Delen via

Verificatie op basis van Microsoft Entra-certificaten instellen

Uw organisatie kan phishingbestendige, moderne en wachtwoordloze verificatie implementeren via X.509-certificaten van gebruikers met behulp van microsoft Entra-verificatie op basis van certificaten (CBA).

In dit artikel leert u hoe u uw Microsoft Entra-tenant instelt om tenantgebruikers toe te staan of te verplichten zich te verifiëren met behulp van X.509-certificaten. Een gebruiker maakt een X.509-certificaat met behulp van een PKI (Public Key Infrastructure) voor toepassings- en browseraanmelding.

Wanneer Microsoft Entra CBA is ingesteld, ziet een gebruiker tijdens het aanmelden een optie voor verificatie met behulp van een certificaat in plaats van een wachtwoord in te voeren. Als er zich meerdere overeenkomende certificaten op het apparaat bevinden, selecteert de gebruiker het relevante certificaat en wordt het certificaat gevalideerd op basis van het gebruikersaccount. Als de validatie is geslaagd, meldt de gebruiker zich aan.

Voer de stappen uit die in dit artikel worden beschreven om Microsoft Entra CBA te configureren en te gebruiken voor tenants in Office 365 Enterprise- en Us Government-abonnementen. U moet al een PKI hebben geconfigureerd.

Vereisten

Zorg ervoor dat aan de volgende voorwaarden is voldaan:

  • Ten minste één certificeringsinstantie (CA) en eventuele tussenliggende CA's worden geconfigureerd in Microsoft Entra-id.
  • De gebruiker heeft toegang tot een gebruikerscertificaat dat is uitgegeven vanuit een vertrouwde PKI die is geconfigureerd op de tenant die is bedoeld voor clientverificatie in Microsoft Entra-id.
  • Elke CA heeft een certificaatintrekkingslijst (CRL) waarnaar kan worden verwezen via internetgerichte URL's. Als de vertrouwde CA geen CRL heeft geconfigureerd, voert Microsoft Entra-id geen CRL-controle uit, werkt het intrekken van gebruikerscertificaten niet en wordt verificatie niet geblokkeerd.

Overwegingen

  • Zorg ervoor dat de PKI veilig is en niet eenvoudig kan worden aangetast. Als er een inbreuk optreedt, kan de aanvaller clientcertificaten maken en ondertekenen en alle gebruikers in de tenant in gevaar brengen, inclusief gebruikers die on-premises worden gesynchroniseerd. Een sterke beveiligingsstrategie en andere fysieke en logische besturingselementen kunnen diepgaande verdediging bieden om te voorkomen dat externe aanvallers of bedreigingen van binnenuit de integriteit van de PKI in gevaar brengen. Zie voor meer informatie PKI beveiligen.

  • Zie de aanbevelingen van Microsoft voor aanbevolen procedures voor Microsoft Cryptography, waaronder de keuze van algoritme, sleutellengte en gegevensbescherming. Zorg ervoor dat u een van de aanbevolen algoritmen, een aanbevolen sleutellengte en NIST-goedgekeurde curven gebruikt.

  • Als onderdeel van doorlopende beveiligingsverbeteringen hebben Azure- en Microsoft 365-eindpunten ondersteuning toegevoegd voor TLS 1.3. Het proces duurt naar verwachting enkele maanden om de duizenden service-eindpunten in Azure en Microsoft 365 te dekken. Het Microsoft Entra-eindpunt dat door Microsoft Entra CBA wordt gebruikt, zijn opgenomen in de update: *.certauth.login.microsoftonline.com en *.certauth.login.microsoftonline.us.

    TLS 1.3 is de meest recente versie van het meest geïmplementeerde beveiligingsprotocol op internet. TLS 1.3 versleutelt gegevens om een beveiligd communicatiekanaal tussen twee eindpunten te bieden. Het elimineert verouderde cryptografische algoritmen, verbetert de beveiliging van eerdere versies en versleutelt zoveel mogelijk van de handshake. We raden u ten zeerste aan OM TLS 1.3 te testen in uw toepassingen en services.

  • Wanneer u een PKI evalueert, is het belangrijk om certificaatuitgiftebeleid en afdwingingsbeleid te controleren. Zoals eerder beschreven, staat het toevoegen van CA's aan een Microsoft Entra-configuratie toe dat certificaten die door deze CA's zijn uitgegeven, elke gebruiker in Microsoft Entra-id verifiëren.

    Het is belangrijk om na te denken over hoe en wanneer CA's certificaten mogen uitgeven en hoe ze herbruikbare id's implementeren. Beheerders hoeven er alleen voor te zorgen dat een specifiek certificaat kan worden gebruikt om een gebruiker te verifiëren, maar ze moeten uitsluitend bindingen met hoge affiniteit gebruiken om een hoger niveau van zekerheid te bereiken dat alleen een specifiek certificaat de gebruiker kan verifiëren. Zie Bindingen met hoge affiniteit voor meer informatie.

Microsoft Entra CBA configureren en testen

U moet enkele configuratiestappen uitvoeren voordat u Microsoft Entra CBA inschakelt.

Een beheerder moet de vertrouwde CA's configureren die gebruikerscertificaten uitgeven. Zoals wordt weergegeven in het volgende diagram, maakt Azure gebruik van op rollen gebaseerd toegangsbeheer (RBAC) om ervoor te zorgen dat alleen beheerders met minimale bevoegdheden wijzigingen moeten aanbrengen.

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Met deze procedure kunt u de beveiliging voor uw organisatie verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen of wanneer u geen bestaande rol kunt gebruiken.

U kunt desgewenst verificatiebindingen configureren om certificaten toe te wijzen aan meervoudige verificatie of aan meervoudige verificatie (MFA). Configureer gebruikersnaambindingen om het certificaatveld toe te wijzen aan een kenmerk van het gebruikersobject. Een verificatiebeleidsbeheerder kan gebruikersinstellingen configureren.

Wanneer alle configuraties zijn voltooid, schakelt u Microsoft Entra CBA in op de tenant.

Diagram met een overzicht van de stappen die nodig zijn voor het inschakelen van verificatie op basis van Microsoft Entra-certificaten.

Stap 1: De CA's configureren met een op PKI gebaseerd vertrouwensarchief

Microsoft Entra heeft een nieuw op PKI gebaseerd CA-vertrouwensarchief. Het vertrouwensarchief bewaart CA's binnen een containerobject voor elke PKI. Beheerders kunnen CA's in een container eenvoudiger beheren op basis van PKI dan ze een platte lijst met CA's kunnen beheren.

Het vertrouwensarchief op basis van PKI heeft hogere limieten dan het klassieke vertrouwensarchief voor het aantal CA's en de grootte van elk CA-bestand. Een op PKI gebaseerd vertrouwensarchief ondersteunt maximaal 250 CA's en 8 kB voor elk CA-object.

Als u het klassieke vertrouwensarchief gebruikt om CA's te configureren, raden we u ten zeerste aan een op PKI gebaseerde vertrouwensopslag in te stellen. Het vertrouwensarchief op basis van PKI is schaalbaar en ondersteunt nieuwe functionaliteit, zoals hints voor verleners.

Een beheerder moet de vertrouwde CA's configureren die gebruikerscertificaten uitgeven. Alleen beheerders met minimale bevoegdheden moeten wijzigingen aanbrengen. Aan een op PKI gebaseerd vertrouwensarchief wordt de rol Privileged Authentication Administrator toegewezen.

De PKI-uploadfunctie van het vertrouwensarchief op basis van PKI is alleen beschikbaar met een Microsoft Entra ID P1- of P2-licentie. Met de gratis Microsoft Entra-licentie kan een beheerder echter alle CA's afzonderlijk uploaden in plaats van een PKI-bestand te uploaden. Vervolgens kunnen ze het vertrouwensarchief op basis van PKI configureren en hun geüploade CA-bestanden toevoegen.

CA's configureren met behulp van het Microsoft Entra-beheercentrum

Een PKI-containerobject maken (Microsoft Entra-beheercentrum)

Een PKI-containerobject maken:

  1. Meld u aan bij het Microsoft Entra-beheercentrum met een account waaraan de rol Privileged Authentication Administrator is toegewezen.

  2. Ga naar deopenbare sleutelinfrastructuurvan Entra ID>Identity Secure Score>.

  3. Selecteer PKI maken.

  4. Voer bij Weergavenaam een naam in.

  5. Klik op Creëren.

    Diagram met de stappen die nodig zijn om een PKI te maken.

  6. Als u kolommen wilt toevoegen of verwijderen, selecteert u Kolommen bewerken.

  7. Als u de lijst met PKI's wilt vernieuwen, selecteert u Vernieuwen.

Een PKI-containerobject verwijderen

Als u een PKI wilt verwijderen, selecteert u de PKI en selecteert u Verwijderen. Als de PKI CA's bevat, voert u de naam van de PKI in om de verwijdering van alle CA's in de PKI te bevestigen. Selecteer Vervolgens Verwijderen.

Diagram met de stappen die nodig zijn om een PKI te verwijderen.

Afzonderlijke CA's uploaden naar een PKI-containerobject

Een CA uploaden naar een PKI-container:

  1. Selecteer Certificeringsinstantie toevoegen.

  2. Kies het CA-bestand.

  3. Als de CA een basiscertificaat is, selecteert u Ja. Anders selecteert u Nee.

  4. Voer voor de URL van de certificaatintrekkingslijst de internetgerichte URL in voor de CA-basis-CRL die alle ingetrokken certificaten bevat. Als de URL niet is ingesteld, mislukt een poging om te verifiëren met behulp van een ingetrokken certificaat.

  5. Voer voor de URL van de Delta-certificaatintrekkingslijst de internet-URL in voor de CRL die alle ingetrokken certificaten bevat sinds de laatste basis-CRL is gepubliceerd.

  6. Als de CA niet moet worden opgenomen in hints voor verleners, schakelt u hints voor verleners uit. De vlag Hints voor verleners is standaard uitgeschakeld.

  7. Selecteer Opslaan.

  8. Als u een CA wilt verwijderen, selecteert u de CA en selecteert u Verwijderen.

    Diagram waarin wordt getoond hoe u een CA-certificaat verwijdert.

  9. Als u kolommen wilt toevoegen of verwijderen, selecteert u Kolommen bewerken.

  10. Als u de lijst met PKI's wilt vernieuwen, selecteert u Vernieuwen.

In eerste instantie worden 100 CA-certificaten weergegeven. Er worden meer weergegeven terwijl u omlaag schuift in het deelvenster.

Alle CA's uploaden naar een PKI-containerobject

Alle CA's bulksgewijs uploaden naar een PKI-container:

  1. Maak een PKI-containerobject of open een bestaande container.

  2. Selecteer PKI uploaden.

  3. Voer de internetgerichte HTTP-URL van het .p7b bestand in.

  4. Voer de SHA-256-controlesom van het bestand in.

  5. Selecteer het uploaden.

    Het PKI-uploadproces is asynchroon. Wanneer elke CA wordt geüpload, is deze beschikbaar in de PKI. Het uploaden van de volledige PKI kan tot 30 minuten duren.

  6. Selecteer Vernieuwen om de lijst met CA's te vernieuwen.

  7. Elk geüpload CA CRL-eindpuntkenmerk wordt bijgewerkt met de eerste beschikbare HTTP-URL van het CA-certificaat die wordt vermeld als het kenmerk CRL-distributiepunten . U moet eventuele leaf-certificaten handmatig bijwerken.

Voer de volgende opdracht uit om de SHA-256-controlesom van het PKI-bestand .p7b te genereren:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Een PKI bewerken

  1. Selecteer in de PKI-rij ... en selecteer Bewerken.
  2. Voer een nieuwe PKI-naam in.
  3. Selecteer Opslaan.

Een CA bewerken

  1. Selecteer in de ca-rij ... en selecteer Bewerken.
  2. Voer nieuwe waarden in voor het CA-type (hoofd- of tussenliggende), de CRL-URL, de DELTA-CRL-URL of de vlag met hints voor verleners die zijn ingeschakeld volgens uw vereisten.
  3. Selecteer Opslaan.

Het kenmerk hints voor verleners bulksgewijs bewerken

  1. Als u meerdere CA's wilt bewerken en het kenmerk Hints voor verleners wilt in- of uitschakelen, selecteert u meerdere CA's.
  2. Selecteer Bewerken en selecteer hints voor verlener bewerken.
  3. Schakel het selectievakje Hints voor verleners in voor alle geselecteerde CA's of schakel de selectie uit om de vlag Issuer hints enabled uit te schakelen voor alle geselecteerde CA's. De standaardwaarde is onbepaald.
  4. Selecteer Opslaan.

Een PKI herstellen

  1. Selecteer het tabblad Verwijderde PKI's .
  2. Selecteer de PKI en kies PKI herstellen.

Een CA herstellen

  1. Selecteer het tabblad Verwijderde CA's .
  2. Selecteer het CA-bestand en selecteer vervolgens Certificeringsinstantie herstellen.

Het kenmerk isIssuerHintEnabled voor een CA configureren

Hints voor verleners sturen een vertrouwde CA-indicator terug als onderdeel van de Tls-handshake (Transport Layer Security). De lijst met vertrouwde CA's is ingesteld op het onderwerp van de CA's die de tenant uploadt naar het Vertrouwensarchief van Microsoft Entra. Zie Hints voor verleners voor meer informatie.

Als standaardinstelling worden de onderwerpnamen van alle certificeringsinstanties in de Vertrouwenswinkel van Microsoft Entra als hints doorgestuurd. Als u alleen een hint voor specifieke CA's wilt terugsturen, stelt u het kenmerk isIssuerHintEnabled hint voor verlener in op true.

De server kan een maximaal 16 KB-antwoord naar de TLS-client verzenden voor de hints voor de uitgever (de onderwerpnaam van de CA). U wordt aangeraden het isIssuerHintEnabled kenmerk alleen in te true stellen voor de CA's die gebruikerscertificaten uitgeven.

Als meerdere tussenliggende CA's uit hetzelfde basiscertificaat gebruikerscertificaten verlenen, worden standaard alle certificaten weergegeven in de certificaatkiezer. Als u voor specifieke CA's instelt isIssuerHintEnabledtrue , worden alleen de relevante gebruikerscertificaten weergegeven in de certificaatkiezer.

CA's configureren met behulp van Microsoft Graph-API's

In de volgende voorbeelden ziet u hoe u Microsoft Graph gebruikt om CRUD-bewerkingen (Create, Read, Update en Delete) uit te voeren via HTTP-methoden voor een PKI of CA.

Een PKI-containerobject maken (Microsoft Graph)

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Alle PKI-objecten ophalen

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Een PKI-object ophalen op basis van PKI-id

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/
ConsistencyLevel: eventual

CA's uploaden met behulp van een .p7b-bestand

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-id>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
     "uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
     "sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Alle CA's in een PKI ophalen

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities
ConsistencyLevel: eventual

Een specifieke CA ophalen in een PKI per CA-id

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
ConsistencyLevel: eventual

Vlag voor hints voor een specifieke CA-verlener bijwerken

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

CA's configureren met behulp van PowerShell

Gebruik Microsoft Graph PowerShell voor deze stappen.

  1. Start PowerShell met behulp van de optie Uitvoeren als administrator .

  2. Installeer en importeer de Microsoft Graph PowerShell SDK:

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Maak verbinding met de tenant en accepteer alle:

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Prioriteitsaanduiding tussen een vertrouwensarchief op basis van PKI en een klassiek CA-archief

Als er een CA bestaat in zowel een op PKI gebaseerd CA-archief als een klassiek CA-archief, krijgt het vertrouwensarchief op basis van PKI prioriteit.

In deze scenario's wordt prioriteit gegeven aan een klassiek CA-archief:

  • Er bestaat een CA in beide winkels, de PKI-winkel heeft geen CRL, maar de ca van de klassieke winkel heeft een geldige CRL.
  • Er bestaat een CA in beide winkels en de CRL op basis van PKI is anders dan de ca CRL van de klassieke winkel.

Aanmeldingslogboek

Een onderbroken vermelding in een Microsoft Entra-aanmeldingslogboek heeft twee kenmerken onder Aanvullende informatie om aan te geven of het klassieke of verouderde vertrouwensarchief helemaal tijdens verificatie is gebruikt.

  • Is Legacy Store Used een waarde van 0 om aan te geven dat een op PKI gebaseerde winkel wordt gebruikt. Een waarde van 1 geeft aan dat een klassiek of verouderd archief wordt gebruikt.
  • Informatie over het gebruik van verouderde winkels geeft de reden weer waarom het klassieke of verouderde archief wordt gebruikt.

Schermopname van een aanmeldingslogboekvermelding voor het gebruik van een PKI-archief of een klassiek CA-archief

Auditlogboek

CruD-bewerkingen die u uitvoert op een PKI of CA in het vertrouwensarchief, worden weergegeven in de auditlogboeken van Microsoft Entra.

Schermopname van het deelvenster Auditlogboeken.

Migreren van een klassiek CA-archief naar een op PKI gebaseerde winkel

Een tenantbeheerder kan alle CA's uploaden naar de PKI-winkel. De PKI CA-winkel heeft vervolgens voorrang op een klassieke winkel en alle CBA-verificatie vindt plaats via de op PKI gebaseerde store. Een tenantbeheerder kan de CA's verwijderen uit een klassiek of verouderd archief nadat ze geen indicatie hebben in de aanmeldingslogboeken dat het klassieke of verouderde archief is gebruikt.

Veelgestelde vragen

Waarom mislukt het uploaden van PKI?

Controleer of het PKI-bestand geldig is en of het zonder problemen toegankelijk is. De maximale grootte van het PKI-bestand is 2 MB (250 CA's en 8 kB voor elk CA-object).

Wat is de service level agreement voor PKI-upload?

PKI-upload is een asynchrone bewerking en kan tot 30 minuten duren.

Hoe genereer ik een SHA-256-controlesom voor een PKI-bestand?

Voer deze opdracht uit om de SHA-256-controlesom van het PKI-bestand .p7b te genereren:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Stap 2: CBA inschakelen voor de tenant

Belangrijk

Een gebruiker wordt beschouwd als geschikt voor het voltooien van MFA wanneer de gebruiker is aangewezen als binnen het bereik voor CBA in het beleid voor verificatiemethoden. Deze beleidsvereiste betekent dat een gebruiker geen identiteitsbewijs kan gebruiken als onderdeel van hun verificatie om andere beschikbare methoden te registreren. Als de gebruiker geen toegang heeft tot certificaten, is deze vergrendeld en kan deze geen andere methoden voor MFA registreren. Beheerders aan wie de rol Verificatiebeleidbeheerder is toegewezen, moeten alleen CBA inschakelen voor gebruikers die geldige certificaten hebben. Neem niet alle gebruikers op voor CBA. Gebruik alleen groepen gebruikers met geldige certificaten. Zie Microsoft Entra multifactor authentication voor meer informatie.

CBA inschakelen via het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum met een account waaraan ten minste de rol Verificatiebeleidsbeheerder is toegewezen.

  2. Ga naar Groepen>alle groepen.

  3. Selecteer Nieuwe groep en maak een groep voor CBA-gebruikers.

  4. Ga naarVerificatiemethoden opbasis van certificaten > naar EntraID-verificatie>.

  5. Schakel onderInschakelen en doel in en schakel vervolgens het selectievakje I Acknowledge in.

  6. > Kies Groepentoevoegen selecteren.

  7. Kies specifieke groepen, zoals de groep die u hebt gemaakt en kies Selecteren. Gebruik specifieke groepen in plaats van Alle gebruikers.

  8. Selecteer Opslaan.

    Schermopname van het inschakelen van CBA.

Nadat CBA is ingeschakeld voor de tenant, zien alle gebruikers in de tenant de optie om zich aan te melden met behulp van een certificaat. Alleen gebruikers die CBA kunnen gebruiken, kunnen zich verifiëren met behulp van een X.509-certificaat.

Notitie

De netwerkbeheerder moet toegang tot het eindpunt voor certificaatverificatie toestaan voor de cloudomgeving van de organisatie, naast het login.microsoftonline.com eindpunt. Schakel TLS-inspectie uit op het eindpunt voor certificaatverificatie om ervoor te zorgen dat de aanvraag voor het clientcertificaat slaagt als onderdeel van de TLS-handshake.

Stap 3: Een verificatiebindingsbeleid configureren

Een verificatiebindingsbeleid helpt bij het instellen van de sterkte van verificatie op één factor of op MFA. Het standaardbeveiligingsniveau voor alle certificaten op de tenant is verificatie met één factor.

De standaardaffiniteitsbinding op tenantniveau is lage affiniteit. Een verificatiebeleidsbeheerder kan de standaardwaarde wijzigen van verificatie met één factor in MFA. Als het beveiligingsniveau wordt gewijzigd, worden alle certificaten op de tenant ingesteld op MFA. Op dezelfde manier kan de affiniteitsbinding op tenantniveau worden ingesteld op hoge affiniteit. Alle certificaten worden vervolgens gevalideerd met behulp van alleen kenmerken met hoge affiniteit.

Belangrijk

Een beheerder moet de standaardinstelling van de tenant instellen op een waarde die van toepassing is op de meeste certificaten. Maak alleen aangepaste regels voor specifieke certificaten waarvoor een ander beveiligingsniveau of een andere affiniteitsbinding nodig is dan de standaardinstelling van de tenant. Alle configuraties van verificatiemethoden bevinden zich in hetzelfde beleidsbestand. Het maken van meerdere redundante regels kan de limiet voor het beleidsbestand overschrijden.

Verificatiebindingsregels wijzen certificaatkenmerken zoals Issuer, Policy Object ID (OID) en Issuer en Policy OID toe aan een opgegeven waarde. De regels stellen het standaardbeveiligingsniveau en de affiniteitsbinding voor die regel in.

Als u de standaardtenantinstellingen wilt wijzigen en aangepaste regels wilt maken via het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum met een account waaraan ten minste de rol Verificatiebeleidsbeheerder is toegewezen.

  2. Ga naar Beleid voor verificatiemethoden voor Entra-id's>>.

  3. Selecteer onder Migraties beherenverificatiemethoden>op basis van certificaten.

    Schermopname van het instellen van een verificatiebeleid.

  4. Als u verificatiebinding en gebruikersnaambinding wilt instellen, selecteert u Configureren.

  5. Als u de standaardwaarde wilt wijzigen in MFA, selecteert u Meervoudige verificatie. Het kenmerk beveiligingsniveau heeft een standaardwaarde voor verificatie met één factor.

    Notitie

    Het standaardbeveiligingsniveau is van kracht als er geen aangepaste regels worden toegevoegd. Als u een aangepaste regel toevoegt, wordt het beveiligingsniveau dat is gedefinieerd op regelniveau toegepast in plaats van het standaardbeveiligingsniveau.

    Schermopname van het wijzigen van het standaardverificatiebeleid in MFA.

  6. U kunt ook aangepaste verificatiebindingsregels instellen om te bepalen welk beveiligingsniveau voor clientcertificaten verschillende waarden nodig hebben voor beveiligingsniveau of affiniteitsbinding dan de standaardinstelling van de tenant. U kunt de regels configureren met behulp van het onderwerp van de verlener of de beleids-OID, of beide velden, in het certificaat.

    Verificatiebindingsregels wijzen de certificaatkenmerken (verlener of beleids-OID) toe aan een waarde. Met de waarde wordt het standaardbeveiligingsniveau voor die regel ingesteld. Er kunnen meerdere regels worden gemaakt. In het volgende voorbeeld wordt ervan uitgegaan dat de standaardinstelling van de tenant meervoudige verificatie is en Laag voor affiniteitsbinding.

    Als u aangepaste regels wilt toevoegen, selecteert u Regel toevoegen.

    Schermopname van het toevoegen van een aangepaste regel.

    Een regel maken op basis van certificaatverlener:

    1. Selecteer Certificaatverlener.

    2. Selecteer een relevante waarde voor de id van de certificaatverlener.

    3. Voor verificatiesterkte selecteert u Meervoudige verificatie.

    4. Selecteer Laag voor affiniteitsbinding.

    5. Selecteer Toevoegen.

    6. Wanneer u hierom wordt gevraagd, schakelt u het selectievakje I Acknowledge in om de regel toe te voegen.

      Schermopname van het toewijzen van een MFA-beleid aan een binding met hoge affiniteit.

    Een regel maken op basis van beleids-OID:

    1. Selecteer beleids-OID.

    2. Voer voor beleids-OID een waarde in.

    3. Voor verificatiesterkte selecteert u Verificatie met één factor.

    4. Voor affiniteitsbinding selecteert u Laag voor affiniteitsbinding.

    5. Selecteer Toevoegen.

    6. Wanneer u hierom wordt gevraagd, schakelt u het selectievakje I Acknowledge in om de regel toe te voegen.

      Schermopname van de toewijzing aan de beleids-OID met een binding met lage affiniteit.

    Een regel maken op basis van verlener en beleids-OID:

    1. Selecteer Certificaatverlener en Beleids-OID.

    2. Selecteer een verlener en voer de beleids-OID in.

    3. Voor verificatiesterkte selecteert u Meervoudige verificatie.

    4. Selecteer Laag voor affiniteitsbinding.

    5. Selecteer Toevoegen.

      Schermopname die laat zien hoe u een binding met lage affiniteit selecteert.

      Schermopname die laat zien hoe u een binding met lage affiniteit toevoegt.

    6. Verifiëren met een certificaat met een beleids-OID van 3.4.5.6 en wordt uitgegeven door CN=CBATestRootProd. Controleer of verificatie wordt doorgegeven voor een claim met meerdere factoren.

    Een regel maken op basis van verlener en serienummer:

    1. Voeg een verificatiebindingsbeleid toe. Het beleid vereist dat elk certificaat dat is uitgegeven door CN=CBATestRootProd een beleids-OID alleen 1.2.3.4.6 binding met hoge affiniteit nodig heeft. De uitgever en het serienummer worden gebruikt.

      Schermopname van de verlener en het serienummer die zijn toegevoegd in het Microsoft Entra-beheercentrum.

    2. Selecteer het certificaatveld. Voor dit voorbeeld selecteert u Verlener en serienummer.

      Schermopname die laat zien hoe u Issuer en serienummer selecteert.

    3. Het enige ondersteunde gebruikerskenmerk is certificateUserIds. Selecteer certificateUserIds en selecteer Toevoegen.

      Schermopname van het toevoegen van verleners en serienummers.

    4. Selecteer Opslaan.

      In het aanmeldingslogboek ziet u welke binding is gebruikt voor aanmelding en de details van het certificaat.

      Schermopname van de aanmeldingsgegevens.

  7. Selecteer OK om aangepaste regels op te slaan.

Belangrijk

Voer de beleids-OID in met behulp van de object-id-indeling. Als in het certificaatbeleid bijvoorbeeld Alle uitgiftebeleidsregels worden vermeld, voert u de beleids-OID in zoals 2.5.29.32.0 wanneer u de regel toevoegt. De tekenreeks Alle uitgiftebeleidsregels is ongeldig voor de regeleditor en wordt niet van kracht.

Stap 4: het bindingsbeleid voor gebruikersnaam configureren

Het bindingsbeleid voor gebruikersnamen helpt bij het valideren van het certificaat van een gebruiker. Als u standaard de gebruiker wilt bepalen, wijst u Principal Name toe aan het certificaat userPrincipalName in het gebruikersobject.

Een verificatiebeleidsbeheerder kan de standaardinstelling overschrijven en een aangepaste toewijzing maken. Zie Hoe binding van gebruikersnaam werkt voor meer informatie.

Zie Certificaatgebruikers-id's voor andere scenario's die gebruikmaken van het certificateUserIds kenmerk.

Belangrijk

Als een bindingsbeleid voor gebruikersnamen gesynchroniseerde kenmerken zoals certificateUserIds, onPremisesUserPrincipalNameen het userPrincipalName kenmerk van het gebruikersobject gebruikt, kunnen accounts met beheerdersmachtigingen in on-premises Windows Server Active Directory wijzigingen aanbrengen die van invloed zijn op deze kenmerken in Microsoft Entra-id. Accounts met gedelegeerde rechten voor gebruikersobjecten of een beheerdersrol op Microsoft Entra Connect Server kunnen bijvoorbeeld dit soort wijzigingen aanbrengen.

  1. Maak de gebruikersnaambinding door een van de X.509-certificaatvelden te kiezen om te verbinden met een van de gebruikerskenmerken. De volgorde van de gebruikersnaambinding vertegenwoordigt het prioriteitsniveau van de binding. De eerste gebruikersnaambinding heeft de hoogste prioriteit, enzovoort.

    Schermopname van een bindingsbeleid voor gebruikersnamen.

    Als het opgegeven X.509-certificaatveld op het certificaat wordt gevonden, maar Microsoft Entra ID geen gebruikersobject met een bijbehorende waarde vindt, mislukt de verificatie. Vervolgens probeert Microsoft Entra ID de volgende binding in de lijst.

  2. Selecteer Opslaan.

De uiteindelijke configuratie ziet er ongeveer als volgt uit:

Schermopname van de uiteindelijke configuratie.

Stap 5: uw configuratie testen

In deze sectie wordt beschreven hoe u uw certificaat en aangepaste regels voor verificatiebinding kunt testen.

Uw certificaat testen

Probeer u in de eerste configuratietest aan te melden bij de MyApps-portal met behulp van uw apparaatbrowser.

  1. Voer uw UPN (User Principal Name) in.

    Schermopname van de principal-naam van de gebruiker.

  2. Selecteer Volgende.

    Schermopname van een aanmelding met behulp van een certificaat.

    Als u andere verificatiemethoden beschikbaar hebt gemaakt, zoals telefoon-aanmelding of FIDO2, zien uw gebruikers mogelijk een ander aanmeldingsdialoogvenster.

    Schermopname van een alternatief aanmeldingsdialoogvenster.

  3. Kies Aanmelden met een certificaat.

  4. Selecteer het juiste gebruikerscertificaat in de gebruikersinterface van de clientcertificaatkiezer en selecteer OK.

    Schermopname van de gebruikersinterface van de certificaatkiezer.

  5. Controleer of u bent aangemeld bij de MyApps-portal.

Als uw aanmelding is geslaagd, weet u dat:

  • Het gebruikerscertificaat wordt ingericht op uw testapparaat.
  • Microsoft Entra-id is correct geconfigureerd voor het gebruik van vertrouwde CA's.
  • De gebruikersnaambinding is correct geconfigureerd. De gebruiker wordt gevonden en geverifieerd.

Aangepaste regels voor verificatiebinding testen

Voltooi vervolgens een scenario waarin u sterke verificatie valideert. U maakt twee verificatiebeleidsregels: één met behulp van een verlener die afhankelijk is van verificatie met één factor, en een andere met behulp van de beleids-OID om te voldoen aan meervoudige verificatie.

  1. Maak een onderwerpregel voor verleners met een beveiligingsniveau voor verificatie met één factor. Stel de waarde in op de onderwerpwaarde van uw CA.

    Voorbeeld:

    CN=WoodgroveCA

  2. Maak een beleids-OID-regel met een beveiligingsniveau voor meervoudige verificatie. Stel de waarde in op een van de beleids-OID's in uw certificaat. Een voorbeeld is 1.2.3.4.

    Schermopname van de beleids-OID-regel.

  3. Maak een Microsoft Entra-beleid voor voorwaardelijke toegang voor de gebruiker om MFA te vereisen. Voer de stappen uit die worden beschreven in voorwaardelijke toegang: MFA vereisen.

  4. Ga naar de MyApps-portal. Voer uw UPN in en selecteer Volgende.

    Schermopname van de principal-naam van de gebruiker.

  5. Selecteer Een certificaat of smartcard gebruiken.

    Schermopname van aanmelden met behulp van een certificaat.

    Als u andere verificatiemethoden beschikbaar hebt gemaakt, zoals telefoon-aanmelding of beveiligingssleutels, zien uw gebruikers mogelijk een ander aanmeldingsdialoogvenster.

    Schermopname van de alternatieve aanmelding.

  6. Selecteer het clientcertificaat en selecteer vervolgens Certificaatgegevens.

    Schermopname van de clientkiezer.

    Het certificaat wordt weergegeven en u kunt de verlener en beleids-OID-waarden controleren.

    Schermopname van de verlener.

  7. Als u beleids-OID-waarden wilt zien, selecteert u Details.

    Schermopname van de verificatiegegevens.

  8. Selecteer het clientcertificaat en selecteer OK.

De beleids-OID in het certificaat komt overeen met de geconfigureerde waarde van 1.2.3.4 en voldoet aan MFA. De verlener in het certificaat komt overeen met de geconfigureerde waarde van CN=WoodgroveCA en voldoet aan verificatie met één factor.

Omdat de beleids-OID-regel voorrang heeft op de verlenerregel, voldoet het certificaat aan MFA.

Het beleid voor voorwaardelijke toegang voor de gebruiker vereist MFA en het certificaat voldoet aan MFA, zodat de gebruiker zich kan aanmelden bij de toepassing.

Het bindingsbeleid voor gebruikersnaam testen

Het bindingsbeleid voor gebruikersnaam helpt het certificaat van de gebruiker te valideren. Er worden drie bindingen ondersteund voor het bindingsbeleid voor gebruikersnaam:

  • IssuerAndSerialNumber > certificateUserIds
  • IssuerAndSubject > certificateUserIds
  • Subject > certificateUserIds

Standaard wijst Microsoft Entra ID Principal Name toe aan het certificaat userPrincipalName in het gebruikersobject om de gebruiker te bepalen. Een verificatiebeleidsbeheerder kan de standaardinstelling overschrijven en een aangepaste toewijzing maken zoals eerder is beschreven.

Een verificatiebeleidsbeheerder moet de nieuwe bindingen instellen. Voor de voorbereiding moeten ze ervoor zorgen dat de juiste waarden voor de bijbehorende gebruikersnaambindingen worden bijgewerkt in het certificateUserIds kenmerk van het gebruikersobject:

Belangrijk

De notatie van de waarden van Issuer, Subject en Serial number moet in de omgekeerde volgorde van de notatie in het certificaat staan. Voeg geen spaties toe in de waarden Verlener of Onderwerp .

Handmatige toewijzing van verleners en serienummers

In het volgende voorbeeld ziet u de handmatige toewijzing van verleners en serienummers.

De waarde van de verlener die moet worden toegevoegd, is:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Schermopname van handmatige toewijzing voor de waarde Verlener.

Voer de volgende opdracht uit om de juiste waarde voor het serienummer op te halen. Sla de waarde op die wordt weergegeven in certificateUserIds.

De syntaxis van de opdracht is:

certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Voorbeeld:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Hier volgt een voorbeeld voor de certutil opdracht:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

De waarde van het serienummer dat moet worden toegevoegd certificateUserId , is:

b24134139f069b49997212a86ba0ef48

De certificateUserIds waarde is:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Verlener en handmatige toewijzing van onderwerp

In het volgende voorbeeld ziet u de handmatige toewijzing van verleners en onderwerpen.

De waarde van de verlener is:

Schermopname van de waarde Verlener wanneer deze wordt gebruikt met meerdere bindingen.

De waarde Onderwerp is:

Schermopname van de waarde Onderwerp.

De certificateUserId waarde is:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Handmatige toewijzing van onderwerp

In het volgende voorbeeld ziet u handmatige toewijzing van onderwerpen.

De waarde Onderwerp is:

Schermopname van een andere onderwerpwaarde.

De certificateUserIds waarde is:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

De affiniteitsbinding testen

  1. Meld u aan bij het Microsoft Entra-beheercentrum met een account waaraan ten minste de rol Verificatiebeleidsbeheerder is toegewezen.

  2. Ga naar Beleid voor verificatiemethoden voor Entra-id's>>.

  3. Selecteer verificatiemethoden>op basis van certificaten onder Beheren.

  4. Selecteer Configureren.

  5. Stel vereiste affiniteitsbinding in op tenantniveau.

    Belangrijk

    Wees voorzichtig met de affiniteitinstelling voor de gehele tenant. U kunt de hele tenant vergrendelen als u de waarde vereiste affiniteitsbinding voor de tenant wijzigt en u geen juiste waarden in het gebruikersobject hebt. Als u ook een aangepaste regel maakt die van toepassing is op alle gebruikers en een binding met hoge affiniteit vereist, zijn gebruikers in de tenant mogelijk vergrendeld.

    Schermopname van het instellen van de vereiste affiniteitsbinding.

  6. Als u wilt testen, selecteert u Laag voor vereiste affiniteitsbinding.

  7. Voeg een binding met hoge affiniteit toe, zoals de onderwerpsleutel-id (SKI). Selecteer onder Gebruikersnaambindingde optie Regel toevoegen.

  8. Selecteer SKI en selecteer Toevoegen.

    Schermopname van het toevoegen van een affiniteitsbinding.

    Wanneer u klaar bent, ziet de regel er ongeveer als volgt uit:

    Schermopname van een voltooide affiniteitsbinding.

  9. Werk voor alle gebruikersobjecten het certificateUserIds kenmerk bij met de juiste SKI-waarde van het gebruikerscertificaat.

    Zie Ondersteunde patronen voor CertificateUserIDs voor meer informatie.

  10. Maak een aangepaste regel voor verificatiebinding.

  11. Selecteer Toevoegen.

    Schermopname van een aangepaste verificatiebinding.

    Controleer of de voltooide regel er ongeveer uitziet als in dit voorbeeld:

    Schermopname van een aangepaste regel.

  12. Werk de gebruikerswaarde certificateUserIds bij met de juiste SKI-waarde van het certificaat en de beleids-OID van 9.8.7.5.

  13. Test met behulp van een certificaat met beleids-OID van 9.8.7.5. Controleer of de gebruiker is geverifieerd met de SKI-binding en of deze wordt gevraagd zich aan te melden met MFA en alleen het certificaat.

CBA instellen met behulp van Microsoft Graph-API's

CBA instellen en gebruikersnaambindingen configureren met behulp van Microsoft Graph-API's:

  1. Ga naar Microsoft Graph Explorer.

  2. Selecteer Aanmelden bij Graph Explorer en meld u aan bij uw tenant.

  3. Volg de stappen om toestemming te geven voor de Policy.ReadWrite.AuthenticationMethod gedelegeerde machtiging.

  4. Alle verificatiemethoden ophalen:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. Haal de configuratie voor de X.509-verificatiemethode op:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Standaard is de verificatiemethode voor X.509-certificaten uitgeschakeld. Als u gebruikers wilt toestaan zich aan te melden met behulp van een certificaat, moet u de verificatiemethode inschakelen en het beleid voor verificatie- en gebruikersnaambinding configureren via een updatebewerking. Voer een aanvraag uit om het beleid bij PATCH te werken.

    Inhoud van het verzoek

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Controleer of een 204 No content antwoordcode wordt geretourneerd. Voer de GET aanvraag opnieuw uit om ervoor te zorgen dat het beleid correct wordt bijgewerkt.

  8. Test de configuratie door u aan te melden met een certificaat dat voldoet aan het beleid.

CBA instellen met behulp van Microsoft PowerShell

  1. Open PowerShell.

  2. Verbinding maken met Microsoft Graph:

    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"

  3. Maak een variabele voor het definiëren van een groep voor CBA-gebruikers:

    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"

  4. Definieer de aanvraagbody:

    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5

  5. Voer de PATCH aanvraag uit:

    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Verwante inhoud

  • Last updated on