Omówienie uwierzytelniania opartego na certyfikatach firmy Microsoft
Uwierzytelnianie oparte na certyfikatach firmy Microsoft (CBA) umożliwia klientom zezwolenie lub wymaganie od użytkowników uwierzytelniania bezpośrednio przy użyciu certyfikatów X.509 względem identyfikatora Entra firmy Microsoft dla aplikacji i logowania w przeglądarce. Ta funkcja umożliwia klientom wdrażanie uwierzytelniania odpornego na wyłudzanie informacji i uwierzytelnianie za pomocą certyfikatu X.509 względem infrastruktury kluczy publicznych (PKI).
Co to jest Microsoft Entra CBA?
Przed obsługą cba zarządzanej przez chmurę dla identyfikatora Entra firmy Microsoft klienci musieli zaimplementować uwierzytelnianie oparte na certyfikatach federacyjnych, co wymaga wdrożenia usług Active Directory Federation Services (AD FS), aby móc uwierzytelniać się przy użyciu certyfikatów X.509 względem identyfikatora Entra firmy Microsoft. W przypadku uwierzytelniania opartego na certyfikatach firmy Microsoft klienci mogą uwierzytelniać się bezpośrednio względem identyfikatora Entra firmy Microsoft i wyeliminować potrzebę federacyjnych usług AD FS, z uproszczonymi środowiskami klientów i redukcją kosztów.
Na poniższych obrazach pokazano, jak firma Microsoft Entra CBA upraszcza środowisko klienta, eliminując federacyjne usługi AD FS.
Uwierzytelnianie oparte na certyfikatach z federacyjnymi usługami AD FS
Uwierzytelnianie oparte na certyfikatach firmy Microsoft
Najważniejsze korzyści wynikające z korzystania z usługi Microsoft Entra CBA
| Świadczenia | opis |
|---|---|
| Fantastyczne środowisko pracy użytkownika | — Użytkownicy, którzy potrzebują uwierzytelniania opartego na certyfikatach, mogą teraz bezpośrednio uwierzytelniać się w usłudze Microsoft Entra ID i nie muszą inwestować w federacyjne usługi AD FS. — Interfejs użytkownika portalu umożliwia użytkownikom łatwe konfigurowanie sposobu mapowania pól certyfikatu na atrybut obiektu użytkownika w celu wyszukania użytkownika w dzierżawie (powiązania nazwy użytkownika certyfikatu) — Interfejs użytkownika portalu służący do konfigurowania zasad uwierzytelniania w celu określenia, które certyfikaty są jednoskładnikowe i wieloskładnikowe. |
| Łatwe wdrażanie i administrowanie | - Microsoft Entra CBA jest bezpłatną funkcją i nie potrzebujesz żadnych płatnych wersji microsoft Entra ID, aby z niego korzystać. — Nie ma potrzeby złożonych wdrożeń lokalnych ani konfiguracji sieci. — Bezpośrednie uwierzytelnianie względem identyfikatora Entra firmy Microsoft. |
| Zabezpieczanie | — Hasła lokalne nie muszą być przechowywane w chmurze w żadnej formie. — Chroni konta użytkowników, bezproblemowo współpracując z zasadami dostępu warunkowego firmy Microsoft Entra, w tym uwierzytelnianiem wieloskładnikowym odpornym na wyłudzanie informacji (uwierzytelnianie wieloskładnikowe wymaga licencjonowanej wersji) i blokowanie starszego uwierzytelniania. — Obsługa silnego uwierzytelniania, w której użytkownicy mogą definiować zasady uwierzytelniania za pomocą pól certyfikatów, takich jak identyfikatory wystawcy lub identyfikatory zasad (identyfikatory obiektów), aby określić, które certyfikaty kwalifikują się jako pojedyncze elementy i wieloskładnikowe. — Funkcja bezproblemowo współpracuje z funkcjami dostępu warunkowego i siłą uwierzytelniania, aby wymusić uwierzytelnianie wieloskładnikowe w celu zabezpieczenia użytkowników. |
Obsługiwane scenariusze
Obsługiwane są następujące scenariusze:
- Logowania użytkowników do aplikacji opartych na przeglądarce internetowej na wszystkich platformach.
- Logowania użytkowników do aplikacji mobilnych pakietu Office na platformach iOS/Android, a także natywnych aplikacji pakietu Office w systemie Windows, w tym Outlook, OneDrive itd.
- Logowania użytkowników w przeglądarkach natywnych dla urządzeń przenośnych.
- Obsługa szczegółowych reguł uwierzytelniania na potrzeby uwierzytelniania wieloskładnikowego przy użyciu identyfikatorów OPERACYJNEGO podmiotu i zasad wystawcy certyfikatów.
- Konfigurowanie powiązań konta certyfikatu do użytkownika przy użyciu dowolnego pola certyfikatu:
- Nazwa podmiotu ( SAN) PrincipalName i SAN RFC822Name
- Identyfikator klucza podmiotu (SKI) i SHA1PublicKey
- Wystawca + podmiot, podmiot i wystawca + numer seryjny
- Konfigurowanie powiązań konta certyfikatu do użytkownika przy użyciu dowolnych atrybutów obiektu użytkownika:
- Główna nazwa użytkownika
- onPremisesUserPrincipalName
- Identyfikatory użytkownika certyfikatu
Nieobsługiwane scenariusze
Następujące scenariusze nie są obsługiwane:
- Wskazówki dotyczące urzędu certyfikacji nie są obsługiwane, dlatego lista certyfikatów wyświetlanych dla użytkowników w interfejsie użytkownika selektora certyfikatów nie jest ograniczona.
- Obsługiwany jest tylko jeden punkt dystrybucji listy CRL (CDP) dla zaufanego urzędu certyfikacji.
- CdP może być tylko adresami URL HTTP. Nie obsługujemy adresów URL protokołu OCSP (Online Certificate Status Protocol) ani Lightweight Directory Access Protocol (LDAP).
- Nie można wyłączyć hasła jako metody uwierzytelniania, a opcja logowania przy użyciu hasła jest wyświetlana nawet przy użyciu metody Microsoft Entra CBA dostępnej dla użytkownika.
Znane ograniczenie dotyczące certyfikatów usługi Windows Hello dla firm
- Chociaż funkcja Windows Hello dla firm (WHFB) może służyć do uwierzytelniania wieloskładnikowego w usłudze Microsoft Entra ID, funkcja WHFB nie jest obsługiwana w przypadku nowej uwierzytelniania wieloskładnikowego. Klienci mogą wybrać rejestrację certyfikatów dla użytkowników przy użyciu pary kluczy WHFB. W przypadku prawidłowego skonfigurowania tych certyfikatów WHFB można używać do uwierzytelniania wieloskładnikowego w usłudze Microsoft Entra ID. Certyfikaty WHFB są zgodne z uwierzytelnianiem opartym na certyfikatach firmy Microsoft (CBA) w przeglądarkach Edge i Chrome; jednak obecnie certyfikaty WHFB nie są zgodne z firmą Microsoft Entra CBA w scenariuszach innych niż przeglądarki (np. aplikacje usługi Office 365). Obejście polega na użyciu opcji "Zaloguj się w funkcji Windows Hello lub klucza zabezpieczeń", aby zalogować się (jeśli jest dostępna), ponieważ ta opcja nie używa certyfikatów do uwierzytelniania i unika problemu z usługą Microsoft Entra CBA; jednak ta opcja może nie być dostępna w niektórych starszych aplikacjach.
Poza zakresem
Następujące scenariusze są poza zakresem firmy Microsoft Entra CBA:
- Infrastruktura kluczy publicznych do tworzenia certyfikatów klienta. Klienci muszą skonfigurować własną infrastrukturę kluczy publicznych (PKI) i aprowizować certyfikaty dla użytkowników i urządzeń.
Następne kroki
- Szczegółowe informacje techniczne dotyczące usługi Microsoft Entra CBA
- Jak skonfigurować usługę Microsoft Entra CBA
- Microsoft Entra CBA na urządzeniach z systemem iOS
- Microsoft Entra CBA na urządzeniach z systemem Android
- Logowanie za pomocą karty inteligentnej systemu Windows przy użyciu usługi Microsoft Entra CBA
- Identyfikatory użytkownika certyfikatu
- Jak migrować użytkowników federacyjnych
- Często zadawane pytania