Поделиться через


Настраиваемые преимущества проверки подлинности условного доступа

Администратор istrator также может создавать до 15 собственных возможностей проверки подлинности, чтобы точно соответствовать их требованиям. Настраиваемая сила проверки подлинности может содержать любые поддерживаемые сочетания в предыдущей таблице.

  1. Войдите в Центр администрирования Microsoft Entra в качестве Администратор istrator.

  2. Перейдите к преимуществам проверки подлинности методов>проверки подлинности защиты>.

  3. Выберите "Новая сила проверки подлинности".

  4. Укажите описательное имя для новой силы проверки подлинности.

  5. При необходимости укажите описание.

  6. Выберите любой из доступных методов, которые вы хотите разрешить.

  7. Нажмите кнопку "Далее " и просмотрите конфигурацию политики.

    Screenshot showing the creation of a custom authentication strength.

Обновление и удаление пользовательских возможностей проверки подлинности

Можно изменить настраиваемую силу проверки подлинности. Если она ссылается на политику условного доступа, ее нельзя удалить, и необходимо подтвердить любое изменение. Чтобы проверка, если на силу проверки подлинности ссылается политика условного доступа, щелкните столбец политик условного доступа.

Дополнительные параметры ключа безопасности FIDO2

Вы можете ограничить использование ключей безопасности FIDO2 на основе идентификаторов ИДЕНТИФИКАТОРов аттестации аутентификатора (AAGUID). Эта возможность позволяет администраторам требовать ключ безопасности FIDO2 от конкретного производителя для доступа к ресурсу. Чтобы требовать определенный ключ безопасности FIDO2, сначала создайте настраиваемую силу проверки подлинности. Затем выберите ключ безопасности FIDO2 и нажмите кнопку "Дополнительные параметры".

Screenshot showing Advanced options for FIDO2 security key.

Рядом с кнопкой "+Разрешенные ключи FIDO2", скопируйте значение AAGUID и нажмите кнопку "Сохранить".

Screenshot showing how to add an Authenticator Attestation GUID.

Дополнительные параметры проверки подлинности на основе сертификатов

В политике методов проверки подлинности можно настроить, привязаны ли сертификаты в системе к уровням защиты однофакторной или многофакторной проверки подлинности на основе издателя сертификата или идентификатора политики. Для определенных ресурсов также можно требовать однофакторные или многофакторные сертификаты проверки подлинности, основанные на политике надежности проверки подлинности условного доступа.

С помощью расширенных параметров надежности проверки подлинности можно требовать определенного издателя сертификата или идентификатора политики для дальнейшего ограничения входа в приложение.

Например, Contoso выдает смарт-карта сотрудникам с тремя различными типами многофакторных сертификатов. Один сертификат предназначен для конфиденциального разрешения, другого для секретного разрешения, а третий — для разрешения верхнего секрета. Каждый из них отличается свойствами сертификата, например идентификатором политики или издателем. Компания Contoso хочет убедиться, что только пользователи с соответствующим многофакторным сертификатом могут получить доступ к данным для каждой классификации.

В следующих разделах показано, как настроить дополнительные параметры для CBA с помощью Центра администрирования Microsoft Entra и Microsoft Graph.

Центр администрирования Microsoft Entra

  1. Войдите в Центр администрирования Microsoft Entra в качестве Администратор istrator.

  2. Перейдите к преимуществам проверки подлинности методов>проверки подлинности защиты>.

  3. Выберите "Новая сила проверки подлинности".

  4. Укажите описательное имя для новой силы проверки подлинности.

  5. При необходимости укажите описание.

  6. Под проверкой подлинности на основе сертификатов (однофакторной или многофакторной) щелкните "Дополнительные параметры".

    Screenshot showing Advanced options for certificate-based authentication.

  7. Вы можете выбрать издателей сертификатов в раскрывающемся меню, введите издателей сертификатов и введите допустимые OID политики. В раскрывающемся меню перечислены все центры сертификации клиента независимо от того, является ли они однофакторными или многофакторными.

    Screenshot showing the configuration options - certificate issuers from the drop-down menu, type the certificate issuers and type the allowed policy OIDs .

    • Если настроены оба издателя сертификата и разрешенная политика OID, существует связь AND. Пользователь должен использовать сертификат, удовлетворяющий обоим условиям.
    • Между списком издателя разрешенных сертификатов и списком разрешенных OID политик есть связь OR. Пользователь должен использовать сертификат, удовлетворяющий одному из издателей или OID политик.
    • Используйте другой издатель сертификата в SubjectkeyIdentifier , если сертификат, который вы хотите использовать, не отправляется в центры сертификации в клиенте. Этот параметр можно использовать для сценариев внешнего пользователя, если пользователь выполняет проверку подлинности в своем домашнем клиенте.
  8. Нажмите кнопку " Далее ", чтобы просмотреть конфигурацию, а затем нажмите кнопку "Создать".

Microsoft Graph

Чтобы создать новую политику надежности проверки подлинности условного доступа с помощью сочетания сертификатовConfiguration:

POST  /beta/identity/conditionalAccess/authenticationStrength/policies
{
    "displayName": "CBA Restriction",
    "description": "CBA Restriction with both IssuerSki and OIDs",
    "allowedCombinations": [
        " x509CertificateMultiFactor "
    ],
    "combinationConfigurations": [
        {
            "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
            "appliesToCombinations": [
                "x509CertificateMultiFactor"
            ],
            "allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
            "allowedPolicyOIDs": [
                "1.2.3.4.6",
                "1.2.3.4.5.6"
            ]
        }
    ]
}

Чтобы добавить новую комбинациюConfiguration в существующую политику:

POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations

{
    "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
    "allowedIssuerSkis": [
        "9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
    ],
    "allowedPolicyOIDs": [],
    "appliesToCombinations": [
        "x509CertificateSingleFactor "
    ]
}

Ограничения

Дополнительные параметры ключа безопасности FIDO2

  • Дополнительные параметры ключа безопасности FIDO2. Дополнительные параметры не поддерживаются для внешних пользователей с домашним клиентом, расположенным в другом облаке Майкрософт, чем клиент ресурсов.

Дополнительные параметры проверки подлинности на основе сертификатов

  • В каждом сеансе браузера можно использовать только один сертификат. После входа с помощью сертификата он кэширован в браузере в течение сеанса. Вам не будет предложено выбрать другой сертификат, если он не соответствует требованиям к надежности проверки подлинности. Чтобы перезапустить сеанс, необходимо выйти из системы и выполнить вход. Затем выберите соответствующий сертификат.

  • Центры сертификации и сертификаты пользователей должны соответствовать стандарту X.509 версии 3. В частности, для принудительного применения ограничений ski CBA издателя сертификаты требуют допустимых AKIs:

    Screenshot showing an authority key identifier.

    Примечание.

    Если сертификат не соответствует, проверка подлинности пользователя может завершиться успешно, но не удовлетворяет ограничениям издателя Для политики надежности проверки подлинности.

  • Во время входа рассматриваются первые 5 идентификаторов политик из сертификата конечного пользователя и сравниваются с идентификаторами политики, настроенными в политике надежности проверки подлинности. Если сертификат конечного пользователя имеет более 5 OID политики, первые 5 OID политики в лексическом порядке, соответствующие требованиям к надежности проверки подлинности, учитываются.

  • Для пользователей B2B давайте рассмотрим пример, в котором Компания Contoso пригласила пользователей из Fabrikam в свой клиент. В этом случае contoso является клиентом ресурсов, а Fabrikam — домашним клиентом.

    • Если параметр доступа между клиентами отключен (Contoso не принимает многофакторную проверку подлинности, выполняемую домашним клиентом) — использование проверки подлинности на основе сертификатов в клиенте ресурсов не поддерживается.
    • Если параметр доступа между клиентами включен, Fabrikam и Contoso находятся в одном облаке Майкрософт, то есть клиенты Fabrikam и Contoso находятся в коммерческом облаке Azure или в облаке Azure для государственных организаций США. Кроме того, Компания Contoso доверяет MFA, которая была выполнена в домашнем клиенте. В этом случае:
      • Доступ к конкретному ресурсу можно ограничить с помощью OID политики или другого издателя сертификатов SubjectkeyIdentifier в пользовательской политике надежности проверки подлинности.
      • Доступ к определенным ресурсам можно ограничить с помощью параметра "Другие издатели сертификатов subjectkeyIdentifier" в пользовательской политике надежности проверки подлинности.
    • Если параметр доступа между клиентами включен, Fabrikam и Contoso не подключены к одному и тому же облаку Майкрософт, например клиент Fabrikam находится в коммерческом облаке Azure, а клиент Contoso находится в облаке Azure для государственных организаций США, доступ к определенным ресурсам не может быть ограничен с помощью идентификатора издателя или OID политики в пользовательской политике надежности проверки подлинности.

Устранение неполадок с расширенными параметрами надежности проверки подлинности

Пользователи не могут использовать ключ безопасности FIDO2 для входа

Условный доступ Администратор istrator может ограничить доступ к определенным ключам безопасности. Когда пользователь пытается войти с помощью ключа, который он не может использовать, появится сообщение . Пользователь должен перезапустить сеанс и войти с помощью другого ключа безопасности FIDO2.

Screenshot of a sign-in error when using a restricted FIDO2 security key.

Как проверка политики сертификатов OID и издателя

Вы можете подтвердить, что свойства личного сертификата соответствуют конфигурации в расширенных параметрах проверки подлинности. На устройстве пользователя войдите в качестве Администратор istrator. Нажмите кнопку "Выполнить", введите certmgr.mscи нажмите клавишу ВВОД. Чтобы проверка идентификаторы политики, щелкните личный, щелкните правой кнопкой мыши сертификат и нажмите кнопку "Сведения".

Screenshot showing how to check certificate policy OIDs and issuer.

Следующие шаги