Mapeando ao atributo certificateUserIds no Microsoft Entra ID

  • Artigo

Os objetos de usuário do Microsoft Entra ID podem ter um atributo de vários valores chamado certificateUserIds.

  • O atributo certificateUserIds tem vários valores e pode acomodar até 5 valores.
  • Cada valor não pode ter mais de 1024 caracteres.
  • Cada valor deve ser único. Quando um valor está presente em uma conta de usuário, ele não pode ser gravado em nenhuma outra conta de usuário no mesmo locatário do Entra ID.
  • O valor não precisa estar no formato de ID de e-mail. O atributo certificateUserIds pode armazenar UPNs (nomes principais de segurança) não roteáveis, como bob@woodgrove ou bob@local.

Observação

Embora cada valor deva ser exclusivo no Entra ID, você pode mapear um único certificado em várias contas implementando várias associações de nome de usuário. Para obter mais informações, consulte Associações de vários nomes de usuário.

Padrões com suporte para IDs de usuário de certificado

Os valores armazenados em certificateUserIds deverão estar no formato descrito na tabela a seguir. Os prefixos X509:<Mapping> diferenciam maiúsculas de minúsculas.

Campo de mapeamento de certificado Exemplos de valores em certificateUserIds
PrincipalName X509:<PN>bob@woodgrove.com
PrincipalName X509:<PN>bob@woodgrove
RFC822Name X509:<RFC822>user@woodgrove.com
IssuerAndSubject X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
Assunto X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
SKI X509:<SKI>123456789abcdef
SHA1PublicKey X509:<SHA1-PUKEY>123456789abcdef
IssuerAndSerialNumber X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>b24134139f069b49997212a86ba0ef48
Para obter o valor correto para o número de série, execute este comando e armazene o valor mostrado em certificateUserIds:
Sintaxe:
Certutil –dump –v [~certificate path~] >> [~dumpFile path~]
Exemplo:
certutil -dump -v firstusercert.cer >> firstCertDump.txt

Funções para atualizar certificateUserIds

Os usuários somente na nuvem devem ter pelo menos a função de Administrador de Autenticação Privilegiada para atualizar certificateUserIds. Os usuários somente na nuvem podem usar o centro de administração do Microsoft Entra ou o Microsoft Graph para atualizar os certificateUserIds.

Os usuários sincronizados devem ter pelo menos a função de Administrador de Identidade Híbrida para atualizar certificateUserIds. Somente o Microsoft Entra Connect pode ser usado para atualizar certificateUserIds sincronizando o valor do local.

Observação

Os administradores do Active Directory podem fazer alterações que afetam o valor de certificateUserIds no Microsoft Entra ID para qualquer conta sincronizada. Os administradores podem incluir contas com privilégios administrativos delegados sobre contas de usuário sincronizadas ou direitos administrativos sobre os servidores do Microsoft Entra Connect.

Atualizar certificateUserIds

Use as seguintes etapas para atualizar certificateUserIds para usuários:

  1. Entre no centro de administração do Microsoft Entra pelo menos como um Administrador de Autenticação Privilegiada para usuários somente na nuvem ou pelo menos como um Administrador de Identidade Híbrida para usuários sincronizados.

  2. Pesquise e selecione Todos os usuários.

    Captura de tela da conta de usuário de teste.

  3. Clique em um usuário e, em seguida, clique em Editar Propriedades.

  4. Ao lado de Informações de autorização, clique em Exibir.

    Captura de tela de Exibir informações de autorização.

  5. Clique em Editar IDs de usuário de certificado.

    Captura de tela de Editar IDs de usuário de certificado.

  6. Clique em Adicionar.

    Captura de tela de como adicionar um certificateUserIds.

  7. Insira o valor e clique em Salvar. É possível adicionar até quatro valores, cada um com 120 caracteres.

    Captura de tela de um valor a ser inserido para certificateUserIds.

Atualizar certificateUserIds usando consultas do Microsoft Graph

Os exemplos a seguir mostram como usar o Microsoft Graph para procurar certificateUserIds e atualizá-los.

Pesquisar certificateUserIds

Chamadores autorizados podem executar consultas do Microsoft Graph para encontrar todos os usuários com um determinado valor de certificadoUserId. No objeto de usuário do Microsoft Graph, a coleção de certificateUserIds é armazenada na propriedade authorizationInfo.

Para recuperar certificateUserIds de todos os objetos de usuário:

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo
ConsistencyLevel: eventual

Para recuperar certificateUserIds para um determinado usuário pelo ObjectId do usuário:

GET https://graph.microsoft.com/v1.0/users/{user-object-id}?$select=authorizationinfo
ConsistencyLevel: eventual

Para recuperar o objeto de usuário com um valor específico em certificateUserIds:

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo&$filter=authorizationInfo/certificateUserIds/any(x:x eq 'X509:<PN>user@contoso.com')&$count=true
ConsistencyLevel: eventual

Você também pode usar os operadores not e startsWith para corresponder à condição de filtro. Para filtrar o objeto certificateUserIds, a solicitação deve incluir a sequência de consulta $count=true e o cabeçalho ConsistencyLevel deve ser definido como eventual.

Atualizar certificateUserIds

Execute uma solicitação PATCH para atualizar o certificateUserIds para um determinado usuário.

Corpo da solicitação

PATCH https://graph.microsoft.com/v1.0/users/{user-object-id}
Content-Type: application/json
{
    "authorizationInfo": {
        "certificateUserIds": [
            "X509:<PN>123456789098765@mil"
        ]
    }
}

Atualizar certificateUserIds usando comandos do PowerShell

Para esta configuração, é possível usar o PowerShell do Microsoft Graph.

  1. Inicie o PowerShell com privilégios de administrador.

  2. Instale e importe o SDK do Microsoft Graph PowerShell.

        Install-Module Microsoft.Graph -Scope AllUsers
    Import-Module Microsoft.Graph.Authentication
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Conecte-se ao locatário e aceite tudo.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

  4. Liste o atributo certificateUserIds de um determinado usuário.

      $results = Invoke-MGGraphRequest -Method get -Uri 'https://graph.microsoft.com/v1.0/users/<userId>?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' }
  #list certificateUserIds
  $results.authorizationInfo

  5. Crie uma variável com valores de certificateUserIds.

      #Create a new variable to prepare the change. Ensure that you list any existing values you want to keep as this operation will overwrite the existing value
  $params = @{
        authorizationInfo = @{
              certificateUserIds = @(
              "X509:<SKI>eec6b88788d2770a01e01775ce71f1125cd6ad0f", 
              "X509:<PN>user@contoso.com"
              )
        }
  }

  6. Atualize o atributo certificateUserIds.

       $results = Invoke-MGGraphRequest -Method patch -Uri 'https://graph.microsoft.com/v1.0/users/<UserId>/?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' } -Body $params

Atualizar certificateUserIds usando um objeto de usuário

  1. Obtenha o objeto de usuário.

      $userObjectId = "6b2d3bd3-b078-4f46-ac53-f862f35e10b6"
  $user = Get-MgUser -UserId $userObjectId -Property AuthorizationInfo

  2. Atualize o atributo certificateUserIds do objeto de usuário.

       $user.AuthorizationInfo.certificateUserIds = @("X509:<SKI>eec6b88788d2770a01e01775ce71f1125cd6ad0f", "X509:<PN>user1@contoso.com") 
   Update-MgUser -UserId $userObjectId -AuthorizationInfo $user.AuthorizationInfo

Atualize os certificateUserIds usando o Microsoft Entra Connect

O Microsoft Entra Connect oferece suporte à sincronização de valores para certificateUserIds de um ambiente de Active Directory local. O Active Directory local oferece suporte à autenticação baseada em certificado e a várias associações de nome de usuário. Use a última versão do Microsoft Entra Connect.

Para usar esses métodos de mapeamento, é necessário preencher o atributo altSecurityIdentities dos objetos de usuário no Active Directory local. Além disso, após aplicar alterações de autenticação baseada em certificado em controladores de domínio do Windows, conforme descrito em KB5014754, você pode ter implementado alguns dos métodos de mapeamento não reutilizáveis (Type=strong) para atender aos requisitos de imposição de associação de certificado forte do Active Directory local.

Para evitar erros de sincronização, verifique se os valores que estão sendo sincronizados seguem um dos formatos com suporte para o certificateUserIds.

Antes de começar, verifique se todas as contas de usuário sincronizadas do Active Directory local têm:

  • 5 valores ou menos em seus atributos altSecurityIdentities

  • Nenhum valor com mais de 1024 caracteres

  • Nenhum valor duplicado

    Considere cuidadosamente se um valor duplicado se destina a mapear um único certificado para várias contas locais do Active Directory. Para obter mais informações, consulte Associações de vários nomes de usuário.

    Observação

    Em cenários específicos, um subconjunto de usuários pode ter uma justificativa comercial válida para mapear um único certificado para mais de uma conta do Active Directory local. Analise esses cenários e, quando necessário, implemente métodos de mapeamento separados para mapear para mais de uma conta no Active Directory local e no Entra ID.

Considerações para sincronização contínua de certificateUserIds

  • Certifique-se de que o processo de provisionamento para preencher os valores no Active Directory local implemente as medidas de higiene adequadas. Somente os valores associados aos certificados válidos atuais são preenchidos.
  • Os valores são removidos quando o certificado correspondente expira ou é revogado.
  • Valores maiores que 1024 caracteres não são preenchidos.
  • Valores duplicados não são provisionados.
  • Use o Microsoft Entra Connect Health para monitorar a sincronização.

Siga estas etapas para configurar o Microsoft Entra Connect para sincronizar userPrincipalName com certificateUserIds:

  1. No servidor do Microsoft Entra Connect, encontre e inicie o Editor de Regras de Sincronização.

  2. Clique em Direção e, em seguida, clique em Saída.

    Captura de tela da regra de sincronização de saída.

  3. Localize a regra Para o Microsoft Entra ID – Identidade de Usuário, clique em Editar e em Sim para confirmar.

    Captura de tela da identidade do usuário.

  4. Insira um número alto no campo Procedência e, em seguida, clique em Avançar.

    Captura de tela de um valor de precedência.

  5. Clique em Transformações>Adicionar transformação. Talvez seja necessário rolar a lista de transformações para baixo antes de criar uma nova.

Sincronizar X509:<PN>PrincipalNameValue

Para sincronizar o X509:<PN>PrincipalNameValue, crie uma regra de sincronização de saída e escolha Expressão no tipo de fluxo. Escolha o atributo de destino como certificateUserIds, e no campo de origem, adicione a seguinte expressão. Se o atributo de origem não for userPrincipalName, você poderá alterar a expressão adequadamente.

"X509:<PN>"&[userPrincipalName]

Captura de tela de como sincronizar x509.

Sincronizar X509:<RFC822>RFC822Name

Para sincronizar o X509:<RFC822>RFC822Name, crie uma regra de sincronização de saída e escolha Expressão no tipo de fluxo. Escolha o atributo de destino como certificateUserIds, e no campo de origem, adicione a seguinte expressão. Se o atributo de origem não for userPrincipalName, você poderá alterar a expressão adequadamente.

"X509:<RFC822>"&[userPrincipalName]

Captura de tela de como sincronizar RFC822Name.

  1. Clique em Atributo de Destino, selecione certificateUserIds, clique emOrigem, selecione userPrincipalName e, em seguida, clique em Salvar.

    Captura de tela de como adicionar uma regra.

  2. Clique em OK para confirmar.

Importante

Os exemplos anteriores usam o atributo userPrincipalName como um atributo de origem na regra de transformação. Você pode usar qualquer atributo disponível com o valor apropriado. Por exemplo, algumas organizações usam o atributo mail. Para regras de transformação mais complexas, consulte Sincronização do Microsoft Entra Connect: Entendendo Expressões de Provisionamento Declarativas

Para obter mais informações sobre as expressões de provisionamento declarativas, confira Microsoft Entra Connect: expressões de provisionamento declarativas.

Sincronize o atributo altSecurityIdentities do Active Directory com certificateUserIds do Microsoft Entra ID

O atributo altSecurityIdentities não faz parte do conjunto de atributos padrão. Um administrador precisa adicionar um novo atributo ao objeto de pessoa no Metaverse e, em seguida, criar as regras de sincronização apropriadas para retransmitir esses dados para certificateUserIds no Entra ID.

  1. Abra o Metaverse Designer e selecione o objeto pessoa. Para criar o atributo alternativeSecurityId, clique em Novo atributo. Selecione Sequência (não indexável) para criar um tamanho de atributo de até 1024 caracteres, que é o comprimento máximo com suporte para certificateUserIds. Se você selecionar String (indexável), o tamanho máximo de um valor de atributo será de 448 caracteres. Certifique-se de selecionar Multivalor.

    Captura de tela de como criar um novo atributo.

  2. Abra o Designer de Metaverso e selecione AlternativeSecurityId para adicioná-lo ao objeto de pessoa.

    Captura de tela de como adicionar alternativeSecurityId ao objeto de pessoa.

  3. Crie uma regra de sincronização de entrada para transformar de altSecurityIdentities para o atributo alternativeSecurityId.

    Na regra de entrada, use as seguintes opções.

    Opção Valor
    Nome Nome descritivo da regra, como por exemplo: Entrada do Active Directory - altSecurityIdentities
    Sistema Conectado Seu domínio do Active Directory local
    Tipo de Objeto do Sistema Conectado usuário
    Tipo de Objeto de Metaverso pessoa
    Precedência Escolha um número abaixo de 100 que não seja usado no momento

    Em seguida, clique em Transformações e crie um mapeamento direto para o atributo de destino alternativeSecurityId do atributo de origem altSecurityIdentities, conforme mostrado na captura de tela a seguir.

    Captura de tela de como transformar de altSecurityIdentities para o atributo alternateSecurityId.

  4. Crie uma regra de sincronização de saída para transformar o atributo alternativeSecurityId no atributo certificateUserIds no Entra ID.

    Opção Valor
    Nome Nome descritivo da regra, como: Para o Microsoft Entra ID – certificateUserIds
    Sistema Conectado Seu domínio do Microsoft Entra
    Tipo de Objeto do Sistema Conectado usuário
    Tipo de Objeto de Metaverso pessoa
    Precedência Escolha um número alto não usado atualmente acima de todas as regras padrão, como 150

    Em seguida, clique em Transformações e crie um mapeamento direto para o atributo de destino certificateUserIds do atributo de origem alternativeSecurityId, conforme mostrado na captura de tela a seguir.

    Captura de tela da regra de sincronização de saída para transformar do atributo alternateSecurityId para certificateUserIds.

  5. Execute a sincronização para preencher dados para o atributo certificateUserIds.

  6. Para verificar o êxito, exiba as informações de autorização de um usuário no Entra ID.

    Captura de tela da sincronização bem-sucedida.

Para mapear um subconjunto de valores do atributo altSecurityIdentities, substitua a Transformação na etapa 4 por uma Expressão. Para usar uma Expressão, vá para a guia Transformações e altere sua opção FlowType para Expressão, o atributo de destino para certificateUserIds e insira a expressão no campo Origem. O exemplo a seguir filtra apenas valores alinhados aos campos de mapeamento de Certificado SKI e SHA1PublicKey:

Captura de tela de uma expressão.

Código de expressão:

IIF(IsPresent([alternativeSecurityId]),
                Where($item,[alternativeSecurityId],BitOr(InStr($item, "X509:<SKI>"),InStr($item, "X509:<SHA1-PUKEY>"))>0),[alternativeSecurityId]
)

Os administradores podem filtrar valores de altSecurityIdentities que se alinham com os padrões com suporte. Verifique se a configuração do CBA foi atualizada para dar suporte às associações de nome de usuário que estão sendo sincronizadas com certificateUserIds para habilitar a autenticação usando esses valores.

Próximas etapas