Introduzione all'autenticazione basata su certificati in Microsoft Entra ID con federazione

L'autenticazione basata su certificati (CBA) con federazione consente di essere autenticati da Microsoft Entra ID con un certificato client in un dispositivo Windows, Android o iOS quando si connette l'account exchange online a:

  • Applicazioni per dispositivi mobili Microsoft, come Microsoft Outlook e Microsoft Word
  • Client Exchange ActiveSync (EAS)

La configurazione di questa funzionalità elimina la necessità di immettere una combinazione di nome utente e password in determinate applicazioni di posta e applicazioni Microsoft Office sul dispositivo mobile.

Nota

In alternativa, le organizzazioni possono distribuire Microsoft Entra CBA senza bisogno di federazione. Per altre informazioni, vedere Panoramica dell'autenticazione basata su certificati Di Microsoft Entra con Microsoft Entra ID.

In questo argomento:

  • Fornisce la procedura per configurare e usare LBA per gli utenti dei tenant nei piani office 365 Enterprise, Business, Education e US Government.
  • Si presuppone che siano già configurati un'infrastruttura a chiave pubblica (PKI) e AD FS.

Requisiti

Per configurare L'autorità di certificazione con la federazione, è necessario che le istruzioni seguenti siano vere:

  • CBA con federazione è supportato solo per gli ambienti federati per applicazioni browser, client nativi che usano l'autenticazione moderna o librerie MSAL. L'unica eccezione è Exchange Active Sync per Exchange Online (EXO) che può essere usato per gli account federati e per quelli gestiti. Per configurare microsoft Entra CBA senza necessità di federazione, vedere Come configurare l'autenticazione basata su certificati Di Microsoft Entra.
  • L'autorità di certificazione radice e le autorità di certificazione intermedie devono essere configurate in Microsoft Entra ID.
  • Ogni autorità di certificazione deve avere un elenco di revoche di certificati (Certificate Revocation List o CRL) a cui si possa fare riferimento tramite un URL Internet.
  • È necessario avere almeno un'autorità di certificazione configurata in Microsoft Entra ID. I passaggi correlati sono descritti nella sezione Configure the certificate authorities (Configurare le autorità di certificazione).
  • Per i client Exchange ActiveSync, il certificato client deve avere l'indirizzo di posta elettronica instradabile dell'utente in Exchange Online nel nome dell'entità o nel valore RFC822 Name del campo Nome alternativo soggetto. Microsoft Entra ID esegue il mapping del valore RFC822 all'attributo Indirizzo proxy nella directory.
  • Il dispositivo client deve avere accesso ad almeno un'autorità di certificazione che emetta i certificati client.
  • È necessario che al client sia stato rilasciato un certificato client per l'autenticazione.

Importante

La dimensione massima di un CRL per Microsoft Entra ID per scaricare e memorizzare nella cache correttamente è 20 MB e il tempo necessario per scaricare il CRL non deve superare 10 secondi. Se Microsoft Entra ID non riesce a scaricare un CRL, le autenticazioni basate su certificati che usano certificati rilasciati dalla CA corrispondente avranno esito negativo. Le procedure consigliate per garantire che i file CRL siano entro i vincoli di dimensione devono mantenere la durata dei certificati entro limiti ragionevoli e pulire i certificati scaduti.

Passaggio 1: Selezionare la piattaforma del dispositivo

Il primo passaggio per quanto riguarda la piattaforma del dispositivo è verificare i punti seguenti:

  • Supporto delle applicazioni Office per dispositivi mobili
  • Requisiti specifici di implementazione

Le informazioni correlate sono disponibili per le piattaforme dei dispositivi seguenti:

Passaggio 2: Configurare le autorità di certificazione

Per configurare le autorità di certificazione in Microsoft Entra ID, caricare quanto segue per ogni autorità di certificazione:

  • La parte pubblica del certificato, nel formato .cer
  • Gli URL Internet in cui si trovano gli elenchi di revoche di certificati (Certificate Revocation List o CRL)

Lo schema per un'autorità di certificazione ha un aspetto simile al seguente:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Per la configurazione, è possibile usare Microsoft Graph PowerShell:

  1. Avviare Windows PowerShell con privilegi amministrativi.

  2. Installare Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph
    

Il primo passaggio di configurazione consiste nello stabilire una connessione con il tenant. Non appena viene stabilita la connessione al tenant è possibile rivedere, aggiungere, eliminare e modificare le autorità di certificazione attendibili definite nella directory.

Connessione

Per stabilire una connessione con il tenant, usare Connessione-MgGraph:

    Connect-MgGraph

Retrieve

Per recuperare le autorità di certificazione attendibili definite nella directory, usare Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Per aggiungere, modificare o rimuovere una CA, usare l'interfaccia di amministrazione di Microsoft Entra:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.

  2. Passare a Protezione>Mostra altre>autorità di certificazione del Centro sicurezza (o Identity Secure Score). >

  3. Per caricare una CA, selezionare Carica:

    1. Selezionare il file CA.

    2. Selezionare Sì se la CA è un certificato radice. In caso contrario, selezionare No.

    3. Per URL dell'elenco di revoche di certificati, impostare l'URL con connessione Internet per il CRL di base della CA che contiene tutti i certificati revocati.For Certificate Revoke List URL, set the Internet-facing URL for the CA base CRL that contains all revoked certificates. Se l'URL non è impostato, l'autenticazione con certificati revocati non avrà esito negativo.

    4. Per l'URL dell'elenco di revoche di certificati delta, impostare l'URL con connessione Internet per il CRL che contiene tutti i certificati revocati dopo la pubblicazione dell'ultima CRL di base.

    5. Selezionare Aggiungi.

      Screenshot di come caricare il file dell'autorità di certificazione.

  4. Per eliminare un certificato ca, selezionare il certificato e selezionare Elimina.

  5. Selezionare Colonne per aggiungere o eliminare colonne.

Passaggio 3: Configurare la revoca

Per revocare un certificato client, Microsoft Entra ID recupera l'elenco di revoche di certificati (CRL) dagli URL caricati come parte delle informazioni dell'autorità di certificazione e lo memorizza nella cache. L'ultimo timestamp di pubblicazione, ovvero la proprietàEffective Date (Data di validità), in CRL viene usato per assicurare la validità di CRL. Il CRL viene referenziato periodicamente per revocare l'accesso ai certificati che fanno parte dell'elenco.

Se è necessaria una revoca più immediata (ad esempio in caso di smarrimento del dispositivo da parte di un utente), il token di autorizzazione dell'utente può essere annullato. Per annullare il token di autorizzazione, impostare il campo StsRefreshTokenValidFrom per questo particolare utente usando Windows PowerShell. È necessario aggiornare il campo StsRefreshTokenValidFrom per ogni utente a cui revocare l'accesso.

Per fare in modo che la revoca persista, è necessario impostare la proprietà Effective Date (Data di validità) di CRL su una data successiva al valore impostato da StsRefreshTokenValidFrom e assicurarsi che il certificato in questione sia in CRL.

Nota

Azure AD PowerShell è pianificato per la deprecazione il 30 marzo 2024. Per altre informazioni, leggere l'aggiornamento deprecato.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Microsoft Graph PowerShell consente l'accesso a tutte le API Microsoft Graph ed è disponibile in PowerShell 7. Per risposte alle query di migrazione comuni, vedere Domande frequenti sulla migrazione.

I passaggi seguenti illustrano il processo per aggiornare e annullare il token di autorizzazione impostando il campo StsRefreshTokenValidFrom .

  1. Connessione a PowerShell:

    Connect-MgGraph
    
  2. Recuperare il valore StsRefreshTokensValidFrom corrente per un utente:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
            $user.StsRefreshTokensValidFrom
    
  3. Configurare un nuovo valore StsRefreshTokensValidFrom per l'utente uguale al timestamp corrente:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")
    

La data impostata deve essere futura. Se la data non è futura, la proprietà StsRefreshTokensValidFrom non viene impostata. Se la data è futura, la proprietà StsRefreshTokensValidFrom viene impostata sull'ora corrente, non sulla data indicata dal comando Set-MsolUser.

Passaggio 4: Testare la configurazione

Test del certificato

Come primo test di configurazione è consigliabile accedere a Outlook Web Access o a SharePoint Online usando il browser sul dispositivo.

Se l'accesso ha esito positivo significa che:

  • È stato eseguito il provisioning del certificato utente al dispositivo di test
  • AD FS è configurato correttamente

Test delle applicazioni Office per dispositivi mobili

  1. Nel dispositivo di test installare un'applicazione Office per dispositivi mobili (ad esempio, OneDrive).
  2. Avviare l'applicazione .
  3. Immettere il nome utente, quindi selezionare il certificato utente da usare.

È necessario aver eseguito l'accesso.

Test delle applicazioni client Exchange ActiveSync

Per accedere a Exchange ActiveSync (EAS) tramite l'autenticazione basata su certificati, l'applicazione deve avere a disposizione un profilo EAS contenente il certificato client.

Il profilo EAS deve contenere le informazioni seguenti:

  • Il certificato utente da usare per l'autenticazione

  • L'endpoint EAS (ad esempio outlook.office365.com)

Un profilo EAS può essere configurato e inserito nel dispositivo tramite l'utilizzo della gestione di dispositivi mobili (MDM) come Microsoft Intune o inserendo manualmente il certificato nel profilo EAS nel dispositivo.

Test delle applicazioni client EAS in Android

  1. Configurare un profilo EAS nell'applicazione che soddisfi i requisiti riportati nella sezione precedente.
  2. Aprire l'applicazione e verificare che venga eseguita la sincronizzazione dell'email.

Passaggi successivi

Altre informazioni sull'autenticazione basata su certificati nei dispositivi Android.

Altre informazioni sull'autenticazione basata su certificati nei dispositivi iOS.