari faktor tunggal ke multifaktor. Admin juga dapat menyiapkan konfigurasi kebijakan kustom baik dengan menggunakan IssuerAndSubject, , PolicyOIDatau Issuer dan PolicyOID dalam sertifikat.

Kekuatan sertifikat

Administrator Kebijakan Autentikasi dapat menentukan apakah kekuatan sertifikat adalah faktor tunggal atau multifaktor. Untuk informasi selengkapnya, lihat dokumentasi yang memetakan tingkat jaminan autentikasi NIST ke Metode autentikasi Microsoft Entra, yang dibangun berdasarkan NIST 800-63B SP 800-63B, Panduan Identitas Digital: Mgmt Autentikasi dan Siklus Hidup.

Autentikasi sertifikat multifaktor

Ketika pengguna memiliki sertifikat multifaktor, mereka hanya dapat melakukan MFA dengan menggunakan sertifikat. Namun, Administrator Kebijakan Autentikasi harus memastikan bahwa sertifikat dilindungi oleh PIN atau biometrik untuk dianggap multifaktor.

Beberapa aturan pengikatan kebijakan autentikasi

Anda dapat membuat beberapa aturan kebijakan pengikatan autentikasi kustom dengan menggunakan atribut sertifikat yang berbeda. Misalnya, menggunakan pihak penerbit dan OID kebijakan, atau hanya OID kebijakan, atau hanya pihak penerbit.

Urutan berikut menentukan tingkat perlindungan autentikasi saat aturan kustom tumpang tindih:

1. Aturan OID pengeluar dan kebijakan diutamakan dibandingkan aturan OID kebijakan. Aturan OID kebijakan lebih diutamakan daripada aturan penerbit sertifikat.
2. Penerbit dan aturan OID kebijakan dievaluasi terlebih dahulu. Jika Anda memiliki aturan kustom dengan penerbit CA1 dan OID kebijakan 1.2.3.4.5 dengan MFA, hanya sertifikat A yang memenuhi baik nilai penerbit maupun OID kebijakan yang diberikan MFA.
3. Aturan kustom yang menggunakan OID kebijakan sedang dievaluasi. Jika Anda memiliki sertifikat A dengan OID kebijakan 1.2.3.4.5 dan kredensial turunan B berdasarkan sertifikat yang memiliki OID kebijakan 1.2.3.4.5.6, dan aturan kustom didefinisikan sebagai OID kebijakan yang memiliki nilai 1.2.3.4.5 dengan MFA, hanya sertifikat A yang memenuhi MFA. Kredensial B hanya memenuhi autentikasi faktor tunggal. Jika pengguna menggunakan kredensial turunan selama masuk dan dikonfigurasi untuk MFA, pengguna dimintai faktor kedua untuk autentikasi yang berhasil.
4. Jika ada konflik antara beberapa OID kebijakan (seperti ketika sertifikat memiliki dua OID kebijakan, di mana satu mengikat autentikasi faktor tunggal dan yang lain mengikat MFA), maka perlakukan sertifikat sebagai autentikasi faktor tunggal.
5. Aturan kustom yang menggunakan CA penerbit dievaluasi. Jika sertifikat memiliki OID kebijakan yang cocok dan aturan penerbit sertifikat, OID kebijakan selalu diperiksa terlebih dahulu. Jika tidak ada aturan kebijakan yang ditemukan, pengikatan penerbit akan diperiksa. OID kebijakan memiliki prioritas pengikatan autentikasi yang lebih kuat daripada penerbit.
6. Jika satu CA mengikat MFA, semua sertifikat pengguna yang dikeluarkan CA ini memenuhi syarat sebagai MFA. Logika yang sama berlaku untuk autentikasi faktor tunggal.
7. Jika satu kebijakan OID mengikat MFA, semua sertifikat pengguna yang menyertakan OID kebijakan ini sebagai salah satu OID memenuhi syarat sebagai MFA. (Sertifikat pengguna dapat memiliki beberapa OID kebijakan.)
8. Satu penerbit sertifikat hanya dapat memiliki satu pengikatan autentikasi kuat yang valid (yaitu, sertifikat tidak dapat mengikat autentikasi faktor tunggal dan ke MFA).

Penting

Saat ini, dalam masalah umum yang sedang ditangani, jika Administrator Kebijakan Autentikasi membuat aturan kebijakan CBA dengan menggunakan penerbit dan OID kebijakan, beberapa skenario pendaftaran perangkat terpengaruh.

Skenario yang terpengaruh meliputi:

• pendaftaran Windows Hello untuk Bisnis
• Pendaftaran kunci keamanan FIDO2
• Windows login ponsel tanpa kata sandi

Pendaftaran perangkat dengan Workplace Join, Microsoft Entra ID, dan bergabung secara hibrid dengan Microsoft Entra tidak terpengaruh. Aturan kebijakan CBA yang menggunakan penerbit atau OID kebijakan tidak terpengaruh.

Untuk mengurangi masalah ini, Administrator Kebijakan Autentikasi harus menyelesaikan salah satu opsi berikut:

• Edit aturan kebijakan CBA yang saat ini menggunakan baik penerbit maupun OID kebijakan untuk menghapus persyaratan penerbit atau ID kebijakan.
• Hapus aturan kebijakan autentikasi yang saat ini menggunakan penerbit dan OID kebijakan, lalu buat aturan yang hanya menggunakan penerbit atau OID kebijakan.

Kebijakan pengikatan nama pengguna

Kebijakan pengikatan nama pengguna membantu memvalidasi sertifikat pengguna. Secara default, nama alternatif subjek (SAN) "Nama Utama" dalam sertifikat dipetakan ke atribut userPrincipalName dari objek pengguna untuk mengidentifikasi pengguna.

Mencapai keamanan yang lebih tinggi dengan menggunakan pengikatan sertifikat

Microsoft Entra mendukung tujuh metode untuk menggunakan pengikatan sertifikat. Secara umum, jenis pemetaan dianggap sebagai afinitas tinggi jika didasarkan pada pengidentifikasi yang tidak dapat Anda gunakan kembali, seperti SubjectKeyIdentifier (SKI) atau SHA1PublicKey. Pengidentifikasi ini menyampaikan jaminan yang lebih tinggi bahwa hanya satu sertifikat yang dapat digunakan untuk mengautentikasi pengguna.

Jenis pemetaan berdasarkan nama pengguna dan alamat email dianggap sebagai afinitas rendah. Microsoft Entra ID menerapkan tiga pemetaan yang berafinitas rendah berdasarkan pengidentifikasi yang dapat dipakai ulang. Yang lain dianggap sebagai ikatan afinitas tinggi. Untuk informasi selengkapnya, lihat certificateUserIds .

Bidang pemetaan sertifikat	Contoh nilai dalam certificateUserIds	Atribut objek pengguna	Jenis
PrincipalName	X509:<PN>bob@woodgrove.com	userPrincipalName onPremisesUserPrincipalName certificateUserIds	Afinitas rendah
RFC822Name	X509:<RFC822>user@woodgrove.com	userPrincipalName onPremisesUserPrincipalName certificateUserIds	Afinitas rendah
IssuerAndSubject	X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest	certificateUserIds	Afinitas rendah
Subject	X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest	certificateUserIds	Afinitas rendah
SKI	X509:<SKI>aB1cD2eF3gH4iJ5kL6-mN7oP8qR=	certificateUserIds	Afinitas tinggi
SHA1PublicKey	X509:<SHA1-PUKEY>aB1cD2eF3gH4iJ5kL6-mN7oP8qR Nilai SHA1PublicKey (hash SHA1 dari seluruh konten sertifikat, termasuk kunci publik) ada di properti Thumbprint sertifikat.	certificateUserIds	Afinitas tinggi
IssuerAndSerialNumber	X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>cD2eF3gH4iJ5kL6mN7-oP8qR9sT Untuk mendapatkan nilai yang benar untuk nomor seri, jalankan perintah ini dan simpan nilai yang ditunjukkan dalam certificateUserIds: Sintaks: certutil –dump –v [~certificate path~] >> [~dumpFile path~] Contoh: certutil -dump -v firstusercert.cer >> firstCertDump.txt	certificateUserIds	Afinitas tinggi

Penting

Anda dapat menggunakan CertificateBasedAuthentication modul PowerShell untuk menemukan nilai yang benar certificateUserIds untuk pengguna dalam sertifikat.

Menentukan dan mengambil alih pengikatan afinitas

Administrator Kebijakan Autentikasi dapat mengonfigurasi apakah pengguna dapat mengautentikasi dengan menggunakan pemetaan pengikatan nama pengguna afinitas rendah atau afinitas tinggi.

Atur Pengikatan afinitas yang diperlukan untuk penyewa, yang berlaku untuk semua pengguna. Untuk mengambil alih nilai default di seluruh penyewa, buat aturan kustom berdasarkan penerbit dan OID kebijakan, atau hanya OID kebijakan, atau hanya penerbit.

Beberapa aturan pengikatan kebijakan nama pengguna

Untuk mengatasi beberapa aturan pengikatan kebijakan nama pengguna, Microsoft Entra ID menggunakan pengikatan prioritas tertinggi (angka terendah):

1. Mencari objek pengguna dengan menggunakan nama pengguna atau UPN.
2. Mendapatkan daftar semua pengikatan nama pengguna yang disiapkan oleh Administrator Kebijakan Autentikasi dalam konfigurasi metode CBA yang diurutkan oleh priority atribut . Saat ini, prioritas tidak ditampilkan di pusat admin. Microsoft Graph mengembalikan atribut priority untuk setiap pengikatan. Kemudian, prioritas digunakan dalam proses evaluasi.
3. Jika penyewa memiliki pengikatan afinitas tinggi yang dikonfigurasi atau jika nilai sertifikat cocok dengan aturan kustom yang memerlukan pengikatan afinitas tinggi, menghapus semua pengikatan afinitas rendah dari daftar.
4. Mengevaluasi setiap pengikatan dalam daftar hingga autentikasi berhasil terjadi.
5. Jika bidang sertifikat X.509 dari pengikatan yang dikonfigurasi terdapat pada sertifikat yang disajikan, Microsoft Entra ID menyamakan nilai di bidang sertifikat dengan nilai atribut pada objek pengguna.
   • Jika kecocokan ditemukan, autentikasi pengguna berhasil.
   • Jika kecocokan tidak ditemukan, berlanjut ke ikatan prioritas berikutnya.
6. Jika bidang sertifikat X.509 tidak ada di sertifikat yang disajikan, pindah ke pengikatan prioritas berikutnya.
7. Memvalidasi semua pengikatan nama pengguna yang dikonfigurasi hingga salah satunya menghasilkan kecocokan dan autentikasi pengguna berhasil.
8. Jika kecocokan tidak ditemukan pada salah satu pengikatan nama pengguna yang dikonfigurasi, autentikasi pengguna gagal.

Konfigurasi Microsoft Entra aman dengan menggunakan beberapa pengikatan nama pengguna

Setiap atribut objek pengguna Microsoft Entra tersedia untuk mengikat sertifikat ke akun pengguna Microsoft Entra (userPrincipalName, onPremiseUserPrincipalName, dan certificateUserIds) memiliki batasan unik untuk memastikan bahwa sertifikat hanya cocok dengan satu akun pengguna Microsoft Entra. Namun, Microsoft Entra CBA mendukung beberapa metode pengikatan dalam kebijakan pengikatan nama pengguna. Administrator Kebijakan Autentikasi dapat mengakomodasi satu sertifikat yang digunakan dalam beberapa konfigurasi akun pengguna Microsoft Entra.

Penting

Jika Anda mengonfigurasi beberapa pengikatan, autentikasi CBA Microsoft Entra hanya seaman pengikatan afinitas terendah Anda karena CBA memvalidasi setiap pengikatan untuk mengautentikasi pengguna. Untuk mencegah skenario di mana satu sertifikat cocok dengan beberapa akun Microsoft Entra, Administrator Kebijakan Autentikasi dapat:

• Konfigurasikan satu metode pengikatan dalam kebijakan pengikatan nama pengguna.
• Jika penyewa memiliki beberapa metode pengikatan yang dikonfigurasi dan tidak ingin mengizinkan satu sertifikat untuk memetakan ke beberapa akun, Administrator Kebijakan Autentikasi harus memastikan bahwa semua metode yang diizinkan dikonfigurasi dalam peta kebijakan ke akun Microsoft Entra yang sama. Semua akun pengguna harus memiliki nilai yang cocok dengan semua pengikatan.
• Jika penyewa memiliki beberapa metode pengikatan yang dikonfigurasi, Administrator Kebijakan Autentikasi harus memastikan bahwa mereka tidak memiliki lebih dari satu pengikatan afinitas rendah.

Misalnya, Anda memiliki dua pengikatan nama pengguna, satu dipetakan ke PrincipalName dan satu lagi dipetakan ke UPN. Sedangkan SubjectKeyIdentifier (SKI) dipetakan ke certificateUserIds. Jika Anda ingin sertifikat digunakan hanya untuk satu akun, Administrator Kebijakan Autentikasi harus memastikan bahwa akun tersebut memiliki UPN yang ada dalam sertifikat. Kemudian, admin menerapkan SKI pemetaan dalam certificateUserIds atribut akun yang sama.

Dukungan untuk beberapa sertifikat dengan satu akun pengguna Microsoft Entra (M:1)

Dalam beberapa skenario, organisasi mengeluarkan beberapa sertifikat untuk satu identitas. Ini mungkin merupakan kredensial turunan untuk perangkat seluler, tetapi mungkin juga untuk kartu pintar sekunder atau perangkat berkemampuan pemegang kredensial X.509 seperti YubiKey.

Akun khusus cloud (M:1)

Untuk akun khusus cloud, Anda dapat memetakan hingga lima sertifikat untuk digunakan dengan mengisi certificateUserIds bidang dengan nilai unik untuk mengidentifikasi setiap sertifikat. Untuk memetakan sertifikat, di pusat admin, buka tab Info otorisasi .

Jika organisasi menggunakan pengikatan afinitas tinggi seperti IssuerAndSerialNumber, nilai di certificateUserIds mungkin terlihat seperti contoh berikut:

X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>cD2eF3gH4iJ5kL6mN7-oP8qR9sT
X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8-qR9sT0uV

Dalam contoh ini, nilai pertama mewakili X509Certificate1. Nilai kedua mewakili X509Certificate2. Pengguna dapat menyajikan salah satu sertifikat saat masuk. Jika pengikatan CBA untuk nama pengguna diatur agar menunjuk ke bidang certificateUserIds untuk mengetahui jenis pengikatan tertentu (dalam contoh ini, IssuerAndSerialNumber), pengguna berhasil masuk.

Akun yang disinkronkan hibrid (M:1)

Untuk akun yang disinkronkan, Anda dapat memetakan beberapa sertifikat. Di Active Directory lokal, isi bidang altSecurityIdentities dengan nilai yang mengidentifikasi setiap sertifikat. Jika organisasi Anda menggunakan pengikatan afinitas tinggi (yaitu, autentikasi yang kuat) seperti IssuerAndSerialNumber, nilainya mungkin terlihat seperti contoh berikut:

X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>cD2eF3gH4iJ5kL6mN7-oP8qR9sT
X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8-qR9sT0uV

Dalam contoh ini, nilai pertama mewakili X509Certificate1. Nilai kedua mewakili X509Certificate2. Nilai kemudian harus disinkronkan ke bidang certificateUserIds di Microsoft Entra ID.

Dukungan untuk satu sertifikat dengan beberapa akun pengguna Microsoft Entra (1:M)

Dalam beberapa skenario, organisasi mengharuskan pengguna menggunakan sertifikat yang sama untuk mengautentikasi ke beberapa identitas. Ini mungkin untuk akun administratif atau untuk pengembang atau akun tugas sementara.

Di Active Directory lokal, bidang altSecurityIdentities mengisi nilai sertifikat. Petunjuk digunakan selama masuk untuk mengarahkan Direktori Aktif ke akun yang dituju untuk memeriksa proses masuk.

Microsoft Entra CBA memiliki proses yang berbeda, dan tidak ada petunjuk yang disertakan. Sebagai gantinya, penemuan realm Home mengidentifikasi akun yang dimaksud dan memeriksa nilai sertifikat. Microsoft Entra CBA juga memberlakukan keunikan di bidang certificateUserIds. Dua akun tidak dapat mengisi nilai sertifikat yang sama.

Penting

Menggunakan kredensial yang sama untuk mengautentikasi ke akun Microsoft Entra yang berbeda bukanlah konfigurasi yang aman. Kami menyarankan agar Anda tidak mengizinkan satu sertifikat digunakan untuk beberapa akun pengguna Microsoft Entra.

Akun khusus cloud (1:M)

Untuk akun khusus cloud, buat beberapa pengikatan nama pengguna dan petakan nilai unik ke setiap akun pengguna yang menggunakan sertifikat. Akses ke setiap akun diautentikasi dengan menggunakan pengikatan nama pengguna yang berbeda. Tingkat autentikasi ini berlaku untuk batas direktori atau penyewa tunggal. Administrator Kebijakan Autentikasi dapat memetakan sertifikat untuk menggunakannya di direktori atau penyewa lain jika nilainya tetap unik per akun.

Isi certificateUserIds bidang dengan nilai unik yang mengidentifikasi sertifikat. Untuk mengisi bidang, di pusat admin, buka tab Info otorisasi .

Jika organisasi menggunakan pengikatan afinitas tinggi (yaitu, autentikasi yang kuat) seperti IssuerAndSerialNumber dan SKI, nilainya mungkin terlihat seperti contoh berikut:

Pengikatan nama pengguna:

• IssuerAndSerialNumber > certificateUserIds
• SKI > certificateUserIds

Nilai akun pengguna certificateUserIds :
X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>aB1cD2eF3gH4iJ5kL6-mN7oP8qR
X509:<SKI>cD2eF3gH4iJ5kL6mN7-oP8qR9sT

Sekarang, ketika salah satu pengguna menyajikan sertifikat yang sama saat masuk, pengguna berhasil masuk karena akun mereka cocok dengan nilai unik pada sertifikat tersebut. Satu akun diautentikasi dengan menggunakan IssuerAndSerialNumber dan yang lain dengan menggunakan SKI pengikatan.

Catatan

Jumlah akun yang dapat digunakan dengan cara ini dibatasi oleh jumlah pengikatan nama pengguna yang dikonfigurasi pada penyewa. Jika organisasi hanya menggunakan pengikatan afinitas tinggi, jumlah maksimum akun yang didukung adalah tiga. Jika organisasi juga menggunakan pengikatan afinitas rendah, jumlahnya meningkat menjadi tujuh akun: satu , satu PrincipalName, satu RFC822Name, satu SKI, satu SHA1PublicKey, satu IssuerAndSubject, satu , satu IssuerAndSerialNumber, dan satu Subject.

Akun yang disinkronkan hibrid (1:M)

Akun yang disinkronkan memerlukan pendekatan yang berbeda. Meskipun Administrator Kebijakan Autentikasi dapat memetakan nilai unik ke setiap akun pengguna yang menggunakan sertifikat, praktik umum mengisi semua nilai ke setiap akun di Microsoft Entra ID membuat pendekatan ini sulit. Sebagai gantinya, Microsoft Entra Connect harus memfilter nilai per akun ke nilai unik yang diisi ke dalam akun di Microsoft Entra ID. Aturan keunikan berlaku pada batas sebuah direktori atau satu penyewa. Administrator Kebijakan Autentikasi dapat memetakan sertifikat untuk menggunakannya di direktori atau penyewa lain jika nilainya tetap unik per akun.

Organisasi mungkin juga memiliki beberapa forest Direktori Aktif yang menyumbangkan pengguna ke satu penyewa Microsoft Entra. Dalam hal ini, Microsoft Entra Connect menerapkan filter ke setiap forest Direktori Aktif dengan tujuan yang sama: hanya mengisi nilai unik tertentu ke akun cloud.

Isi bidang altSecurityIdentities di Direktori Aktif dengan nilai yang mengidentifikasi sertifikat. Sertakan nilai sertifikat tertentu untuk jenis akun pengguna tersebut (seperti detailed, , adminatau developer). Pilih atribut kunci di Direktori Aktif. Atribut memberi tahu sinkronisasi jenis akun pengguna mana yang dievaluasi pengguna (seperti msDS-cloudExtensionAttribute1). Isi atribut ini dengan nilai jenis pengguna yang ingin Anda gunakan, seperti detailed, , adminatau developer. Jika akun adalah akun utama pengguna, nilainya bisa kosong atau NULL.

Periksa apakah akun terlihat mirip dengan contoh ini:

Hutan 1: Akun1 (bob@woodgrove.com):
X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT
X509:<PN>bob@woodgrove.com

Forest 1: Account2 (bob-admin@woodgrove.com):
X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT
X509:<PN>bob@woodgrove.com

Forest 2: ADAccount1 (bob-tdy@woodgrove.com)
X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT
X509:<PN>bob@woodgrove.com

Anda kemudian harus menyinkronkan nilai-nilai ini ke bidang certificateUserIds di Microsoft Entra ID.

Untuk menyinkronkan ke certificateUserIds:

1. Konfigurasikan Microsoft Entra Connect untuk menambahkan bidang alternativeSecurityIds ke metaverse.
2. Untuk setiap forest Active Directory lokal, konfigurasikan aturan masuk kustom baru dengan prioritas tinggi (angka rendah, di bawah 100). Expression Tambahkan transformasi dengan altSecurityIdentities bidang sebagai sumber. Ekspresi target menggunakan atribut kunci yang Anda pilih dan isi, dan menggunakan pemetaan ke jenis pengguna yang Anda tentukan.

Contohnya:

IIF((IsPresent([msDS-cloudExtensionAttribute1]) && IsPresent([altSecurityIdentities])), 
    IIF((InStr(LCase([msDS-cloudExtensionAttribute1]),LCase("detailee"))>0), 
    Where($item,[altSecurityIdentities],(InStr($item, "X509:<SHA1-PUKEY>")>0)), 
        IIF((InStr(LCase([msDS-cloudExtensionAttribute1]),LCase("developer"))>0), 
        Where($item,[altSecurityIdentities],(InStr($item, "X509:<SKI>")>0)), NULL) ), 
    IIF(IsPresent([altSecurityIdentities]), 
    Where($item,[altSecurityIdentities],(BitAnd(InStr($item, "X509:<I>"),InStrRev($item, "<SR>"))>0)), NULL) 
)

Dalam contoh ini, altSecurityIdentities dan atribut kunci msDS-cloudExtensionAttribute1 diperiksa terlebih dahulu untuk melihat apakah sudah terisi. Jika tidak diisi, altSecurityIdentities diperiksa untuk memastikan apakah sudah diisi. Jika kosong, atur ke NULL. Jika tidak, akun berada dalam skenario default.

Dalam contoh ini juga, hanya memfilter pemetaan IssuerAndSerialNumber. Jika atribut kunci diisi, maka nilai dicentang untuk melihat apakah itu sama dengan salah satu jenis pengguna yang Anda tentukan. Dalam contoh, jika nilai tersebut adalah detailed, filter nilai SHA1PublicKey dari altSecurityIdentities. Jika nilai adalah developer, gunakan nilai SubjectKeyIssuer dari altSecurityIdentities.

Anda mungkin menemukan beberapa nilai sertifikat dari jenis tertentu. Misalnya, Anda mungkin melihat beberapa PrincipalName nilai atau beberapa SKI atau SHA1-PUKEY nilai. Filter mendapatkan semua nilai dan menyinkronkannya dalam Microsoft Entra ID, bukan hanya nilai pertama yang ditemukannya.

Berikut adalah contoh kedua yang menunjukkan cara menambahkan nilai kosong jika atribut kontrol kosong.

IIF((IsPresent([msDS-cloudExtensionAttribute1]) && IsPresent([altSecurityIdentities])), 
    IIF((InStr(LCase([msDS-cloudExtensionAttribute1]),LCase("detailee"))>0), 
    Where($item,[altSecurityIdentities],(InStr($item, "X509:<SHA1-PUKEY>")>0)), 
        IIF((InStr(LCase([msDS-cloudExtensionAttribute1]),LCase("developer")>0), 
        Where($item,[altSecurityIdentities],(InStr($item, "X509:<SKI>")>0)), NULL) ), 
    IIF(IsPresent([altSecurityIdentities]), 
    AuthoritativeNull, NULL) 
) 

Jika nilai di altSecurityIdentities tidak cocok dengan nilai pencarian apa pun di atribut kontrol, AuthoritativeNull nilai akan diteruskan. Nilai ini memastikan bahwa aturan sebelumnya atau berikutnya yang mengisi alternativeSecurityId diabaikan. Hasilnya kosong di Microsoft Entra ID.

Untuk menyinkronkan nilai kosong:

1. Konfigurasikan aturan outbound kustom baru dengan prioritas rendah (angka tinggi, di atas 160 tetapi tetap berada pada bagian bawah daftar).
2. Tambahkan transformasi langsung dengan alternativeSecurityIds bidang sebagai sumber dan certificateUserIds bidang sebagai target.
3. Jalankan siklus sinkronisasi untuk menyelesaikan populasi data di Microsoft Entra ID.

Pastikan bahwa CBA di setiap penyewa dikonfigurasi dengan pengaturan pengikatan nama pengguna yang menunjuk ke bidang certificateUserIds untuk jenis bidang yang Anda petakan dari sertifikat. Sekarang salah satu pengguna ini dapat menunjukkan sertifikat saat masuk. Setelah nilai unik dari sertifikat divalidasi terhadap certificateUserIds bidang , pengguna berhasil masuk.

Cakupan Otoritas Sertifikat (CA)

Cakupan CA di Microsoft Entra memungkinkan administrator penyewa membatasi penggunaan CA tertentu ke grup pengguna yang ditentukan. Fitur ini meningkatkan keamanan dan pengelolaan CBA dengan memastikan bahwa hanya pengguna yang berwenang yang dapat mengautentikasi dengan menggunakan sertifikat yang dikeluarkan oleh CA tertentu.

Cakupan CA berguna dalam skenario multi-PKI atau B2B di mana beberapa CA digunakan di berbagai populasi pengguna. Ini membantu mencegah akses yang tidak diinginkan dan mendukung kepatuhan terhadap kebijakan organisasi.

Manfaat utama

• Membatasi penggunaan sertifikat untuk grup pengguna tertentu
• Mendukung lingkungan PKI yang kompleks melalui beberapa CA
• Memberikan perlindungan yang ditingkatkan terhadap penyalahgunaan atau penyusupan sertifikat
• Memberikan visibilitas ke dalam penggunaan CA melalui log masuk dan alat pemantauan

Admin dapat menggunakan cakupan CA untuk menentukan aturan yang mengaitkan CA (diidentifikasi oleh SKI-nya) dengan grup Microsoft Entra tertentu. Saat pengguna mencoba mengautentikasi dengan menggunakan sertifikat, sistem memeriksa apakah CA penerbit untuk sertifikat dilingkupkan ke grup yang menyertakan pengguna. Microsoft Entra melanjutkan ke atas dalam hierarki rantai CA. Ini menerapkan semua aturan cakupan hingga pengguna ditemukan dalam salah satu grup dari semua aturan cakupan. Jika pengguna tidak berada dalam grup tercakup, autentikasi gagal, meskipun sertifikat tersebut valid.

Menyiapkan fitur cakupan CA

1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Kebijakan Otentikasi.

2. Buka Entra ID>Metode autentikasi>Autentikasi berbasis sertifikat.

3. Di bawah Konfigurasikan, buka Kebijakan cakupan penerbit sertifikat.

   

4. Pilih Tambahkan aturan.

   

5. Pilih Filter CA menurut PKI.

   CA klasik menampilkan semua CA dari store CA klasik. Memilih PKI tertentu menunjukkan semua CA dari PKI yang dipilih.

6. Pilih PKI.

   

7. Daftar Penerbit sertifikat menampilkan semua CA dari PKI yang dipilih. Pilih CA untuk membuat aturan cakupan.

   

8. Pilih Tambahkan grup.

   

9. Pilih grup.

   

10. Pilih Tambahkan untuk menyimpan aturan.

    

11. Pilih kotak centang Saya Mengakui , lalu pilih Simpan.

    

12. Untuk mengedit atau menghapus kebijakan cakupan CA, pilih "..." pada baris aturan. Untuk mengedit aturan, pilih Edit. Untuk menghapus aturan, pilih Hapus.

    

Batasan yang diketahui

• Hanya satu grup yang dapat ditetapkan per CA.
• Maksimum 30 aturan cakupan didukung.
• Cakupan diberlakukan pada tingkat CA menengah.
• Konfigurasi yang tidak tepat dapat mengakibatkan penguncian pengguna jika tidak ada aturan cakupan yang valid.

Catatan log masuk

• Log masuk menunjukkan keberhasilan. Pada tab Detail Tambahan, SKI dari CA dalam aturan kebijakan cakupan ditampilkan.

  

• Ketika CBA gagal karena aturan cakupan CA, tab Info dasar di log masuk menunjukkan kode kesalahan 500189.

  

  Pengguna akhir melihat pesan kesalahan berikut:

  

Cara kerja CBA dengan kebijakan kekuatan autentikasi Akses Bersyarat

Anda dapat menggunakan kekuatan autentikasi Microsoft Entra Phishing-resistant MFA bawaan untuk membuat kebijakan autentikasi Akses Bersyarat yang menentukan penggunaan CBA untuk mengakses sumber daya. Kebijakan ini hanya memungkinkan metode autentikasi yang tahan phishing, seperti CBA, kunci keamanan FIDO2, dan Windows Hello untuk Bisnis.

Anda juga dapat membuat kekuatan autentikasi kustom untuk memungkinkan hanya CBA mengakses sumber daya sensitif. Anda dapat mengizinkan CBA sebagai autentikasi faktor tunggal, MFA, atau keduanya. Untuk informasi selengkapnya, lihat Kekuatan Otentikasi Akses Bersyarat.

Kekuatan CBA dengan fitur tingkat lanjut

Dalam kebijakan metode CBA, Administrator Kebijakan Autentikasi dapat menentukan kekuatan sertifikat dengan menggunakan kebijakan pengikatan autentikasi pada metode CBA. Sekarang Anda dapat memerlukan penggunaan sertifikat tertentu yang berbasis OID pemberi sertifikat dan kebijakan saat pengguna melakukan otentikasi berbasis sertifikat (CBA) untuk mengakses sumber daya yang sensitif. Saat Anda membuat kekuatan autentikasi kustom, buka Opsi tingkat lanjut. Fitur ini menyediakan konfigurasi yang lebih tepat untuk menentukan sertifikat dan pengguna yang dapat mengakses sumber daya. Untuk informasi selengkapnya, lihat Opsi tingkat lanjut untuk kekuatan autentikasi Akses Bersyarat.

Catatan masuk

Log masuk menyediakan informasi tentang rincian masuk dan bagaimana sumber daya Anda digunakan di organisasi. Untuk informasi selengkapnya, lihat log Sign-in di Microsoft Entra ID.

Selanjutnya, pertimbangkan dua skenario. Dalam satu skenario, sertifikat memenuhi autentikasi faktor tunggal. Dalam skenario kedua, sertifikat memenuhi MFA.

Untuk skenario pengujian, pilih pengguna yang memiliki kebijakan Akses Bersyarat yang memerlukan MFA.

Konfigurasikan kebijakan pengikatan pengguna dengan memetakan Nama Alternatif Subjek dan Nama Utama ke userPrincipalName objek pengguna.

Sertifikat pengguna harus dikonfigurasi seperti contoh yang ditunjukkan dalam cuplikan layar ini:

Memecahkan masalah masuk dengan variabel dinamis dalam log masuk

Meskipun log masuk biasanya memberikan semua informasi yang Anda butuhkan untuk men-debug masalah masuk, terkadang nilai tertentu diperlukan. Log masuk tidak mendukung variabel dinamis, jadi dalam beberapa kasus, log masuk tidak memiliki informasi yang Anda butuhkan untuk penelusuran kesalahan.

Misalnya, alasan kegagalan dalam log masuk mungkin ditampilkan "The Certificate Revocation List (CRL) failed signature validation. Expected Subject Key Identifier <expectedSKI> doesn't match CRL Authority Key <crlAK>. Request your tenant administrator to check the CRL configuration." Dalam skenario ini,<expectedSKI> dan <crlAKI> tidak diisi dengan nilai yang benar.

Saat pengguna masuk dengan CBA gagal, Anda dapat menyalin detail log dari tautan Detail Selengkapnya di halaman kesalahan. Untuk informasi selengkapnya, lihat Memahami halaman kesalahan CBA.

Uji autentikasi faktor tunggal

Untuk skenario pengujian pertama, konfigurasikan kebijakan autentikasi di mana IssuerAndSubject aturan memenuhi autentikasi faktor tunggal.

1. Masuk ke pusat admin Microsoft Entra sebagai pengguna uji dengan menggunakan CBA. Kebijakan autentikasi ditetapkan ketika aturan IssuerAndSubject memenuhi autentikasi satu faktor.

2. Cari lalu pilih Log masuk.

   Gambar berikutnya menunjukkan beberapa entri yang dapat Anda temukan di log masuk.

   Entri pertama meminta sertifikat X.509 dari pengguna. Status Interrupted berarti bahwa Microsoft Entra ID memvalidasi bahwa CBA disiapkan untuk penyewa. Sertifikat diminta untuk autentikasi.

   

   Detail Aktivitas menunjukkan bahwa permintaan adalah bagian dari alur masuk yang diharapkan di mana pengguna memilih sertifikat.

   

   Detail Tambahan memperlihatkan informasi sertifikat.

   

   Entri lain menunjukkan bahwa autentikasi selesai, token refresh utama dikirim kembali ke browser, dan pengguna diberikan akses ke sumber daya.

   

Uji MFA

Untuk skenario pengujian berikutnya, konfigurasikan kebijakan autentikasi di mana aturan policyOID memenuhi syarat MFA (Multi-Factor Authentication).

1. Masuk ke pusat admin Microsoft Entra dengan menggunakan CBA. Karena kebijakan diatur untuk memenuhi MFA, proses masuk pengguna berhasil tanpa faktor kedua.

2. Cari lalu pilih Masuk.

   Beberapa entri dalam log masuk muncul, termasuk entri dengan status Terganggu .

   

   Detail Aktivitas menunjukkan bahwa permintaan adalah bagian dari alur masuk yang diharapkan di mana pengguna memilih sertifikat.

   

   Entri dengan status Terganggu menampilkan informasi diagnostik lainnya pada tab Detail Tambahan .

   

   Tabel berikut memiliki deskripsi setiap bidang.

   Bidang	Deskripsi
   Nama subjek sertifikat pengguna	Mengacu pada bidang nama subjek dalam sertifikat.
   Pengikatan sertifikat pengguna	Sertifikat: PrincipalName; atribut pengguna: userPrincipalName; Peringkat: 1 Bidang ini menunjukkan bidang sertifikat SAN PrincipalName mana yang dipetakan ke userPrincipalName atribut pengguna dan diprioritaskan 1.
   Tingkat autentikasi sertifikat pengguna	multiFactorAuthentication
   Jenis tingkat autentikasi sertifikat pengguna	PolicyId Bidang ini menunjukkan bahwa OID kebijakan digunakan untuk menentukan kekuatan autentikasi.
   Pengidentifikasi tingkat autentikasi sertifikat pengguna	1.2.3.4 Ini menunjukkan nilai kebijakan pengidentifikasi OID dari sertifikat.

Halaman kesalahan CBA

CBA mungkin gagal karena beberapa alasan. Contohnya termasuk sertifikat yang tidak valid, pengguna memilih sertifikat yang salah atau sertifikat yang kedaluwarsa, atau terjadi masalah CRL. Ketika validasi sertifikat gagal, pengguna melihat pesan kesalahan ini:

Jika CBA gagal di browser, bahkan jika kegagalan terjadi karena Anda membatalkan pemilihan sertifikat, tutup sesi browser. Buka sesi baru untuk mencoba CBA lagi. Sesi baru diperlukan karena browser menyimpan sertifikat cache. Ketika CBA dicoba kembali, browser mengirim sertifikat cache selama tantangan TLS, yang kemudian menyebabkan kegagalan masuk dan kesalahan validasi.

1. Untuk mendapatkan informasi pengelogan untuk dikirim ke Administrator Kebijakan Autentikasi untuk informasi selengkapnya dari log masuk, pilih Detail selengkapnya.

   

2. Pilih Cara lain untuk masuk dan coba metode autentikasi lain yang tersedia untuk masuk.

   

Mengatur ulang pilihan sertifikat di Microsoft Edge

Browser Microsoft Edge menambahkan fitur yang mengatur pilihan sertifikat tanpa memulai ulang browser.

Pengguna menyelesaikan langkah-langkah berikut:

1. Ketika CBA gagal, halaman kesalahan muncul.

   

2. Di sebelah kiri URL alamat, pilih ikon kunci, lalu pilih Pilihan sertifikat Anda.

   

3. Pilih Reset pilihan sertifikat.

   

4. Pilih Setel ulang pilihan.

   

5. Pilih Cara lain untuk masuk.

   

6. Pilih Gunakan sertifikat atau kartu pintar dan lanjutkan dengan autentikasi CBA.

CBA dalam metode MostRecentlyUsed

Setelah pengguna berhasil mengautentikasi dengan menggunakan CBA, metode autentikasi pengguna MostRecentlyUsed (MRU) diatur ke CBA. Saat berikutnya pengguna memasukkan UPN mereka dan memilih Berikutnya, mereka melihat metode CBA dan tidak perlu memilih Gunakan sertifikat atau kartu pintar.

Untuk mengatur ulang metode MRU, batalkan pemilih sertifikat, lalu pilih Cara lain untuk masuk. Pilih metode lain yang tersedia, lalu selesaikan autentikasi.

Metode autentikasi MRU diatur pada tingkat pengguna. Jika pengguna berhasil masuk di perangkat lain dengan menggunakan metode autentikasi yang berbeda, MRU diatur ulang untuk pengguna ke metode masuk saat ini.

Dukungan identitas eksternal

Pengguna tamu B2B dengan identitas eksternal dapat menggunakan CBA di penyewa utama. Jika pengaturan antar-penyewa untuk penyewa sumber daya disiapkan untuk mempercayai MFA dari penyewa rumah, CBA pengguna pada penyewa rumah akan diakui. Untuk informasi selengkapnya, lihat Konfigurasi kolaborasi B2B untuk akses antar-penyewa. Saat ini, CBA pada tenant sumber daya tidak didukung.

Konten terkait

• Gambaran umum Microsoft Entra CBA
• Pendalaman teknis Microsoft Entra CBA
• Cara mengonfigurasi Microsoft Entra CBA
• Microsoft Entra Daftar Pencabutan Sertifikat CBA
• Microsoft Entra CBA untuk perangkat Android
• Logon kartu pintar Windows menggunakan Microsoft Entra CBA
• ID pengguna sertifikat
• Cara memigrasikan pengguna federasi
• FAQ
• Microsoft Entra Daftar Pencabutan Sertifikat CBA
• Microsoft Entra CBA untuk perangkat Android
• Logon kartu pintar Windows menggunakan Microsoft Entra CBA
• ID pengguna sertifikat
• Cara memigrasikan pengguna federasi
• FAQ