Bagikan melalui

Cara mengonfigurasi autentikasi berbasis sertifikat Microsoft Entra

  • Artikel

Autentikasi berbasis sertifikat (CBA) Microsoft Entra memungkinkan organisasi mengonfigurasi penyewa Microsoft Entra mereka untuk mengizinkan atau mengharuskan pengguna mengautentikasi dengan sertifikat X.509 yang dibuat oleh Enterprise Public Key Infrastructure (PKI) mereka untuk masuk aplikasi dan browser. Fitur ini memungkinkan organisasi untuk mengadopsi autentikasi tanpa kata sandi modern yang tahan pengelabuan dengan menggunakan sertifikat x.509.

Selama masuk, pengguna juga melihat opsi untuk mengautentikasi dengan sertifikat alih-alih memasukkan kata sandi. Jika beberapa sertifikat yang cocok ada di perangkat, pengguna dapat memilih mana yang akan digunakan. Sertifikat divalidasi terhadap akun pengguna dan jika berhasil, mereka masuk.

Ikuti instruksi ini untuk mengonfigurasi dan menggunakan Microsoft Entra CBA untuk penyewa dalam paket Office 365 Enterprise dan Pemerintah AS. Anda harus sudah memiliki infrastruktur kunci umum (PKI) yang dikonfigurasi.

Prasyarat

Pastikan prasyarat berikut ini sudah ada:

  • Konfigurasikan setidaknya satu otoritas sertifikat (CA) dan CA perantara apa pun di ID Microsoft Entra.
  • Pengguna harus memiliki akses ke sertifikat pengguna (dikeluarkan dari Infrastruktur Kunci Umum tepercaya yang dikonfigurasi pada penyewa) yang ditujukan untuk autentikasi klien untuk mengautentikasi terhadap ID Microsoft Entra.
  • Setiap CA harus memiliki daftar pencabutan sertifikat (CRL) yang dapat dirujuk dari URL yang dapat diakses dari internet. Jika CA tepercaya tidak memiliki CRL yang dikonfigurasi, ID Microsoft Entra tidak melakukan pemeriksaan CRL, pencabutan sertifikat pengguna tidak berfungsi, dan autentikasi tidak diblokir.

Penting

Pastikan PKI aman dan tidak dapat dengan mudah disusupi. Jika terjadi kompromi, penyerang dapat membuat dan menandatangani sertifikat klien dan membahayakan pengguna mana pun di penyewa, baik pengguna yang disinkronkan dari pengguna lokal dan khusus cloud. Namun, strategi perlindungan kunci yang kuat, bersama dengan kontrol fisik dan logis lainnya, seperti kartu aktivasi HSM atau token untuk penyimpanan artefak yang aman, dapat memberikan pertahanan mendalam untuk mencegah penyerang eksternal atau ancaman orang dalam membahayakan integritas PKI. Untuk informasi selengkapnya, lihat Mengamankan PKI.

Penting

Silakan kunjungi rekomendasi Microsoft untuk praktik terbaik untuk Microsoft Cryptographic yang melibatkan pilihan algoritma, panjang kunci, dan perlindungan data. Pastikan untuk menggunakan salah satu algoritma yang direkomendasikan, panjang kunci, dan kurva yang disetujui NIST.

Penting

Sebagai bagian dari peningkatan keamanan yang sedang berlangsung, titik akhir Azure/M365 menambahkan dukungan untuk TLS1.3 dan proses ini diperkirakan akan memakan waktu beberapa bulan untuk mencakup ribuan titik akhir layanan di Azure/M365. Ini termasuk titik akhir Microsoft Entra yang digunakan dalam autentikasi berbasis sertifikat Microsoft Entra (CBA) *.certauth.login.microsoftonline.com dan *.certauth.login.microsoftonline.us. TLS 1.3 adalah versi terbaru dari protokol keamanan internet yang paling banyak disebarkan, yang mengenkripsi data untuk menyediakan saluran komunikasi yang aman di antara dua titik akhir. TLS 1.3 menghilangkan algoritma kriptografi usang, meningkatkan keamanan atas versi yang lebih lama, dan bertujuan untuk mengenkripsi jabat tangan sebanyak mungkin. Kami sangat menyarankan pengembang untuk mulai menguji TLS 1.3 dalam aplikasi dan layanan mereka.

Catatan

Saat mengevaluasi PKI, penting untuk meninjau kebijakan dan penegakan penerbitan sertifikat. Seperti disebutkan, menambahkan otoritas sertifikat (CA) ke konfigurasi Microsoft Entra memungkinkan sertifikat yang dikeluarkan oleh CA tersebut untuk mengautentikasi pengguna apa pun di ID Microsoft Entra. Untuk alasan ini, penting untuk mempertimbangkan bagaimana dan kapan CA diizinkan untuk menerbitkan sertifikat, dan bagaimana mereka menerapkan pengidentifikasi yang dapat digunakan kembali. Di mana administrator perlu memastikan hanya sertifikat tertentu yang dapat digunakan untuk mengautentikasi pengguna, admin harus secara eksklusif menggunakan pengikatan afinitas tinggi untuk mencapai tingkat jaminan yang lebih tinggi bahwa hanya sertifikat tertentu yang dapat mengautentikasi pengguna. Untuk informasi selengkapnya, lihat pengikatan afinitas tinggi.

Langkah-langkah untuk mengonfigurasi dan menguji Microsoft Entra CBA

Beberapa langkah konfigurasi perlu dilakukan sebelum Anda mengaktifkan Microsoft Entra CBA. Pertama, admin harus mengonfigurasi CA tepercaya yang mengeluarkan sertifikat pengguna. Seperti yang terlihat dalam diagram berikut, kami menggunakan kontrol akses berbasis peran untuk memastikan hanya administrator dengan hak istimewa paling sedikit yang diperlukan untuk membuat perubahan.

Penting

Microsoft menyarankan agar Anda menggunakan peran dengan izin terkecil. Praktik ini membantu meningkatkan keamanan untuk organisasi Anda. Administrator Global adalah peran yang sangat istimewa yang harus dibatasi pada skenario darurat atau ketika Anda tidak dapat menggunakan peran yang ada.

Secara opsional, Anda juga dapat mengonfigurasi pengikatan autentikasi untuk memetakan sertifikat ke autentikasi faktor tunggal atau multifaktor, dan mengonfigurasi pengikatan nama pengguna untuk memetakan bidang sertifikat ke atribut objek pengguna. Administrator Kebijakan Autentikasi dapat mengonfigurasi pengaturan terkait pengguna. Setelah semua konfigurasi selesai, aktifkan Microsoft Entra CBA pada penyewa.

Diagram langkah-langkah yang diperlukan untuk mengaktifkan autentikasi berbasis sertifikat Microsoft Entra.

Langkah 1: Konfigurasi otoritas sertifikat dengan toko kepercayaan berbasis PKI (Pratinjau)

Entra memiliki penyimpanan kepercayaan otoritas sertifikat (CA) baru yang berbasis infrastruktur kunci publik (PKI). Penyimpanan kepercayaan CA berbasis PKI menyimpan CA dalam objek kontainer untuk setiap PKI yang berbeda. Admin dapat mengelola CA dalam kontainer berdasarkan PKI lebih mudah daripada satu daftar CA datar.

Penyimpanan kepercayaan berbasis PKI memiliki batas yang lebih tinggi untuk jumlah CA dan ukuran setiap file CA. Penyimpanan kepercayaan berbasis PKI mendukung hingga 250 Otoritas Sertifikat (CA) dengan ukuran 8 KB untuk setiap objek CA. Kami sangat menyarankan Anda menggunakan penyimpanan kepercayaan berbasis PKI baru untuk menyimpan CA, yang dapat diskalakan dan mendukung fungsionalitas baru seperti petunjuk pengeluar sertifikat.

Catatan

Jika Anda menggunakan penyimpanan kepercayaan lama untuk mengonfigurasi CA, kami sarankan Anda mengonfigurasi penyimpanan kepercayaan berbasis PKI.

Admin harus mengonfigurasi CA tepercaya yang menerbitkan sertifikat pengguna. Hanya administrator dengan hak istimewa terkecil yang diperlukan untuk membuat perubahan. Sebuah toko kepercayaan berbasis PKI memiliki peran RBAC Administrator Autentikasi Hak Istimewa.

Fitur Unggah PKI dari penyimpanan kepercayaan berbasis PKI hanya tersedia dengan lisensi Microsoft Entra ID P1 atau P2. Namun, dengan lisensi gratis juga, admin dapat mengunggah semua CA secara individual alih-alih file PKI dan mengonfigurasi penyimpanan kepercayaan berbasis PKI.

Mengonfigurasi otoritas sertifikat dengan menggunakan pusat admin Microsoft Entra

Membuat objek kontainer PKI

  1. Buat objek kontainer PKI.

  2. Masuk ke pusat admin Microsoft Entra sebagai Administrator Autentikasi Hak Istimewa .

  3. Telusuri Proteksi>Tampilkan lebih banyak>Security Center (atau Skor Aman Identitas) >infrastruktur kunci publik (Pratinjau).

  4. Klik + Buat PKI.

  5. Masukkan Nama Tampilan.

  6. Klik Buat.

    Diagram langkah-langkah yang diperlukan untuk membuat PKI.

  7. Pilih Kolom untuk menambahkan atau menghapus kolom.

  8. Pilih Refresh untuk me-refresh daftar PKIs.

Menghapus objek kontainer PKI

  1. Untuk menghapus PKI, pilih PKI dan pilih Hapus. Jika PKI memiliki CA di dalamnya, masukkan nama PKI untuk mengakui penghapusan semua CA di dalamnya dan pilih Hapus.

    Diagram langkah-langkah yang diperlukan untuk menghapus PKI.

Mengunggah CA individual ke objek kontainer PKI

  1. Untuk mengunggah CA ke dalam kontainer PKI:

    1. Klik + Tambahkan otoritas sertifikat.

    2. Pilih file CA.

    3. Pilih Ya jika CA adalah sertifikat akar, jika tidak pilih Tidak.

    4. Untuk URL Daftar Pencabutan Sertifikat, atur URL yang dapat diakses melalui internet untuk CRL dasar dari CA yang berisi semua sertifikat yang telah dicabut. Jika URL tidak diatur, autentikasi tetap berhasil meskipun sertifikatnya sudah dicabut.

    5. Untuk URL Daftar Pencabutan Sertifikat Delta, atur URL yang dapat diakses melalui internet untuk CRL yang berisi semua sertifikat yang dicabut sejak CRL dasar terakhir diterbitkan.

    6. Bendera petunjuk penerbit diaktifkan secara otomatis. Nonaktifkan petunjuk penerbit jika CA tidak boleh disertakan dalam petunjuk penerbit.

    7. Pilih Simpan.

    8. Untuk menghapus sertifikat CA, pilih sertifikat dan pilih Hapus.

      Diagram cara menghapus sertifikat CA.

    9. Pilih Kolom untuk menambahkan atau menghapus kolom.

    10. Pilih Refresh untuk memperbarui daftar CA.

Unggah semua CA dengan unggah PKI ke objek kontainer PKI

  1. Untuk mengunggah semua CA sekaligus ke dalam kontainer PKI:

    1. Buat objek kontainer PKI, atau buka objek kontainer.
    2. Pilih Unggah PKI.
    3. Masukkan URL http yang menghadap internet tempat file .p7b tersedia.
    4. Masukkan checksum SHA256 dari file.
    5. Pilih unggahan.
    6. Unggah PKI adalah proses asinkron. Saat setiap CA diunggah, CA tersedia di PKI. Penyelesaian unggahan PKI dapat memakan waktu hingga 30 menit.
    7. Pilih Refresh untuk memperbarui CA.

    Untuk menghasilkan checksum SHA256 dari file .p7b PKI, jalankan perintah ini:

    Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Mengedit PKI

  1. Untuk mengedit PKI, pilih ... pada baris PKI dan pilih Edit.
  2. Masukkan nama PKI baru dan pilih Simpan.

Mengedit CA

  1. Untuk mengedit CA, pilih ... pada baris CA dan pilih Edit.
  2. Masukkan nilai baru untuk jenis Otoritas Sertifikat (root/perantara), URL CRL, URL CRL Delta, flag Petunjuk Penerbit yang diaktifkan seperlunya dan pilih Simpan.

Memulihkan PKI

  1. Pilih tab PKI yang Dihapus.
  2. Pilih PKI dan pilih Pulihkan PKI.

Memulihkan Sertifikat Otoritas

  1. Pilih tab CA yang Dihapus.
  2. Pilih file CA dan pilih Pulihkan otoritas sertifikat.

Memahami atribut isIssuerHintEnabled pada CA

Penerbit sertifikat mengisyaratkan mengirim kembali Indikasi CA Tepercaya sebagai bagian dari jabat tangan Keamanan Lapisan Transportasi (TLS). Daftar CA tepercaya disetel ke subjek CA yang dimuat naik oleh penyewa di Entra Trust Store. Untuk informasi selengkapnya tentang petunjuk pengeluar sertifikat, lihat Memahami Petunjuk Pengeluar Sertifikat.

Secara default, nama subjek semua CA di penyimpanan kepercayaan Microsoft Entra dikirim sebagai petunjuk. Jika Anda ingin mengirimkan kembali petunjuk hanya untuk Otoritas Sertifikat (CA) tertentu, atur atribut petunjuk penerbit isIssuerHintEnabled ke true.

Ada batas karakter 16 KB untuk petunjuk pengeluar sertifikat (nama subjek CA) yang dapat dikirim server kembali ke klien TLS. Sebagai praktik yang baik, atur atribut isIssuerHintEnabled ke true hanya untuk CA yang menerbitkan sertifikat pengguna.

Jika beberapa CA perantara dari sertifikat akar yang sama mengeluarkan sertifikat pengguna akhir, maka secara default semua sertifikat muncul di pemilih sertifikat. Tetapi jika Anda mengatur isIssuerHintEnabled ke true untuk CA tertentu, hanya sertifikat pengguna yang tepat yang muncul di pemilih sertifikat. Untuk mengaktifkan isIssuerHintEnabled, edit CA, dan perbarui nilai ke true.

Mengonfigurasi otoritas sertifikat menggunakan API Microsoft Graph

MICROSOFT Graph API dapat digunakan untuk mengonfigurasi CA. Contoh berikut menunjukkan cara menggunakan Microsoft Graph untuk menjalankan operasi Buat, Baca, Perbarui, atau Hapus (CRUD) untuk PKI atau CA.

Membuat objek kontainer PKI

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Mendapatkan semua objek PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Dapatkan objek PKI dengan PKI-id

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/
ConsistencyLevel: eventual

Unggah sertifikat otoritas dengan file .p7b

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
    	"uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
    	"sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Dapatkan semua CA di PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities
ConsistencyLevel: eventual

Mendapatkan CA tertentu dalam PKI menggunakan CA-id

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
ConsistencyLevel: eventual

Memperbarui penanda indikasi penerbit CA tertentu

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Mengonfigurasi otoritas sertifikat (CA) menggunakan PowerShell Untuk konfigurasi ini, Anda dapat menggunakan [Microsoft Graph PowerShell] (/powershell/microsoftgraph/installation).

  1. Mulai PowerShell dengan hak istimewa administrator.

  2. Instal dan impor Microsoft Graph PowerShell SDK.

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Sambungkan ke penyewa dan terima semua.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Log audit

Setiap operasi CRUD pada PKI atau CA dalam penyimpanan tepercaya dicatat dalam log audit Microsoft Entra.

Diagram Log Audit.

Tanya Jawab Umum

Pertanyaan: Mengapa pengunggahan PKI gagal?

Jawaban: Periksa apakah file PKI valid dan dapat diakses tanpa masalah. Ukuran maksimum file PKI harus

Pertanyaan: Apa itu perjanjian tingkat layanan (SLA) untuk unggahan PKI?

Jawaban: Unggahan PKI adalah operasi asinkron dan mungkin memakan waktu hingga 30 menit untuk penyelesaian.

Pertanyaan: Bagaimana Anda menghasilkan checksum SHA256 untuk file PKI?

Jawaban: Untuk menghasilkan checksum SHA256 dari file PKI.p7b, jalankan perintah ini:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Langkah 2: Aktifkan CBA pada penyewa

Penting

Pengguna dianggap mampu untuk MFA ketika pengguna berada dalam cakupan untuk autentikasi berbasis Sertifikat dalam kebijakan Metode autentikasi. Persyaratan kebijakan ini berarti pengguna tidak dapat menggunakan bukti sebagai bagian dari autentikasi mereka untuk mendaftarkan metode lain yang tersedia. Jika pengguna tidak memiliki akses ke sertifikat, mereka dikunci dan tidak dapat mendaftarkan metode lain untuk MFA. Administrator Kebijakan Autentikasi perlu mengaktifkan CBA hanya untuk pengguna yang memiliki sertifikat yang valid. Jangan sertakan Semua pengguna untuk CBA. Hanya gunakan grup pengguna dengan sertifikat yang valid yang tersedia. Untuk informasi selengkapnya, lihat Autentikasi multifaktor Microsoft Entra.

Untuk mengaktifkan CBA di pusat admin Microsoft Entra, selesaikan langkah-langkah berikut:

  1. Masuk ke Pusat Admin Microsoft Entra sebagai Administrator Kebijakan Autentikasi atau lebih tinggi.

  2. Telusuri ke Grup>Semua grup> pilih Grup baru dan buat grup untuk pengguna CBA.

  3. Telusuri ke Perlindungan>Metode Autentikasi>Autentikasi Berbasis Sertifikat.

  4. Di bagian Aktifkan dan Target, pilih Aktifkan, dan klik Saya Setuju.

  5. Klik Pilih grup, klik Tambahkan grup.

  6. Pilih grup tertentu seperti yang Anda buat, dan klik Pilih. Gunakan grup tertentu daripada Semua pengguna.

  7. Setelah selesai, klik Simpan.

    Cuplikan layar cara mengaktifkan CBA.

Setelah autentikasi berbasis sertifikat diaktifkan pada penyewa, semua pengguna di penyewa melihat opsi untuk masuk dengan sertifikat. Hanya pengguna yang diaktifkan untuk CBA yang dapat mengautentikasi dengan menggunakan sertifikat X.509.

Catatan

Administrator jaringan harus mengizinkan akses ke endpoint certauth untuk lingkungan cloud pelanggan di samping login.microsoftonline.com. Nonaktifkan inspeksi TLS pada titik akhir certauth untuk memastikan permintaan sertifikat klien berhasil sebagai bagian dari jabat tangan TLS.

Langkah 3: Mengonfigurasi kebijakan pengikatan autentikasi

Kebijakan pengikatan autentikasi membantu menentukan kekuatan autentikasi ke satu faktor atau multifaktor. Tingkat perlindungan default untuk semua sertifikat pada penyewa adalah Autentikasi faktor tunggal. Pengikatan afinitas default pada tingkat penyewa adalah Rendah. Administrator Kebijakan Autentikasi dapat mengubah nilai default dari faktor tunggal menjadi multifaktor, dan jika ada perubahan, semua sertifikat pada tenant akan dianggap memiliki kekuatan autentikasi multifaktor. Demikian pula, pengikatan afinitas di tingkat penyewa dapat diatur ke High yang berarti semua sertifikat akan divalidasi hanya menggunakan atribut afinitas tinggi.

Penting

Admin harus mengatur default penyewa ke nilai yang berlaku untuk sebagian besar sertifikat dan membuat aturan kustom hanya untuk sertifikat tertentu yang memerlukan tingkat perlindungan dan/atau pengikatan afinitas yang berbeda dari default penyewa. Semua konfigurasi metode autentikasi dikumpulkan ke dalam file kebijakan yang sama sehingga membuat banyak aturan yang berlebihan dapat mencapai batas kapasitas file kebijakan.

Aturan pengikatan autentikasi memetakan atribut sertifikat, seperti Penerbit, atau ID Objek Kebijakan (OID), atau Penerbit dan OID Kebijakan, ke suatu nilai dan memilih tingkat perlindungan bawaan bersama dengan pengikatan afinitas untuk aturan tersebut. Untuk mengubah pengaturan default penyewa dan membuat aturan kustom di pusat admin Microsoft Entra, selesaikan langkah-langkah berikut:

  1. Masuk ke Pusat Admin Microsoft Entra sebagai Administrator Kebijakan Autentikasi atau lebih tinggi.

  2. Telusuri ke Perlindungan>Metode Autentikasi>Kebijakan.

  3. Di bawah Kelola, pilih Metode autentikasi>Autentikasi berbasis Sertifikat.

    Cuplikan layar kebijakan Autentikasi.

  4. Pilih Konfigurasikan untuk menyiapkan pengikatan autentikasi dan pengikatan nama pengguna.

  5. Atribut tingkat perlindungan memiliki nilai default Autentikasi Faktor tunggal. Pilih Autentikasi multifaktor untuk mengubah nilai default ke MFA.

    Catatan

    Nilai tingkat perlindungan default berlaku jika tidak ada aturan kustom yang ditambahkan. Jika aturan kustom ditambahkan, tingkat perlindungan yang ditentukan pada tingkat aturan akan dihormati sebagai gantinya.

    Cuplikan layar cara mengubah kebijakan default ke MFA.

  6. Anda juga dapat menyiapkan aturan pengikatan autentikasi kustom untuk membantu menentukan tingkat perlindungan untuk sertifikat klien yang memerlukan nilai yang berbeda untuk tingkat perlindungan atau pengikatan afinitas daripada default penyewa. Aturan dapat dikonfigurasi menggunakan Subjek penerbit sertifikat atau OID Kebijakan atau kedua bidang tersebut dalam sertifikat.

    Aturan pengikatan autentikasi memetakan atribut sertifikat (penerbit atau Policy OID) ke nilai, dan pilih tingkat perlindungan default untuk aturan tersebut. Beberapa aturan dapat dibuat. Untuk konfigurasi di bawah ini, mari kita asumsikan default penyewa adalah autentikasi multifaktor dan pengikatan afinitas rendah.

    Untuk menambahkan aturan kustom, pilih Tambahkan aturan.

    Cuplikan layar cara menambahkan aturan.

    Untuk membuat aturan menurut penerbit sertifikat, pilih Penerbit sertifikat.

    1. Pilih Pengidentifikasi penerbit sertifikat dari kotak daftar.

    2. Pilih autentikasi multifaktor tetapi pengikatan afinitas tinggi, lalu klik Tambah. Saat diminta, klik Saya mengakui untuk menyelesaikan penambahan aturan.

      Cuplikan layar kebijakan autentikasi multifaktor.

    Untuk membuat aturan menurut OID Kebijakan, pilih OID Kebijakan.

    1. Masukkan nilai untuk OID Kebijakan.

    2. Pilih Autentikasi faktor tunggal, Pengikatan afinitas rendah, lalu klik Tambahkan. Saat diminta, klik Saya mengakui untuk menyelesaikan penambahan aturan.

      Cuplikan layar pemetaan ke Policy OID.

    Untuk membuat aturan menurut Penerbit dan OID Kebijakan:

    1. Pilih Penerbit Sertifikat dan OID Kebijakan.

    2. Pilih penerbit dan masukkan kebijakan OID.

    3. Untuk Kekuatan autentikasi, pilih Autentikasi multifaktor.

    4. Untuk Pengikatan afinitas, pilih High.

      Cuplikan layar cara memilih pengikatan afinitas rendah.

    5. Pilih Tambahkan.

      Cuplikan layar cara menambahkan pengikatan afinitas rendah.

    6. Autentikasi dengan sertifikat yang memiliki kebijakan OID 3.4.5.6 dan dikeluarkan oleh CN=CBATestRootProd. Autentikasi harus berhasil dan mendapatkan persetujuan multifaktor.

Penting

Masalah yang diketahui terjadi ketika Administrator Kebijakan Autentikasi untuk penyewa Microsoft Entra mengonfigurasi aturan kebijakan autentikasi CBA dengan menggunakan kombinasi Penerbit dan OID Kebijakan. Masalah ini berdampak pada beberapa skenario pendaftaran perangkat, termasuk:

  • Pendaftaran Windows Hello For Business
  • Pendaftaran kunci keamanan FIDO2
  • Masuk Windows tanpa kata sandi melalui telepon

Pendaftaran perangkat dengan Workplace Join, Microsoft Entra ID, dan skenario penggabungan perangkat Microsoft Entra Hibrid tidak akan terpengaruh. Aturan kebijakan autentikasi CBA yang menggunakan penerbit ATAU OID kebijakan tidak terpengaruh. Untuk mengurangi, admin harus:

  • Sunting aturan kebijakan autentikasi berbasis sertifikat yang menggunakan opsi Penerbit dan OID Kebijakan. Hapus persyaratan penerbit atau OID Kebijakan dan Simpan. -Atau-
  • Hapus aturan kebijakan autentikasi yang menggunakan Penerbit dan OID Kebijakan. Buat aturan yang hanya menggunakan Penerbit Sertifikat atau OID Kebijakan.

Kami berupaya memperbaiki masalah ini.

Untuk membuat aturan menurut Penerbit dan Nomor Seri:

  1. Tambahkan kebijakan pengikatan autentikasi. Kebijakan ini mengharuskan sertifikat apa pun yang dikeluarkan oleh CN=CBATestRootProd dengan policyOID 1.2.3.4.6 hanya memerlukan pengikatan afinitas tinggi. Penerbit dan nomor seri digunakan.

    Cuplikan layar Penerbit dan Nomor Seri yang ditambahkan di pusat admin Microsoft Entra.

  2. Pilih bidang sertifikat. Dalam contoh ini, mari kita pilih Penerbit dan Nomor seri.

    Cuplikan layar cara memilih Penerbit dan Nomor Seri.

  3. Satu-satunya atribut pengguna yang didukung adalah CertificateUserIds. Pilih Tambahkan.

    Cuplikan layar cara menambahkan Penerbit dan Nomor Seri.

  4. Pilih Simpan.

    Catatan masuk menunjukkan protokol mana yang digunakan untuk masuk, dan detail dari sertifikat.

    Cuplikan layar log masuk.

  5. Pilih Ok untuk menyimpan aturan kustom apa pun.

Penting

Masukkan PolicyOID dengan menggunakan format pengidentifikasi objek. Misalnya, jika kebijakan sertifikat menyatakan Semua Kebijakan Penerbitan, masukkan OID sebagai 2.5.29.32.0 ketika Anda menambahkan aturan. String Semua Kebijakan Penerbitan tidak valid untuk editor aturan dan tidak berpengaruh.

Langkah 4: Mengonfigurasi kebijakan pengikatan nama pengguna

Kebijakan pengikatan nama pengguna membantu memvalidasi sertifikat pengguna. Secara default, kami memetakan Nama Utama dalam sertifikat ke UserPrincipalName di objek pengguna untuk menentukan pengguna.

Administrator Kebijakan Autentikasi dapat mengambil alih default dan membuat pemetaan kustom. Untuk menentukan cara mengonfigurasi pengikatan nama pengguna, lihat Cara kerja pengikatan nama pengguna.

Untuk skenario lain yang menggunakan atribut certificateUserIds, lihat ID pengguna sertifikat.

Penting

Jika kebijakan pengikatan nama pengguna menggunakan atribut yang disinkronkan, seperti atribut certificateUserIds, onPremisesUserPrincipalName, dan userPrincipalName dari objek pengguna, ketahuilah bahwa akun dengan hak administratif di Direktori Aktif (seperti yang memiliki hak yang didelegasikan pada objek pengguna atau hak administratif pada Microsoft Entra Connect Server) dapat membuat perubahan yang memengaruhi atribut ini di ID Microsoft Entra.

  1. Buat pengikatan nama pengguna dengan memilih salah satu bidang sertifikat X.509 untuk mengikat dengan salah satu atribut pengguna. Urutan pengikatan nama pengguna mewakili tingkat prioritas pengikatan. Yang pertama memiliki prioritas tertinggi, dan sebagainya.

    Cuplikan layar kebijakan pengikatan nama pengguna.

    Jika bidang sertifikat X.509 yang ditentukan ditemukan pada sertifikat, tetapi ID Microsoft Entra tidak menemukan objek pengguna menggunakan nilai tersebut, autentikasi gagal. Microsoft Entra ID mencoba pengikatan berikutnya pada daftar.

  2. Pilih Simpan untuk menyimpan perubahan.

Konfigurasi akhir terlihat seperti gambar ini:

Cuplikan layar konfigurasi akhir.

Langkah 5: Uji konfigurasi Anda

Bagian ini mencakup cara menguji sertifikat dan aturan pengikatan autentikasi kustom Anda.

Menguji sertifikat Anda

Sebagai uji konfigurasi pertama, Anda harus mencoba masuk ke portal MyApps menggunakan browser di perangkat Anda.

  1. Masukkan Nama Prinsipal Pengguna (UPN) Anda.

    Cuplikan layar Nama Prinsipal Pengguna.

  2. Pilih Selanjutnya.

    Cuplikan layar masuk dengan sertifikat.

    Jika Anda mengaktifkan metode autentikasi lain seperti Masuk melalui telepon atau FIDO2, pengguna mungkin melihat layar masuk yang berbeda.

    Cuplikan layar masuk alternatif.

  3. Pilih Masuk dengan sertifikat.

  4. Pilih sertifikat pengguna yang benar di UI pemilih sertifikat klien dan pilih OK.

    Cuplikan layar UI pemilih sertifikat.

  5. Pengguna harus masuk ke portal MyApps.

Jika berhasil masuk, maka Anda mengetahui bahwa:

  • Sertifikat pengguna disediakan ke dalam perangkat pengujian Anda.
  • ID Microsoft Entra dikonfigurasi dengan benar dengan CA tepercaya.
  • Pengikatan nama pengguna dikonfigurasi dengan benar, dan pengguna ditemukan dan diautentikasi.

Menguji aturan pengikatan autentikasi kustom

Mari kita telusuri skenario di mana kita memvalidasi autentikasi yang kuat. Kami membuat dua aturan kebijakan autentikasi, satu dengan menggunakan subjek penerbit untuk memenuhi autentikasi faktor tunggal, dan satu lagi dengan menggunakan OID kebijakan untuk memenuhi autentikasi multifaktor.

  1. Buat aturan Subjek penerbit dengan tingkat perlindungan menggunakan autentikasi faktor tunggal dan tetapkan nilainya sesuai dengan nilai Subjek CA Anda. Contohnya:

    CN = WoodgroveCA

  2. Buat aturan OID kebijakan, dengan tingkat perlindungan autentikasi multifaktor dan nilai yang diatur ke salah satu OID kebijakan dalam sertifikat Anda. Misalnya, 1.2.3.4.

    Cuplikan layar aturan Kebijakan OID.

  3. Buat kebijakan Akses Bersyarat bagi pengguna untuk mewajibkan autentikasi multifaktor dengan mengikuti langkah-langkah di Akses Bersyarat - Memerlukan MFA.

  4. Arahkan ke portal MyApps. Masukkan UPN Anda dan pilih Berikutnya.

    Cuplikan layar Nama Prinsipal Pengguna.

  5. Pilih Masuk dengan sertifikat.

    Cuplikan layar masuk dengan sertifikat.

    Jika Anda mengaktifkan metode autentikasi lain seperti Masuk telepon atau kunci keamanan, pengguna mungkin melihat layar masuk yang berbeda.

    Cuplikan layar masuk alternatif.

  6. Pilih sertifikat klien dan pilih Informasi Sertifikat.

    Cuplikan layar pemilih klien.

  7. Sertifikat muncul, dan Anda dapat memverifikasi nilai penerbit dan OID kebijakan. Cuplikan layar penerbit.

  8. Untuk melihat nilai OID Kebijakan, pilih Detail.

    Cuplikan layar detail autentikasi.

  9. Pilih sertifikat klien dan pilih OK.

  10. OID kebijakan dalam sertifikat cocok dengan nilai 1.2.3.4 yang telah dikonfigurasi, dan memenuhi autentikasi multifaktor. Demikian pula, penerbit dalam sertifikat cocok dengan nilai CN=WoodgroveCA yang dikonfigurasi, dan memenuhi autentikasi faktor tunggal.

  11. Karena aturan OID kebijakan lebih diutamakan daripada aturan pengeluar sertifikat, sertifikat memenuhi autentikasi multifaktor.

  12. Kebijakan Akses Bersyarat untuk pengguna memerlukan MFA dan sertifikat memenuhi multifaktor, sehingga pengguna dapat masuk ke aplikasi.

Menguji kebijakan pengikatan nama pengguna

Kebijakan pengikatan nama pengguna membantu memvalidasi sertifikat pengguna. Ada tiga pengikatan yang didukung untuk kebijakan pengikatan nama pengguna:

  • PenerbitDanNomorSeri>IdPenggunaSertifikat
  • PenerbitDanSubjek>IDPenggunaSertifikat
  • Subject>CertificateUserIds

Secara default, Microsoft Entra ID memetakan Nama Prinsipal dalam sertifikat ke UserPrincipalName di objek pengguna untuk menentukan pengguna. Administrator Kebijakan Autentikasi dapat mengambil alih default dan membuat pemetaan kustom, seperti yang dijelaskan sebelumnya.

Administrator Kebijakan Autentikasi perlu mengaktifkan pengikatan baru. Untuk mempersiapkannya, mereka harus memastikan nilai yang benar untuk pengikatan nama pengguna yang sesuai diperbarui dalam atribut CertificateUserIds objek pengguna:

  • Untuk pengguna khusus cloud, gunakan pusat admin Microsoft Entra atau MICROSOFT Graph API untuk memperbarui nilai di CertificateUserIds.
  • Untuk pengguna lokal yang disinkronkan, gunakan Microsoft Entra Connect untuk menyinkronkan nilai dari lokal dengan mengikuti Aturan Microsoft Entra Connect atau menyinkronkan nilai AltSecId.

Penting

Format nilai Penerbit, Subjek, dan SerialNumber harus dalam urutan terbalik formatnya dalam sertifikat. Jangan tambahkan ruang apa pun di Penerbit atau Subjek.

Pemetaan manual Pengeluar Sertifikat dan Nomor Seri

Berikut ini adalah contoh pemetaan manual Penerbit dan Nomor Seri. Nilai Penerbit yang akan ditambahkan adalah:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Cuplikan layar nilai Pengeluar Sertifikat.

Untuk mendapatkan nilai yang benar untuk nomor seri, jalankan perintah berikut, dan simpan nilai yang diperlihatkan di CertificateUserIds. Sintaks perintahnya adalah:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Contohnya:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Berikut adalah contoh untuk perintah certutil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Nilai SerialNumber yang akan ditambahkan di CertificateUserId adalah:

b24134139f069b49997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Pemetaan manual Masalah dan Subjek

Berikut adalah contoh untuk pemetaan manual Masalah dan Subjek. Nilai Pengeluar Sertifikat adalah:

Cuplikan layar nilai Issuer saat digunakan dengan banyak pengikatan.

Nilai Subjek adalah:

Cuplikan layar nilai Subjek.

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Pemetaan manual subjek

Berikut adalah contoh untuk Pemetaan Manual Subjek. Nilai Subjek adalah:

Cuplikan layar nilai Subjek lainnya.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Menguji pengikatan afinitas

  1. Masuk ke Pusat Admin Microsoft Entra sebagai Administrator Kebijakan Autentikasi atau lebih tinggi.

  2. Telusuri ke Perlindungan>Metode Autentikasi>Kebijakan.

  3. Di bawah Kelola, pilih Metode autentikasi>Autentikasi berbasis Sertifikat.

  4. Pilih Konfigurasikan.

  5. Atur Pengikatan Afinitas yang Diperlukan di tingkat penyewa.

    Penting

    Berhati-hatilah dengan pengaturan afinitas yang berlaku untuk seluruh penyewa. Anda dapat mengunci seluruh penyewa jika Anda mengatur ulang Pengikatan Afinitas yang Diperlukan untuk penyewa tersebut dan Anda tidak memiliki nilai yang tepat di objek pengguna. Serupa dengan itu, jika Anda membuat aturan kustom yang berlaku untuk semua pengguna dan memerlukan keterikatan afinitas yang tinggi, pengguna dalam tenant dapat terkunci.

    Cuplikan layar cara mengatur pengikatan afinitas yang diperlukan.

  6. Untuk menguji, pilih Pengikatan Afinitas yang Diperlukan menjadi Rendah.

  7. Tambahkan pengikatan afinitas tinggi seperti SKI. Pilih Tambahkan aturan di bawah Pengikatan Nama pengguna.

  8. Pilih SKI dan pilih Tambahkan.

    Cuplikan layar cara menambahkan pengikatan afinitas.

    Setelah selesai, aturan terlihat seperti cuplikan layar ini:

    Cuplikan layar pengikatan afinitas yang telah selesai.

  9. Perbarui semua objek pengguna atribut CertificateUserIds agar memiliki nilai SKI yang benar dari sertifikat pengguna. Untuk informasi selengkapnya, lihat Pola yang didukung untuk CertificateUserIDs.

  10. Buat aturan kustom untuk pengikatan Autentikasi.

  11. Pilih Tambahkan.

    Cuplikan layar pengikatan autentikasi kustom.

    Setelah selesai, aturan terlihat seperti cuplikan layar ini:

    Cuplikan layar aturan kustom.

  12. Perbarui CertificateUserIds pengguna dengan nilai SKI yang tepat dari sertifikat sesuai dengan kebijakan OID 9.8.7.5.

  13. Uji dengan sertifikat dengan kebijakan OID 9.8.7.5 dan pengguna harus diautentikasi dengan pengikatan SKI dan mendapatkan otentikasi multi-faktor hanya dengan sertifikat.

Mengaktifkan CBA menggunakan Microsoft Graph API

Untuk mengaktifkan CBA dan mengonfigurasi pengikatan nama pengguna menggunakan Graph API, selesaikan langkah-langkah berikut.

  1. Buka Microsoft Graph Explorer.

  2. Pilih Masuk ke Graph Explorer dan masuk ke tenant Anda.

  3. Ikuti langkah-langkah untuk menyetujui izin delegasi Policy.ReadWrite.AuthenticationMethod.

  4. DAPATKAN semua metode autentikasi:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. DAPATKAN konfigurasi untuk metode autentikasi Sertifikat x509:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Secara default, metode autentikasi Sertifikat x509 dinonaktifkan. Untuk mengizinkan pengguna masuk dengan sertifikat, Anda harus mengaktifkan metode autentikasi dan mengonfigurasi kebijakan autentikasi dan pengikatan nama pengguna melalui operasi pembaruan. Untuk memperbarui kebijakan, jalankan permintaan PATCH.

    Isi permintaan:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Anda memperoleh kode respons 204 No content. Jalankan ulang permintaan GET untuk memastikan kebijakan diperbarui dengan benar.

  8. Uji konfigurasi dengan masuk dengan sertifikat yang memenuhi kebijakan.

Mengaktifkan CBA menggunakan Microsoft PowerShell

  1. Buka PowerShell.
  2. Sambungkan ke Microsoft Graph: 
    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
  3. Buat variabel untuk menentukan grup untuk pengguna CBA: 
    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
  4. Tentukan isi permintaan: 
    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5
  5. Jalankan permintaan PATCH: 
    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Langkah berikutnya