Начало работы с проверкой подлинности на основе сертификатов в идентификаторе Microsoft Entra с федерацией

  • Статья

Проверка подлинности на основе сертификатов (CBA) с федерацией позволяет пройти проверку подлинности с помощью идентификатора Microsoft Entra с помощью сертификата клиента на устройстве Windows, Android или iOS при подключении учетной записи Exchange Online к:

  • мобильным приложениям Microsoft, таким как Microsoft Outlook и Microsoft Word;
  • клиентам Exchange ActiveSync (EAS).

Настройка данной функции избавляет от необходимости ввода имени пользователя и пароля в определенных почтовых клиентах и приложениях Microsoft Office на мобильных устройствах.

Примечание.

В качестве альтернативы организации могут развертывать Microsoft Entra CBA без необходимости федерации. Дополнительные сведения см. в разделе "Обзор проверки подлинности на основе сертификата Microsoft Entra" с идентификатором Microsoft Entra.

В этой статье:

  • Показано, как настроить и использовать проверку подлинности на основе сертификатов для пользователей арендаторов в тарифных планах Office 365 корпоративный, бизнес, для образования и для государственных организаций США.
  • Предполагается, что у вас уже настроены инфраструктура открытых ключей (PKI) и AD FS.

Требования

Для настройки проверки подлинности на основе сертификатов должны выполняться следующие условия:

  • Проверка подлинности на основе сертификатов с использованием федерации поддерживается только для браузерных приложений и собственных клиентов в федеративных средах, использующих библиотеки современной проверки подлинности или MSAL. Единственным исключением является решение Exchange Active (EAS) для Exchange Online (EXO), которое можно использовать для федеративных и управляемых учетных записей. Чтобы настроить Microsoft Entra CBA без необходимости федерации, см. инструкции по настройке проверки подлинности на основе сертификата Microsoft Entra.
  • Корневой центр сертификации и все промежуточные центры сертификации должны быть настроены в идентификаторе Microsoft Entra.
  • У каждого центра сертификации должен быть список отзыва сертификатов (CRL), на который можно сослаться с помощью URL-адреса для Интернета.
  • Необходимо иметь по крайней мере один центр сертификации, настроенный в идентификаторе Microsoft Entra. Соответствующие действия описаны в разделе Настройка центров сертификации.
  • Для клиентов Exchange ActiveSync: в сертификате клиента, в поле "Альтернативное имя субъекта", в качестве значения имени субъекта или имени RFC822 должен быть указан маршрутизируемый адрес электронной почты пользователя в Exchange Online. Идентификатор Microsoft Entra сопоставляет значение RFC822 с атрибутом прокси-адреса в каталоге.
  • Устройство клиента должно иметь доступ хотя бы к одному центру сертификации, выдающему сертификаты клиента.
  • Для аутентификации вашего клиента должен быть выдан сертификат клиента.

Внимание

Максимальный размер списка отзыва сертификатов для идентификатора Microsoft Entra для успешного скачивания и кэша составляет 20 МБ, а время, необходимое для скачивания списка отзыва сертификатов, не должно превышать 10 секунд. Если идентификатор Microsoft Entra не может скачать список отзыва сертификатов, проверка подлинности на основе сертификатов с использованием сертификатов, выданных соответствующим ЦС, завершится сбоем. Рекомендуется убедиться, что файлы списка отзыва сертификатов не превышают разрешенный размер, а также проверить срок действия сертификатов и удалить истекшие.

Шаг 1. Выбор платформы устройства

При выборе платформы устройства для начала необходимо ознакомиться со следующими сведениями:

  • Поддержка мобильных приложений Office
  • Особые требования к реализации

Эта информация доступна для следующих платформ устройств:

Шаг 2. Настройка центров сертификации

Чтобы настроить центры сертификации в идентификаторе Microsoft Entra, для каждого центра сертификации отправьте следующее:

  • открытую часть сертификата в формате CER ;
  • URL-адреса для Интернета, по которым находятся списки отзыва сертификатов (CRL).

Схема для центра сертификации выглядит следующим образом:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Для настройки можно использовать Microsoft Graph PowerShell:

  1. Запустите Windows PowerShell с правами администратора.

  2. Установите Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

В качестве первого шага настройки необходимо установить подключение к клиенту. Когда будет установлено подключение к клиенту, вы сможете просмотреть, добавить, удалить или изменить доверенные центры сертификации, определенные в каталоге.

Связь

Чтобы установить подключение к клиенту, используйте Подключение-MgGraph:

    Connect-MgGraph

Retrieve

Чтобы получить доверенные центры сертификации, определенные в каталоге, используйте Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Чтобы добавить, изменить или удалить ЦС, используйте Центр администрирования Microsoft Entra:

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.

  2. Перейдите к >>центрам сертификации центра безопасности (или оценки безопасности удостоверений). >

  3. Чтобы отправить ЦС, нажмите кнопку "Отправить":

    1. Выберите файл ЦС.

    2. Выберите Да, если ЦС является корневым сертификатом, в противном случае выберите Нет.

    3. Для URL-адреса списка отзыва сертификатов задайте URL-адрес, доступный в Интернете, для базового списка отзыва сертификатов ЦС, который содержит все отозванные сертификаты. Если URL-адрес не задан, проверка подлинности с отозванными сертификатами не завершится ошибкой.

    4. Для URL-адреса списка отзыва разностных сертификатов задайте URL-адрес для списка отзыва сертификатов в Интернете, содержащий все отозванные сертификаты с момента публикации последнего базового списка отзыва сертификатов.

    5. Выберите Добавить.

      Снимок экрана: отправка файла центра сертификации.

  4. Чтобы удалить сертификат ЦС, выберите сертификат и нажмите кнопку "Удалить".

  5. Выберите столбцы для добавления или удаления столбцов.

Шаг 3. Настройка отзыва

Чтобы отозвать сертификат клиента, идентификатор Microsoft Entra извлекает список отзыва сертификатов (CRL) из URL-адресов, отправленных в рамках сведений центра сертификации и кэширует его. Метка времени последней публикации (свойствоДата вступления в силу ) в списке отзыва сертификатов обеспечивает допустимость этого списка. Список отзыва сертификатов периодически опрашивается для отзыва доступа к сертификатам, которые числятся в этом списке.

Если требуется более быстрый отзыв (например, если пользователь потерял устройство), то маркер авторизации пользователя можно сделать недействительным. Чтобы сделать маркер авторизации недействительным, с помощью Windows PowerShell определите поле StsRefreshTokenValidFrom для этого пользователя. Поле StsRefreshTokenValidFrom необходимо обновить для каждого пользователя, доступ для которого будет отозван.

Чтобы отзыв оставался в силе, для свойства Дата вступления в силу списка отзыва сертификатов необходимо указать дату, которая наступит после даты, заданной в поле StsRefreshTokenValidFrom, а также убедиться, что этот сертификат есть в списке отзыва сертификатов.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

Ниже описан процесс обновления и аннулирования маркера авторизации с помощью поля StsRefreshTokenValidFrom .

  1. Подключение в PowerShell:

    Connect-MgGraph

  2. Получите текущее значение StsRefreshTokensValidFrom для пользователя:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. Настройте новое значение StsRefreshTokensValidFrom для пользователя, равное текущей метке времени:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

Задаваемая дата должна быть в будущем. Если дата не в будущем, свойство StsRefreshTokensValidFrom не будет задано. Если дата в будущем, для StsRefreshTokensValidFrom задается актуальное время (не дата, указанная командой Set-MsolUser).

Шаг 4. Тестирование конфигурации

Тестирование сертификата

В качестве первой проверки конфигурации попытайтесь войти в Outlook Web Access или SharePoint Online, используя браузер на устройстве.

Успешный вход подтверждает, что:

  • для тестируемого устройства подготовлен сертификат пользователя;
  • службы AD FS настроены правильно.

Тестирование мобильных приложений Office

  1. На тестируемом устройстве установите мобильное приложение Office (например, OneDrive).
  2. Запустите приложение .
  3. Введите свое имя пользователя, а затем выберите сертификат пользователя, который хотите использовать.

Вы должны без проблем войти в систему.

Тестирование клиентских приложений Exchange ActiveSync

Для доступа к Exchange ActiveSync (EAS) с использованием аутентификации на основе сертификата приложению должен быть доступен профиль EAS, содержащий сертификат клиента.

В профиле EAS должны содержаться следующие сведения:

  • сертификат пользователя, который будет использоваться для аутентификации;

  • конечная точка EAS (например, outlook.office365.com).

Профиль EAS можно настроить и разместить на устройстве с помощью использования управления мобильными устройствами (MDM), например Microsoft Intune или вручную поместив сертификат в профиль EAS на устройстве.

Тестирование клиентских приложений EAS на Android

  1. Настройте профиль EAS в приложении, удовлетворяющем требованиям, изложенным в предыдущем разделе.
  2. Откройте приложение и убедитесь, что почта синхронизируется.

Следующие шаги

Дополнительные сведения о проверке подлинности на основе сертификата на устройствах Android.

Дополнительные сведения о проверке подлинности на основе сертификата на устройствах iOS.