Dela via


Översikt över Microsoft Entra-certifikatbaserad autentisering

Med Microsoft Entra-certifikatbaserad autentisering (CBA) kan kunder tillåta eller kräva att användare autentiserar direkt med X.509-certifikat mot sitt Microsoft Entra-ID för program och webbläsarinloggning. Med den här funktionen kan kunder använda en nätfiskebeständig autentisering och autentisera med ett X.509-certifikat mot sin PKI (Public Key Infrastructure).

Vad är Microsoft Entra CBA?

Innan molnhanterat stöd för CBA till Microsoft Entra-ID var kunderna tvungna att implementera federerad certifikatbaserad autentisering, vilket kräver distribution av Active Directory Federation Services (AD FS) (AD FS) för att kunna autentisera med X.509-certifikat mot Microsoft Entra-ID. Med Microsoft Entra-certifikatbaserad autentisering kan kunderna autentisera direkt mot Microsoft Entra-ID och eliminera behovet av federerad AD FS, med förenklade kundmiljöer och kostnadsminskningar.

Följande bilder visar hur Microsoft Entra CBA förenklar kundmiljön genom att eliminera federerad AD FS.

Certifikatbaserad autentisering med federerad AD FS

Diagram över certifikatbaserad autentisering med federation.

Microsoft Entra-certifikatbaserad autentisering

Diagram över Microsoft Entra-certifikatbaserad autentisering.

Viktiga fördelar med att använda Microsoft Entra CBA

Förmåner beskrivning
En utmärkt användarupplevelse – Användare som behöver certifikatbaserad autentisering kan nu autentisera direkt mot Microsoft Entra-ID och inte behöva investera i federerad AD FS.
– Med portalgränssnittet kan användarna enkelt konfigurera hur certifikatfält ska mappas till ett användarobjektattribut för att söka efter användaren i klientorganisationen (certifikatets användarnamnsbindningar)
– Portalgränssnittet för att konfigurera autentiseringsprinciper för att avgöra vilka certifikat som är enfaktor kontra multifaktor.
Enkelt att distribuera och administrera – Microsoft Entra CBA är en kostnadsfri funktion och du behöver inga betalda utgåvor av Microsoft Entra-ID för att använda det.
– Inget behov av komplexa lokala distributioner eller nätverkskonfiguration.
– Autentisera direkt mot Microsoft Entra-ID.
Säkra – Lokala lösenord behöver inte lagras i molnet i någon form.
– Skyddar dina användarkonton genom att arbeta sömlöst med Microsoft Entras principer för villkorsstyrd åtkomst, inklusive nätfiskeresistent multifaktorautentisering (MFA kräver licensierad utgåva) och blockera äldre autentisering.
– Starkt autentiseringsstöd där användare kan definiera autentiseringsprinciper via certifikatfälten, till exempel utfärdare eller princip-OID (objektidentifierare), för att avgöra vilka certifikat som kvalificeras som enfaktor kontra multifaktor.
– Funktionen fungerar sömlöst med funktioner för villkorsstyrd åtkomst och autentiseringsstyrka för att framtvinga MFA för att skydda dina användare.

Stödda scenarier

Följande scenarier stöds:

  • Användarinloggningar till webbläsarbaserade program på alla plattformar.
  • Användarinloggningar till Office-mobilappar på iOS/Android-plattformar samt office-inbyggda appar i Windows, inklusive Outlook, OneDrive och så vidare.
  • Användarinloggningar i mobila inbyggda webbläsare.
  • Stöd för detaljerade autentiseringsregler för multifaktorautentisering med certifikatutfärdaren Ämne och princip-OID: er.
  • Konfigurera certifikat-till-användarkonto-bindningar med hjälp av något av certifikatfälten:
    • Alternativt namn på certifikatmottagare (SAN) PrincipalName och SAN RFC822Name
    • Ämnesnyckelidentifierare (SKI) och SHA1PublicKey
    • Utfärdare + Ämne, Ämne och Utfärdare + SerialNumber
  • Konfigurera certifikat-till-användarkonto-bindningar med hjälp av något av attributen för användarobjekt:
    • Användarhuvudnamn
    • onPremisesUserPrincipalName
    • CertificateUserIds

Scenarier som inte stöds

Följande scenarier stöds inte:

  • Tips om certifikatutfärdare stöds inte, så listan över certifikat som visas för användare i användargränssnittet för certifikatväljaren är inte begränsad.
  • Endast en CRL-distributionsplats (CDP) för en betrodd ca stöds.
  • CDP:n kan bara vara HTTP-URL:er. Vi stöder inte URL:er för Online Certificate Status Protocol (OCSP) eller Lightweight Directory Access Protocol (LDAP).
  • Lösenord som autentiseringsmetod kan inte inaktiveras och alternativet att logga in med ett lösenord visas även med Microsoft Entra CBA-metoden tillgänglig för användaren.

Känd begränsning med Windows Hello för företag-certifikat

  • Även om Windows Hello för företag (WHFB) kan användas för multifaktorautentisering i Microsoft Entra-ID stöds inte WHFB för färsk MFA. Kunder kan välja att registrera certifikat för dina användare med hjälp av WHFB-nyckelparet. När de är korrekt konfigurerade kan dessa WHFB-certifikat användas för multifaktorautentisering i Microsoft Entra-ID. WHFB-certifikat är kompatibla med Microsoft Entra-certifikatbaserad autentisering (CBA) i Edge- och Chrome-webbläsare. För närvarande är dock WHFB-certifikat inte kompatibla med Microsoft Entra CBA i andra scenarier än webbläsare (till exempel Office 365-program). Lösningen är att använda alternativet "Logga in Windows Hello eller säkerhetsnyckel" för att logga in (när det är tillgängligt) eftersom det här alternativet inte använder certifikat för autentisering och undviker problemet med Microsoft Entra CBA. Det här alternativet kanske dock inte är tillgängligt i vissa äldre program.

Utanför omfånget

Följande scenarier ligger utanför omfånget för Microsoft Entra CBA:

  • Offentlig nyckelinfrastruktur för att skapa klientcertifikat. Kunder måste konfigurera sin egen PKI (Public Key Infrastructure) och etablera certifikat till sina användare och enheter.

Nästa steg