Kom igång med certifikatbaserad autentisering i Microsoft Entra-ID med federation
Med certifikatbaserad autentisering (CBA) med federation kan du autentiseras av Microsoft Entra-ID med ett klientcertifikat på en Windows-, Android- eller iOS-enhet när du ansluter ditt Exchange Online-konto till:
- Microsoft-mobilprogram som Microsoft Outlook och Microsoft Word
- Exchange ActiveSync-klienter (EAS)
Om du konfigurerar den här funktionen eliminerar du behovet av att ange en kombination av användarnamn och lösenord i vissa e-postmeddelanden och Microsoft-Office-appen på din mobila enhet.
Kommentar
Som ett alternativ kan organisationer distribuera Microsoft Entra CBA utan att behöva federation. Mer information finns i Översikt över Microsoft Entra-certifikatbaserad autentisering mot Microsoft Entra-ID.
Det här avsnittet:
- Ger dig stegen för att konfigurera och använda CBA för användare av klientorganisationer i Office 365 Enterprise-, Business-, Education- och US Government-planer.
- Förutsätter att du redan har en offentlig nyckelinfrastruktur (PKI) och AD FS konfigurerad.
Krav
För att konfigurera CBA med federation måste följande instruktioner vara sanna:
- CBA med federation stöds endast för federerade miljöer för webbläsarprogram, interna klienter som använder modern autentisering eller MSAL-bibliotek. Det enda undantaget är Exchange Active Sync (EAS) för Exchange Online (EXO), som kan användas för federerade och hanterade konton. Information om hur du konfigurerar Microsoft Entra CBA utan att behöva federation finns i Konfigurera Microsoft Entra-certifikatbaserad autentisering.
- Rotcertifikatutfärdaren och eventuella mellanliggande certifikatutfärdare måste konfigureras i Microsoft Entra-ID.
- Varje certifikatutfärdare måste ha en lista över återkallade certifikat (CRL) som kan refereras via en internetuppkopplad URL.
- Du måste ha minst en certifikatutfärdare konfigurerad i Microsoft Entra-ID. Du hittar relaterade steg i avsnittet Konfigurera certifikatutfärdare .
- För Exchange ActiveSync-klienter måste klientcertifikatet ha användarens routningsbara e-postadress i Exchange online i antingen huvudnamnet eller RFC822-namnvärdet för fältet Alternativt namn för certifikatmottagare. Microsoft Entra ID mappar RFC822-värdet till attributet Proxyadress i katalogen.
- Klientenheten måste ha åtkomst till minst en certifikatutfärdare som utfärdar klientcertifikat.
- Ett klientcertifikat för klientautentisering måste ha utfärdats till klienten.
Viktigt!
Den maximala storleken på en CRL för Microsoft Entra-ID för att ladda ned och cachelagra är 20 MB, och den tid som krävs för att ladda ned CRL får inte överstiga 10 sekunder. Om Microsoft Entra-ID inte kan ladda ned en CRL misslyckas certifikatbaserade autentiseringar med certifikat som utfärdats av motsvarande certifikatutfärdare. Bästa praxis för att säkerställa att CRL-filer ligger inom storleksbegränsningar är att hålla certifikatets livslängd inom rimliga gränser och rensa utgångna certifikat.
Steg 1: Välj din enhetsplattform
Som ett första steg måste du granska följande för den enhetsplattform du bryr dig om:
- Stöd för Office-mobilprogram
- De specifika implementeringskraven
Den relaterade informationen finns för följande enhetsplattformar:
Steg 2: Konfigurera certifikatutfärdarna
Om du vill konfigurera certifikatutfärdarna i Microsoft Entra-ID laddar du upp följande för varje certifikatutfärdare:
- Den offentliga delen av certifikatet i .cer format
- Internetuppkopplade URL:er där listor över återkallade certifikat finns
Schemat för en certifikatutfärdare ser ut så här:
class TrustedCAsForPasswordlessAuth
{
CertificateAuthorityInformation[] certificateAuthorities;
}
class CertificateAuthorityInformation
{
CertAuthorityType authorityType;
X509Certificate trustedCertificate;
string crlDistributionPoint;
string deltaCrlDistributionPoint;
string trustedIssuer;
string trustedIssuerSKI;
}
enum CertAuthorityType
{
RootAuthority = 0,
IntermediateAuthority = 1
}
För konfigurationen kan du använda Microsoft Graph PowerShell:
Starta Windows PowerShell med administratörsbehörighet.
Installera Microsoft Graph PowerShell:
Install-Module Microsoft.Graph
Som ett första konfigurationssteg måste du upprätta en anslutning till din klientorganisation. Så snart det finns en anslutning till din klientorganisation kan du granska, lägga till, ta bort och ändra de betrodda certifikatutfärdare som har definierats i din katalog.
Anslut
Om du vill upprätta en anslutning till klientorganisationen använder du Anslut-MgGraph:
Connect-MgGraph
Hämta
Om du vill hämta de betrodda certifikatutfärdare som har definierats i din katalog använder du Get-MgOrganizationCertificateBasedAuthConfiguration.
Get-MgOrganizationCertificateBasedAuthConfiguration
Om du vill lägga till, ändra eller ta bort en ca använder du administrationscentret för Microsoft Entra:
-
Logga in på administrationscentret för Microsoft Entra som global administratör.
Bläddra till Skydd>Visa fler>certifikatutfärdare för Security Center (eller Identitetssäkerhetspoäng). >
Om du vill ladda upp en ca väljer du Ladda upp:
Välj CA-filen.
Välj Ja om certifikatutfärdare är ett rotcertifikat, annars väljer du Nej.
För URL:en för listan över återkallade certifikat anger du den Internetuppkopplade URL:en för ca-bas-CRL:en som innehåller alla återkallade certifikat. Om URL:en inte har angetts misslyckas inte autentiseringen med återkallade certifikat.
För URL:en för listan över återkallade deltacertifikat anger du den Internetuppkopplade URL:en för den crl som innehåller alla återkallade certifikat sedan den senaste bas-CRL:en publicerades.
Markera Lägga till.
Om du vill ta bort ett CA-certifikat väljer du certifikatet och väljer Ta bort.
Välj Kolumner för att lägga till eller ta bort kolumner.
Steg 3: Konfigurera återkallande
För att återkalla ett klientcertifikat hämtar Microsoft Entra-ID listan över återkallade certifikat (CRL) från URL:erna som laddats upp som en del av certifikatutfärdarens information och cachelagrar den. Den senaste publiceringstidsstämpeln (egenskapen Gällande datum ) i CRL används för att säkerställa att CRL fortfarande är giltig. CRL refereras regelbundet till för att återkalla åtkomsten till certifikat som ingår i listan.
Om ett mer omedelbart återkallning krävs (till exempel om en användare förlorar en enhet) kan användarens auktoriseringstoken ogiltigförklaras. Om du vill ogiltigförklara auktoriseringstoken anger du fältet StsRefreshTokenValidFrom för den här användaren med hjälp av Windows PowerShell. Du måste uppdatera fältet StsRefreshTokenValidFrom för varje användare som du vill återkalla åtkomst för.
För att säkerställa att återkallningen kvarstår måste du ange det gällande datumet för CRL till ett datum efter det värde som angetts av StsRefreshTokenValidFrom och se till att certifikatet i fråga finns i crl-listan.
Kommentar
Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.
Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Obs! Versioner 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.
Följande steg beskriver processen för att uppdatera och ogiltigförklara auktoriseringstoken genom att ange fältet StsRefreshTokenValidFrom .
Anslut till PowerShell:
Connect-MgGraph
Hämta det aktuella StsRefreshTokensValidFrom-värdet för en användare:
$user = Get-MsolUser -UserPrincipalName test@yourdomain.com` $user.StsRefreshTokensValidFrom
Konfigurera ett nytt StsRefreshTokensValidFrom-värde för användaren som är lika med den aktuella tidsstämpeln:
Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")
Det datum du anger måste vara i framtiden. Om datumet inte är i framtiden anges inte egenskapen StsRefreshTokensValidFrom . Om datumet är i framtiden anges StsRefreshTokensValidFrom till aktuell tid (inte det datum som anges av kommandot Set-MsolUser).
Steg 4: Testa konfigurationen
Testa certifikatet
Som ett första konfigurationstest bör du försöka logga in på Outlook Web Access eller SharePoint Online med hjälp av webbläsaren på enheten.
Om inloggningen lyckas vet du att:
- Användarcertifikatet har etablerats på testenheten
- AD FS är korrekt konfigurerat
Testa Mobila Office-program
- Installera ett Mobilt Office-program på testenheten (till exempel OneDrive).
- Starta programmet.
- Ange ditt användarnamn och välj sedan det användarcertifikat som du vill använda.
Du bör vara inloggad.
Testa Exchange ActiveSync-klientprogram
För att få åtkomst till Exchange ActiveSync (EAS) via certifikatbaserad autentisering måste en EAS-profil som innehåller klientcertifikatet vara tillgänglig för programmet.
EAS-profilen måste innehålla följande information:
Det användarcertifikat som ska användas för autentisering
EAS-slutpunkten (till exempel outlook.office365.com)
En EAS-profil kan konfigureras och placeras på enheten genom användning av hantering av mobila enheter (MDM), till exempel Microsoft Intune eller genom att manuellt placera certifikatet i EAS-profilen på enheten.
Testa EAS-klientprogram på Android
- Konfigurera en EAS-profil i programmet som uppfyller kraven i föregående avsnitt.
- Öppna programmet och kontrollera att e-postmeddelandet synkroniseras.
Nästa steg
Ytterligare information om certifikatbaserad autentisering på Android-enheter.
Ytterligare information om certifikatbaserad autentisering på iOS-enheter.