Обзор проверки подлинности на основе сертификата Microsoft Entra
Проверка подлинности на основе сертификатов (CBA) Microsoft Entra позволяет клиентам разрешать или требовать, чтобы пользователи могли выполнять проверку подлинности непосредственно с помощью сертификатов X.509 в соответствии с идентификатором Microsoft Entra для приложений и входа в браузер. Эта функция позволяет клиентам принимать фишинговую проверку подлинности и проходить проверку подлинности с помощью сертификата X.509 в инфраструктуре открытых ключей (PKI).
Что такое Microsoft Entra CBA?
Прежде чем поддержку CBA в Microsoft Entra ID, клиентам пришлось реализовать федеративную проверку подлинности на основе сертификатов, которая требует развертывания службы федерации Active Directory (AD FS) (AD FS) для проверки подлинности с помощью сертификатов X.509 в идентификаторе Microsoft Entra ID. При проверке подлинности на основе сертификатов Microsoft Entra клиенты могут проходить проверку подлинности непосредственно в идентификаторе Microsoft Entra и устранять необходимость федеративных ad FS с упрощенной средой клиентов и сокращением затрат.
На следующих изображениях показано, как Microsoft Entra CBA упрощает клиентскую среду, устраняя федеративные ad FS.
Проверка подлинности на основе сертификатов с помощью федеративных AD FS
Проверка подлинности на основе сертификата Microsoft Entra
Основные преимущества использования Microsoft Entra CBA
| Льготы | Description |
|---|---|
| Удобство работы для пользователей | — Пользователи, которым требуется проверка подлинности на основе сертификатов, теперь могут напрямую пройти проверку подлинности в идентификаторе Microsoft Entra ИД, а не инвестировать в федеративные ad FS. - Пользовательский интерфейс портала позволяет пользователям легко настраивать способ сопоставления полей сертификата с атрибутом объекта-пользователя для поиска пользователя в арендаторе (привязки имени пользователя сертификата). - Пользовательский интерфейс портала для настройки политик проверки подлинности, чтобы определить, какие сертификаты являются однофакторными и многофакторными. |
| Простота развертывания и администрирования | — Microsoft Entra CBA — это бесплатная функция, и вам не нужны платные выпуски идентификатора Microsoft Entra. - Не требуются сложные локальные развертывания или настройка сети. — непосредственно пройти проверку подлинности в идентификаторе Microsoft Entra. |
| Защита | — Локальные пароли не должны храниться в облаке в любой форме. — защищает учетные записи пользователей, легко работая с политиками условного доступа Microsoft Entra, включая многофакторную проверку подлинности с поддержкой фишинга (MFA требуется лицензированная версия) и блокируя устаревшую проверку подлинности. — Строгой поддержкой проверки подлинности, в которой пользователи могут определять политики проверки подлинности с помощью полей сертификата, таких как издатель или идентификатор политики (идентификаторы объектов), чтобы определить, какие сертификаты определяются как однофакторные и многофакторные. — Эта функция легко работает с функциями условного доступа и возможностями проверки подлинности для обеспечения безопасности пользователей. |
Поддерживаемые сценарии
Поддерживаются следующие сценарии:
- Вход пользователей в браузерные приложения на всех платформах.
- Вход пользователей в мобильные приложения Office на платформах iOS и Android, а также собственные приложения Office в Windows, включая Outlook, OneDrive и т. д.
- Вход пользователей в собственные браузеры для мобильных устройств.
- Поддержка детальных правил проверки подлинности для многофакторной проверки подлинности с помощью субъекта издателя сертификата и идентификаторов OID политики.
- Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из полей сертификата:
- Альтернативное имя субъекта (SAN) и SAN RFC822Name
- Идентификатор ключа субъекта (SKI) и SHA1PublicKey
- Издатель + тема, тема и издатель + SerialNumber
- Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из атрибутов объекта пользователя:
- Имя субъекта-пользователя
- onPremisesUserPrincipalName
- CertificateUserIds
Неподдерживаемые сценарии
Не поддерживаются следующие сценарии:
- Указания центра сертификации не поддерживаются, поэтому список сертификатов, отображаемых для пользователей в пользовательском интерфейсе средства выбора сертификатов, не область.
- Поддерживается только одна точка распространения из списка отзыва сертификатов (CDP) для доверенного центра сертификации.
- CDP может быть представлена только URL-адресами с протоколом HTTP. URL-адреса с протоколом Online Certificate Status Protocol (OCSP) или протоколом LDAP не поддерживаются.
- Пароль в качестве метода проверки подлинности нельзя отключить, и параметр входа с помощью пароля отображается даже с помощью метода Microsoft Entra CBA, доступного пользователю.
Известные ограничения с сертификатами Windows Hello for Business
- Хотя Windows Hello For Business (WHFB) можно использовать для многофакторной проверки подлинности в идентификаторе Microsoft Entra, WHFB не поддерживается для новой MFA. Клиенты могут зарегистрировать сертификаты для пользователей с помощью пары ключей WHFB. При правильной настройке эти сертификаты WHFB можно использовать для многофакторной проверки подлинности в идентификаторе Microsoft Entra. Сертификаты WHFB совместимы с проверкой подлинности на основе сертификатов Microsoft Entra (CBA) в браузерах Edge и Chrome; Однако в настоящее время сертификаты WHFB несовместимы с Microsoft Entra CBA в сценариях, отличных от браузера (таких как приложения Office 365). Решением является использование параметра "Вход в Windows Hello или ключ безопасности" для входа (при наличии), так как этот параметр не использует сертификаты для проверки подлинности и избегает проблемы с Microsoft Entra CBA; Однако этот параметр может быть недоступен в некоторых старых приложениях.
Out of Scope (Вывод за область)
Следующие сценарии не область для Microsoft Entra CBA:
- Инфраструктура открытых ключей для создания сертификатов клиента. Клиентам требуется настроить инфраструктуру открытых ключей (PKI) и предоставить сертификаты для пользователей и устройств.
Следующие шаги
- Техническое глубокое погружение для Microsoft Entra CBA
- Настройка Microsoft Entra CBA
- Microsoft Entra CBA на устройствах iOS
- Microsoft Entra CBA на устройствах Android
- Вход в систему smart карта Windows с помощью Microsoft Entra CBA
- Идентификаторы пользователей сертификата
- Перенос федеративных пользователей
- Вопросы и ответы