Niestandardowe siły uwierzytelniania dostępu warunkowego
Administracja istratory mogą również utworzyć do 15 własnych niestandardowych mocnych stron uwierzytelniania, aby dokładnie dopasować je do swoich wymagań. Siła uwierzytelniania niestandardowego może zawierać dowolną z obsługiwanych kombinacji w poprzedniej tabeli.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja istrator.
Przejdź do strony Ochrona>metod>uwierzytelniania Mocnych stron uwierzytelniania.
Wybierz pozycję Nowa siła uwierzytelniania.
Podaj opisową nazwę nowej siły uwierzytelniania.
Opcjonalnie podaj opis.
Wybierz dowolną z dostępnych metod, które chcesz zezwolić.
Wybierz pozycję Dalej i przejrzyj konfigurację zasad.
Aktualizowanie i usuwanie mocnych stron uwierzytelniania niestandardowego
Możesz edytować siłę uwierzytelniania niestandardowego. Jeśli odwołuje się do niej zasady dostępu warunkowego, nie można go usunąć i musisz potwierdzić dowolną edycję. Aby sprawdzić, czy siła uwierzytelniania jest przywołyowana przez zasady dostępu warunkowego, kliknij kolumnę Zasady dostępu warunkowego.
Opcje zaawansowane klucza zabezpieczeń FIDO2
Można ograniczyć użycie kluczy zabezpieczeń FIDO2 na podstawie ich identyfikatorów GUID zaświadczania authenticatora (AAGUID). Ta funkcja umożliwia administratorom wymaganie klucza zabezpieczeń FIDO2 od określonego producenta w celu uzyskania dostępu do zasobu. Aby wymagać określonego klucza zabezpieczeń FIDO2, najpierw utwórz siłę uwierzytelniania niestandardowego. Następnie wybierz pozycję Klucz zabezpieczeń FIDO2, a następnie kliknij pozycję Opcje zaawansowane.
Obok pozycji Dozwolone klucze FIDO2 kliknij pozycję +, skopiuj wartość AAGUID, a następnie kliknij przycisk Zapisz.
Zaawansowane opcje uwierzytelniania opartego na certyfikatach
W zasadach Metody uwierzytelniania można skonfigurować, czy certyfikaty są powiązane w systemie z poziomami ochrony uwierzytelniania jednoskładnikowego lub wieloskładnikowego na podstawie identyfikatora OID wystawcy certyfikatu lub zasad. Można również wymagać certyfikatów uwierzytelniania jednoskładnikowego lub wieloskładnikowego dla określonych zasobów na podstawie zasad siły uwierzytelniania dostępu warunkowego.
Korzystając z zaawansowanych opcji siły uwierzytelniania, można wymagać określonego wystawcy certyfikatu lub identyfikatora OID zasad, aby dodatkowo ograniczyć logowania do aplikacji.
Na przykład firma Contoso wystawia karty inteligentne pracownikom z trzema różnymi typami certyfikatów wieloskładnikowych. Jeden certyfikat jest przeznaczony do poufnego poświadczenia, drugi do poświadczenia tajnego, a trzeci jest do najwyższego poświadczenia tajnego. Każdy z nich jest rozróżniany przez właściwości certyfikatu, takie jak identyfikator OID zasad lub wystawca. Firma Contoso chce mieć pewność, że tylko użytkownicy z odpowiednim certyfikatem wieloskładnikowym mogą uzyskiwać dostęp do danych dla każdej klasyfikacji.
W następnych sekcjach pokazano, jak skonfigurować zaawansowane opcje dla cba przy użyciu centrum administracyjnego firmy Microsoft Entra i programu Microsoft Graph.
Centrum administracyjne Microsoft Entra
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja istrator.
Przejdź do strony Ochrona>metod>uwierzytelniania Mocnych stron uwierzytelniania.
Wybierz pozycję Nowa siła uwierzytelniania.
Podaj opisową nazwę nowej siły uwierzytelniania.
Opcjonalnie podaj opis.
Poniżej pozycji Uwierzytelnianie oparte na certyfikatach (jednoskładnikowe lub wieloskładnikowe) kliknij pozycję Opcje zaawansowane.
Możesz wybrać wystawców certyfikatów z menu rozwijanego, wpisać wystawców certyfikatów i wpisać dozwolone identyfikatory operacyjnego zasad. Menu rozwijane zawiera listę wszystkich urzędów certyfikacji z dzierżawy niezależnie od tego, czy są one jednoskładnikowe, czy wieloskładnikowe.
- Jeśli skonfigurowano zarówno dozwolonego wystawcę certyfikatu, jak i dozwolone identyfikatory OID zasad, istnieje relacja AND. Użytkownik musi użyć certyfikatu spełniającego oba warunki.
- Między listą Dozwolony wystawca certyfikatów a listą Dozwolony identyfikator OID zasad istnieje relacja OR. Użytkownik musi użyć certyfikatu spełniającego jeden z identyfikatorów operacyjnego wystawców lub zasad.
- Użyj innego wystawcy certyfikatu według PodmiotkeyIdentifier , jeśli certyfikat, którego chcesz użyć, nie zostanie przekazany do urzędów certyfikacji w dzierżawie. To ustawienie może być używane w scenariuszach użytkownika zewnętrznego, jeśli użytkownik uwierzytelnia się w dzierżawie macierzystej.
Kliknij przycisk Dalej , aby przejrzeć konfigurację, a następnie kliknij przycisk Utwórz.
Microsoft Graph
Aby utworzyć nowe zasady siły uwierzytelniania dostępu warunkowego za pomocą kombinacji certyfikatówKonfiguracja:
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
Aby dodać nową kombinacjęKonfiguracja do istniejących zasad:
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
Ograniczenia
Opcje zaawansowane klucza zabezpieczeń FIDO2
- Opcje zaawansowane klucza zabezpieczeń FIDO2 — opcje zaawansowane nie są obsługiwane dla użytkowników zewnętrznych z dzierżawą domową, która znajduje się w innej chmurze firmy Microsoft niż dzierżawa zasobów.
Zaawansowane opcje uwierzytelniania opartego na certyfikatach
W każdej sesji przeglądarki można używać tylko jednego certyfikatu. Po zalogowaniu się przy użyciu certyfikatu jest on buforowany w przeglądarce przez czas trwania sesji. Nie zostanie wyświetlony monit o wybranie innego certyfikatu, jeśli nie spełnia wymagań dotyczących siły uwierzytelniania. Musisz wylogować się i zalogować się ponownie, aby ponownie uruchomić sesję. Następnie wybierz odpowiedni certyfikat.
Urzędy certyfikacji i certyfikaty użytkowników powinny być zgodne ze standardem X.509 v3. W szczególności w celu wymuszenia ograniczeń wystawcy SKI CBA certyfikaty wymagają prawidłowych interfejsów AKI:
Uwaga
Jeśli certyfikat nie jest zgodny, uwierzytelnianie użytkownika może zakończyć się powodzeniem, ale nie spełnia ograniczeń wystawcyOgraniczenia dotyczące zasad siły uwierzytelniania.
Podczas logowania są brane pod uwagę pierwsze 5 identyfikatorów operacyjnego zasad z certyfikatu użytkownika końcowego i w porównaniu z identyfikatorami OID zasad skonfigurowanymi w zasadach siły uwierzytelniania. Jeśli certyfikat użytkownika końcowego ma więcej niż 5 identyfikatorów OID zasad, pierwsze 5 identyfikatorów OID zasad w kolejności leksykalnej, które spełniają wymagania dotyczące siły uwierzytelniania, są brane pod uwagę.
W przypadku użytkowników B2B weźmy przykład, w którym firma Contoso zaprosiła użytkowników z firmy Fabrikam do swojej dzierżawy. W takim przypadku firma Contoso jest dzierżawą zasobów, a firma Fabrikam jest dzierżawą główną.
- Jeśli ustawienie dostępu między dzierżawami jest wyłączone (firma Contoso nie akceptuje uwierzytelniania wieloskładnikowego wykonywanego przez dzierżawę domową) — używanie uwierzytelniania opartego na certyfikatach w dzierżawie zasobów nie jest obsługiwane.
- Gdy ustawienie dostępu między dzierżawami jest włączone, firmy Fabrikam i Contoso znajdują się w tej samej chmurze firmy Microsoft, co oznacza, że dzierżawy firmy Fabrikam i Contoso znajdują się w chmurze komercyjnej platformy Azure lub na platformie Azure dla chmury dla instytucji rządowych USA. Ponadto firma Contoso ufa usłudze MFA, która została wykonana w dzierżawie głównej. W tym przypadku:
- Dostęp do określonego zasobu można ograniczyć przy użyciu identyfikatorów operacyjnego zasad lub "innego wystawcy certyfikatu według PodmiotkeyIdentifier" w zasadach siły uwierzytelniania niestandardowego.
- Dostęp do określonych zasobów można ograniczyć przy użyciu ustawienia "Inny wystawca certyfikatu według podmiotuIdentifier" w zasadach siły uwierzytelniania niestandardowego.
- Jeśli ustawienie dostępu między dzierżawami jest włączone, firma Fabrikam i firma Contoso nie są w tej samej chmurze firmy Microsoft — na przykład dzierżawa firmy Fabrikam znajduje się w chmurze komercyjnej platformy Azure, a dzierżawa firmy Contoso znajduje się na platformie Azure dla chmury dla instytucji rządowych USA — dostęp do określonych zasobów nie może być ograniczony przy użyciu identyfikatora wystawcy lub identyfikatorów URI zasad w niestandardowych zasadach siły uwierzytelniania.
Rozwiązywanie problemów z opcjami zaawansowanymi siły uwierzytelniania
Użytkownicy nie mogą zalogować się przy użyciu klucza zabezpieczeń FIDO2
Administracja istrator dostępu warunkowego może ograniczyć dostęp do określonych kluczy zabezpieczeń. Gdy użytkownik spróbuje zalogować się przy użyciu klucza, którego nie może użyć, zostanie wyświetlony komunikat Nie można dostać się tam z tego miejsca . Użytkownik musi ponownie uruchomić sesję i zalogować się przy użyciu innego klucza zabezpieczeń FIDO2.
Jak sprawdzić identyfikatory operacyjnego i wystawcę zasad certyfikatów
Możesz potwierdzić, że właściwości certyfikatu osobistego są zgodne z konfiguracją w opcjach zaawansowanych siły uwierzytelniania.
Na urządzeniu użytkownika zaloguj się jako Administracja istrator. Kliknij przycisk Uruchom, wpisz certmgr.msc, a następnie naciśnij klawisz Enter. Aby sprawdzić identyfikatory operacyjnego zasad, kliknij pozycję Osobiste, kliknij prawym przyciskiem myszy certyfikat i kliknij pozycję Szczegóły.
