Microsoft Entra sertifika tabanlı kimlik doğrulamasını yapılandırma

  • Makale

Microsoft Entra sertifika tabanlı kimlik doğrulaması (CBA), kuruluşların Microsoft Entra kiracılarını kullanıcıların uygulama ve tarayıcı oturum açma işlemleri için Kurumsal Ortak Anahtar Altyapısı (PKI) tarafından oluşturulan X.509 sertifikalarıyla kimlik doğrulamasına izin verecek veya bu sertifikalarla kimlik doğrulamasını gerektirecek şekilde yapılandırmalarına olanak tanır. Bu özellik, kuruluşların x.509 sertifikası kullanarak kimlik avına dayanıklı modern parolasız kimlik doğrulamasını benimsemesini sağlar.

Oturum açma sırasında, kullanıcılar parola girmek yerine sertifikayla kimlik doğrulama seçeneği de görür. Cihazda birden çok eşleşen sertifika varsa, kullanıcı hangisinin kullanılacağını seçebilir. Sertifika kullanıcı hesabında doğrulanır ve başarılı olursa oturum açar.

Office 365 Kurumsal ve ABD Kamu planlarındaki kiracılar için Microsoft Entra CBA'yı yapılandırmak ve kullanmak için bu yönergeleri izleyin. Zaten yapılandırılmış bir ortak anahtar altyapınız (PKI) olmalıdır.

Önkoşullar

Aşağıdaki önkoşulların uygulandığından emin olun:

  • Microsoft Entra Id'de en az bir sertifika yetkilisi (CA) ve ara CA'ları yapılandırın.
  • Kullanıcının, Microsoft Entra Kimliği'ne karşı kimlik doğrulaması için istemci kimlik doğrulamasına yönelik bir kullanıcı sertifikasına (kiracıda yapılandırılmış güvenilir bir Ortak Anahtar Altyapısından verilmiştir) erişimi olmalıdır.
  • Her CA,İnternet'e yönelik URL'lerden başvurulabilen bir sertifika iptal listesine (CRL) sahip olmalıdır. Güvenilen CA'nın yapılandırılmış bir CRL'si yoksa, Microsoft Entra Id herhangi bir CRL denetimi yapmaz, kullanıcı sertifikalarının iptali çalışmaz ve kimlik doğrulaması engellenmez.

Önemli

PKI'nın güvenli olduğundan ve kolayca gizliliğinin tehlikeye girediğinden emin olun. Bir güvenliğin aşıldığı durumlarda, saldırgan istemci sertifikaları oluşturup imzalayabilir ve hem şirket içi kullanıcılardan hem de yalnızca bulut kullanıcılarından eşitlenen kiracıdaki tüm kullanıcıların güvenliğini tehlikeye atabilir. Ancak güçlü bir anahtar koruma stratejisi, HSM etkinleştirme kartları veya yapıtların güvenli depolanmasına yönelik belirteçler gibi diğer fiziksel ve mantıksal denetimlerle birlikte, dış saldırganların veya içeriden gelen tehditlerin PKI bütünlüğünü tehlikeye atmasını önlemek için derinlemesine savunma sağlayabilir. Daha fazla bilgi için bkz . PKI güvenliğini sağlama.

Önemli

Algoritma seçimi, anahtar uzunluğu ve veri koruması içeren Microsoft Şifrelemesi için en iyi yöntemler için lütfen Microsoft önerilerini ziyaret edin. Lütfen önerilen algoritmalardan, anahtar uzunluğundan ve NIST onaylı eğrilerden birini kullandığınızdan emin olun.

Önemli

Devam eden güvenlik geliştirmeleri kapsamında Azure/M365 uç noktaları TLS1.3 desteği ekliyor ve bu işlemin Azure/M365 genelindeki binlerce hizmet uç noktasını kapsayacak şekilde birkaç ay sürmesi bekleniyor. Bu, Microsoft Entra Sertifika Tabanlı Kimlik Doğrulaması (CBA) *.certauth.login.microsoftonline.com & *.certauth.login.mcirosoftonline.us tarafından kullanılan Entra Id uç noktasını içerir. TLS 1.3, iki uç nokta arasında güvenli bir iletişim kanalı sağlamak için verileri şifreleyen İnternet'in en çok dağıtılan güvenlik protokolünün en son sürümüdür. TLS 1.3, eski şifreleme algoritmalarını ortadan kaldırır, eski sürümlere göre güvenliği artırır ve el sıkışmasının mümkün olduğunca çoğunu şifrelemeyi amaçlar. Geliştiricilerin uygulamalarında ve hizmetlerinde TLS 1.3'ü test etmeye başlamalarını kesinlikle öneririz.

Not

PKI'yı değerlendirirken sertifika verme ilkelerini ve zorlamayı gözden geçirmek önemlidir. Belirtildiği gibi, Microsoft Entra yapılandırmasına sertifika yetkilileri (CA) eklemek, bu CA'lar tarafından verilen sertifikaların Microsoft Entra Id'deki herhangi bir kullanıcının kimliğini doğrulamasını sağlar. Bu nedenle, CA'ların sertifika vermesine nasıl ve ne zaman izin verildiğini ve yeniden kullanılabilir tanımlayıcıları nasıl uyguladıklarını göz önünde bulundurmak önemlidir. Yöneticilerin kullanıcının kimliğini doğrulamak için yalnızca belirli bir sertifikanın kullanılabildiğinden emin olması gerektiğinde, yöneticiler yalnızca belirli bir sertifikanın kullanıcının kimliğini doğrulayabildiğine ilişkin daha yüksek düzeyde bir güvence elde etmek için özel olarak yüksek benşim bağlamaları kullanmalıdır. Daha fazla bilgi için bkz . yüksek benşim bağlamaları.

Microsoft Entra CBA'yi yapılandırma ve test etme adımları

Microsoft Entra CBA'yı etkinleştirmeden önce yapılması gereken bazı yapılandırma adımları. İlk olarak, bir yöneticinin kullanıcı sertifikaları veren güvenilen CA'ları yapılandırması gerekir. Aşağıdaki diyagramda görüldüğü gibi, değişiklik yapmak için yalnızca en az ayrıcalıklı yöneticilerin gerekli olduğundan emin olmak için rol tabanlı erişim denetimini kullanırız. CA'yi yalnızca Genel Yönetici istrator rolü yapılandırabilir.

İsteğe bağlı olarak, sertifikaları tek faktörlü veya çok faktörlü kimlik doğrulamasıyla eşlemek için kimlik doğrulama bağlamaları yapılandırabilir ve sertifika alanını kullanıcı nesnesinin özniteliğiyle eşlemek için kullanıcı adı bağlamalarını yapılandırabilirsiniz. Kimlik Doğrulama İlkesi Yönetici istrator'lar kullanıcıyla ilgili ayarları yapılandırabilir. Tüm yapılandırmalar tamamlandıktan sonra kiracıda Microsoft Entra CBA'yı etkinleştirin.

Diagram of the steps required to enable Microsoft Entra certificate-based authentication.

1. Adım: Sertifika yetkililerini yapılandırma

Microsoft Entra yönetim merkezini veya Microsoft Graph REST API'lerini ve Microsoft Graph PowerShell gibi desteklenen SDK'ları kullanarak sertifika yetkililerini (CA) yapılandırabilirsiniz. PKI altyapısı veya PKI yöneticisi, veren CA'ların listesini sağlayabilmelidir. Tüm CA'ları yapılandırdığınızdan emin olmak için kullanıcı sertifikasını açın ve 'sertifika yolu' sekmesine tıklayın ve kök Entra güven deposuna yüklenene kadar her CA'nın olduğundan emin olun. Eksik CA'lar varsa CBA kimlik doğrulaması başarısız olur.

Microsoft Entra yönetim merkezini kullanarak sertifika yetkililerini yapılandırma

Sertifika tabanlı kimlik doğrulamasını etkinleştirmek ve Microsoft Entra yönetim merkezinde kullanıcı bağlamalarını yapılandırmak için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.

  2. Koruma>Daha fazla>Güvenlik Merkezi (veya Kimlik Güvenli Puanı) >Sertifika yetkilisini göster'e göz atın.

  3. CA'yı karşıya yüklemek için Karşıya Yükle'yi seçin:

    1. CA dosyasını seçin.

    2. CA bir kök sertifikaysa Evet'i seçin, aksi takdirde Hayır'ı seçin.

    3. Sertifika İptal Listesi URL'si için, iptal edilen tüm sertifikaları içeren CA temel CRL'si için İnternet'e yönelik URL'yi ayarlayın. URL ayarlanmazsa, iptal edilen sertifikalarla kimlik doğrulaması başarısız olmaz.

    4. Delta Sertifika İptal Listesi URL'si için, son temel CRL yayımlandıktan sonra iptal edilen tüm sertifikaları içeren CRL için İnternet'e yönelik URL'yi ayarlayın.

    5. Ekle'yi seçin.

      Screenshot of how to upload certification authority file.

  4. CA sertifikasını silmek için sertifikayı seçin ve Sil'i seçin.

  5. Sütun eklemek veya silmek için Sütunlar'ı seçin.

Not

Mevcut CA'nın süresi dolduysa yeni BIR CA'nın karşıya yüklenmesi başarısız olur. Genel Yönetici istrator süresi dolan CA'ları silip yeni CA'yı karşıya yüklemeyi yeniden denemelidir.

PowerShell kullanarak sertifika yetkililerini (CA) yapılandırma

Güvenilen CA için yalnızca bir CRL Dağıtım Noktası (CDP) desteklenir. CDP yalnızca HTTP URL'leri olabilir. Çevrimiçi Sertifika Durum Protokolü (OCSP) veya Basit Dizin Erişim Protokolü (LDAP) URL'leri desteklenmez.

Sertifika yetkililerinizi Microsoft Entra Id'de yapılandırmak için, her sertifika yetkilisi için aşağıdakileri karşıya yükleyin:

  • Sertifikanın .cer biçimdeki genel bölümü
  • Sertifika İptal Listelerinin (CRL) bulunduğu İnternet'e yönelik URL'ler

Sertifika yetkilisi şeması aşağıdaki gibi görünür:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Yapılandırma için Microsoft Graph PowerShell'i kullanabilirsiniz:

  1. Windows PowerShell'i yönetici ayrıcalıklarıyla başlatın.

  2. Microsoft Graph PowerShell'i yükleyin:

        Install-Module Microsoft.Graph

İlk yapılandırma adımı olarak, kiracınızla bir bağlantı kurmanız gerekir. Kiracınıza bir bağlantı olduğunda dizininizde tanımlanan güvenilen sertifika yetkililerini gözden geçirebilir, ekleyebilir, silebilir ve değiştirebilirsiniz.

Bağlan

Kiracınızla bağlantı kurmak için Bağlan-MgGraph kullanın:

    Connect-MgGraph

Alma

Dizininizde tanımlanan güvenilen sertifika yetkililerini almak için Get-MgOrganizationCertificateBasedAuthConfiguration komutunu kullanın.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Ekle

Not

Mevcut CA'lardan herhangi birinin süresi dolduğunda yeni CA'ların karşıya yüklenmesi başarısız olur. Kiracı Yönetici süresi dolan CA'ları silip yeni CA'yi karşıya yüklemelidir.

Microsoft Entra yönetim merkezinde ca eklemek için önceki adımları izleyin.

AuthorityType

  • Kök sertifika yetkilisini belirtmek için 0 kullanın
  • Ara veya Veren sertifika yetkilisini belirtmek için 1 kullanın

crlDistributionPoint

Önceki PowerShell örneğindeki crlDistributionPoint değerinin eklemek istediğiniz CA için geçerli olduğunu doğrulamak için CRL'yi indirebilir ve CA sertifikasını ve CRL bilgilerini karşılaştırabilirsiniz.

Aşağıdaki tablo ve grafik, CA sertifikasındaki bilgilerin indirilen CRL öznitelikleriyle nasıl eşlenip eşleneceğini gösterir.

CA Sertifika Bilgileri = İndirilen CRL Bilgileri
Konu = Sertifikayı veren
Konu Anahtarı Tanımlayıcısı = Yetkili Anahtar Tanımlayıcısı (KeyID)

Compare CA Certificate with CRL Information.

İpucu

Yukarıdaki örnekte crlDistributionPoint değeri, CA'nın Sertifika İptal Listesi'nin (CRL) http konumudur. Bu değer birkaç yerde bulunabilir:

  • CA'dan verilen bir sertifikanın CRL Dağıtım Noktası (CDP) özniteliğinde.

Veren CA Windows Server çalıştırıyorsa:

Daha fazla bilgi için bkz . Sertifika iptal işlemini anlama.

Sertifika Yetkilisi yapılandırmasını doğrulama

Yukarıdaki yapılandırma adımları sonucunun, sertifika yetkilisi güven zincirini doğrulamak ve yapılandırılan sertifika yetkilisi CRL dağıtım noktasından (CDP) sertifika iptal listesini (CRL) başarılı bir şekilde sorgulamak için Entra ID özelliği olduğundan emin olmak önemlidir. Bu göreve yardımcı olmak için MSIdentity Tools PowerShell modülünü yüklemeniz ve Test-MsIdCBATrustStoreConfiguration komutunu çalıştırmanız önerilir. Bu PowerShell cmdlet'i Entra kiracı sertifika yetkilisi yapılandırmasını gözden geçirir ve yaygın hatalı yapılandırma sorunları için hataları/uyarıları ortaya çıkartır.

2. Adım: Kiracıda CBA'yı etkinleştirme

Önemli

Kullanıcı, Kimlik Doğrulama yöntemleri ilkesinde Sertifika tabanlı kimlik doğrulaması kapsamında olduğunda MFA için uygun olarak kabul edilir. Bu ilke gereksinimi, bir kullanıcının diğer kullanılabilir yöntemleri kaydetmek için kimlik doğrulamasının bir parçası olarak yazım denetlemeyi kullanamama anlamına gelir. Kullanıcıların sertifikalara erişimi yoksa kilitlenir ve MFA için diğer yöntemleri kaydedemezler. Bu nedenle yöneticinin CBA kapsamında geçerli bir sertifikası olan kullanıcıları etkinleştirmesi gerekir. CBA hedefi için tüm kullanıcıları kullanmayın ve geçerli sertifikaları olan kullanıcı gruplarını kullanmayın. Daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması.

Microsoft Entra yönetim merkezinde sertifika tabanlı kimlik doğrulamasını etkinleştirmek için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.

  2. Gruplar>Tüm gruplar'a>göz atın Yeni grup'u seçin ve CBA kullanıcıları için bir grup oluşturun

  3. Koruma>Kimlik Doğrulaması yöntemleri>Sertifika Tabanlı Kimlik Doğrulaması'na göz atın.

  4. Etkinleştir ve Hedef altında Etkinleştir'i seçin.

  5. Tüm kullanıcılar'ı veya Grup ekle'yi seçerek yukarıda oluşturulan gruplar gibi belirli grupları seçin. Tüm kullanıcılar yerine belirli grupların kullanılması önerilir.

    Screenshot of how to enable CBA.

Kiracıda sertifika tabanlı kimlik doğrulaması etkinleştirildikten sonra, kiracıdaki tüm kullanıcılar bir sertifikayla oturum açma seçeneğini görür. Yalnızca sertifika tabanlı kimlik doğrulaması için etkinleştirilen kullanıcılar X.509 sertifikasını kullanarak kimlik doğrulaması yapabilir.

Not

Ağ yöneticisi, login.microsoftonline.com ek olarak müşterinin bulut ortamı için certauth uç noktasına erişim izni vermelidir. İstemci sertifika isteğinin TLS el sıkışmasının bir parçası olarak başarılı olduğundan emin olmak için certauth uç noktasında TLS incelemesini devre dışı bırakın.

3. Adım: Kimlik doğrulama bağlama ilkesini yapılandırma

Kimlik doğrulama bağlama ilkesi, kimlik doğrulamasının gücünü tek bir faktör veya çok faktörlü olarak belirlemeye yardımcı olur. Kiracıdaki sertifikaların varsayılan koruma düzeyi tek faktörlü kimlik doğrulamasıdır.

Kimlik Doğrulama İlkesi Yönetici istrator, tek faktörlü olan varsayılan değeri çok faktörlü olarak değiştirebilir ve özel ilke kurallarını yapılandırabilir. Kimlik doğrulama bağlama kuralları Veren veya İlke OID veya Veren ve İlke OID gibi sertifika özniteliklerini bir değerle eşler ve bu kural için varsayılan koruma düzeyini seçer. Birden çok kural oluşturabilirsiniz.

Microsoft Entra yönetim merkezinde kiracı varsayılan ayarlarını değiştirmek için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.

  2. Koruma>Kimlik Doğrulama yöntemleri İlkeleri'ne> göz atın.

  3. Yönet'in altında Kimlik doğrulama yöntemleri>Sertifika Tabanlı Kimlik Doğrulama'yı seçin.

    Screenshot of Authentication policy.

  4. Kimlik doğrulama bağlamasını ve kullanıcı adı bağlamasını ayarlamak için Yapılandır'ı seçin.

  5. Koruma düzeyi özniteliğinin varsayılan değeri Tek faktörlü kimlik doğrulamasıdır. Varsayılan değeri MFA olarak değiştirmek için Çok faktörlü kimlik doğrulaması'nı seçin.

    Not

    Özel kural eklenmezse varsayılan koruma düzeyi değeri etkindir. Özel kurallar eklenirse, bunun yerine kural düzeyinde tanımlanan koruma düzeyine uyulur.

    Screenshot of how to change the default policy to MFA.

  6. İstemci sertifikalarının koruma düzeyini belirlemeye yardımcı olmak için özel kimlik doğrulama bağlama kuralları da ayarlayabilirsiniz. Sertifikadaki veren Konu veya İlke OID alanları kullanılarak yapılandırılabilir.

    Kimlik doğrulama bağlama kuralları sertifika özniteliklerini (veren veya İlke OID) bir değerle eşler ve bu kural için varsayılan koruma düzeyini seçer. Birden çok kural oluşturulabilir.

    Özel kurallar eklemek için Kural ekle'yi seçin.

    Screenshot of how to add a rule.

    Sertifika verene göre kural oluşturmak için Sertifika veren'i seçin.

    1. Liste kutusundan bir Sertifika veren tanımlayıcısı seçin.

    2. Çok faktörlü kimlik doğrulaması, Düşük benşim bağlama'yı seçin ve Ekle'ye tıklayın. İstendiğinde, kuralı eklemeyi tamamlamak için Kabul ediyorum'a tıklayın.

      Screenshot of multifactor authentication policy.

    İlke OID'ye göre kural oluşturmak için İlke OID'yi seçin.

    1. İlke OID için bir değer girin.

    2. Çok faktörlü kimlik doğrulaması, Düşük benşim bağlama'yı seçin ve Ekle'ye tıklayın. İstendiğinde, kuralı eklemeyi tamamlamak için Kabul ediyorum'a tıklayın. .

      Screenshot of mapping to Policy OID.

    Veren ve İlke OID'sine göre kural oluşturmak için:

    1. Sertifika Veren ve İlke OID'yi seçin.

    2. Vereni seçin ve ilke OID'sini girin.

    3. Kimlik doğrulama gücü için Tek faktörlü kimlik doğrulaması veya Çok faktörlü kimlik doğrulaması'yı seçin.

    4. Benşim bağlaması için Düşük'e tıklayın.

      Screenshot of how to select a low affinity binding.

    5. Ekle'yi seçin.

      Screenshot of how to add a low affinity binding.

    6. İlke OID'si 3.4.5.6 olan ve CN=CBATestRootProd tarafından verilen bir sertifikayla kimlik doğrulaması yapın. Kimlik doğrulaması geçirip çok faktörlü bir talep almalıdır.

Önemli

Entra kiracı yöneticisinin hem Veren hem de İlke OID'sini kullanarak bir CBA kimlik doğrulama ilkesi kuralı yapılandırmasının aşağıdakiler gibi bazı cihaz kayıt senaryolarını etkilediği bilinen bir sorun vardır:

  • İş İçin Windows Hello kaydı
  • Fido2 Güvenlik Anahtarı kaydı
  • Windows Parolasız Telefon Oturum Açma

Workplace Join, Entra ID ve Hybrid Entra ID cihaz katılım senaryolarıyla cihaz kaydı etkilenmez. Veren VEYA İlke OID kullanan CBA kimlik doğrulama ilkesi kuralları etkilenmez. Azaltmak için yöneticilerin şunları yapması gerekir:

  • Sertifika tabanlı kimlik doğrulama ilkesi kurallarını şu anda hem Veren hem de İlke OID seçeneklerini kullanarak düzenleyin ve Veren veya OID gereksinimini kaldırın ve kaydedin. VEYA
  • Şu anda hem Veren hem de İlke OID kullanan kimlik doğrulama ilkesi kuralını kaldırın ve yalnızca vereni veya ilke OID'sini kullanarak kurallar oluşturun

Sorunu çözmek için çalışıyoruz.

Veren ve Seri Numarasına göre kural oluşturmak için:

  1. İlkeOID 1.2.3.4.6 ile CN=CBATestRootProd tarafından verilen tüm sertifikaları gerektiren bir kimlik doğrulama bağlama ilkesi ekleyin (yani, Veren ve seri numarası kullanılır).

    Screenshot of Issuer and Serial Number added the Microsoft Entra admin center.

  2. Sertifika alanını seçin. Bu örnekte Veren ve Seri numarası'yı seçeceğiz.

    Screenshot of how to select Issuer and Serial Number.

  3. Desteklenen tek kullanıcı özniteliği CertificateUserIds'dir. Ekle'yi seçin.

    Screenshot of how to add Issuer and Serial Number.

  4. Kaydet'i seçin.

Oturum açma işlemleri günlüğü hangi bağlamanın kullanıldığını ve sertifikanın ayrıntılarını gösterir.

Screenshot of Sign-ins log.

  1. Herhangi bir özel kuralı kaydetmek için Tamam'ı seçin.

Önemli

Nesne tanımlayıcı biçimini kullanarak PolicyOID girin. Örneğin, sertifika ilkesiNde Tüm Verme İlkeleri yazıyorsa, kuralı eklediğinizde OID değerini 2.5.29.32.0 olarak girin. Tüm Verme İlkeleri dizesi kural düzenleyicisi için geçersizdir ve geçerli olmaz.

4. Adım: Kullanıcı adı bağlama ilkesini yapılandırma

Kullanıcı adı bağlama ilkesi, kullanıcının sertifikasını doğrulamaya yardımcı olur. Varsayılan olarak, kullanıcıyı belirlemek için sertifikadaki Asıl Adı kullanıcı nesnesindeki UserPrincipalName ile eşleriz.

Kimlik Doğrulama İlkesi Yönetici istrator varsayılanı geçersiz kılabilir ve özel eşleme oluşturabilir. Kullanıcı adı bağlamasını yapılandırmayı belirlemek için bkz . Kullanıcı adı bağlama nasıl çalışır?

certificateUserIds özniteliğini kullanan senaryolar hakkında daha fazla bilgi için bkz . Sertifika kullanıcı kimlikleri.

Önemli

Kullanıcı adı bağlama ilkesi certificateUserIds, onPremisesUserPrincipalName ve kullanıcı nesnesinin userPrincipalName özniteliği gibi eşitlenmiş öznitelikler kullanıyorsa, Active Directory'de yönetici ayrıcalıklarına sahip hesapların (kullanıcı nesneleri üzerinde temsilci haklarına veya Entra Bağlan Sunucusu'nda yönetici haklarına sahip hesaplar gibi) Entra Kimliği'nde bu öznitelikleri etkileyen değişiklikler yapabileceklerini unutmayın.

  1. Kullanıcı özniteliklerinden biriyle bağlamak için X.509 sertifika alanlarından birini seçerek kullanıcı adı bağlamasını oluşturun. Kullanıcı adı bağlama sırası bağlamanın öncelik düzeyini temsil eder. İlki en yüksek önceliğe sahiptir, vb.

    Screenshot of a username binding policy.

    Belirtilen X.509 sertifika alanı sertifikada bulunursa, ancak Microsoft Entra Id bu değeri kullanan bir kullanıcı nesnesi bulamazsa, kimlik doğrulaması başarısız olur. Microsoft Entra Id listede bir sonraki bağlamayı dener.

  2. Değişiklikleri kaydetmek için Kaydet'i seçin.

Son yapılandırma şu görüntüye benzer olacaktır:

Screenshot of the final configuration.

5. Adım: Yapılandırmanızı test edin

Bu bölüm, sertifikanızı ve özel kimlik doğrulama bağlama kurallarınızı test etme konularını kapsar.

Sertifikanızı test edin

İlk yapılandırma testi olarak, cihaz tarayıcınızı kullanarak MyApps portalında oturum açmayı denemeniz gerekir.

  1. Kullanıcı Asıl Adınızı (UPN) girin.

    Screenshot of the User Principal Name.

  2. İleri'yi seçin.

    Screenshot of sign-in with certificate.

    Telefon oturum açma veya FIDO2 gibi diğer kimlik doğrulama yöntemlerini etkinleştirdiyseniz, kullanıcılar farklı bir oturum açma ekranı görebilir.

    Screenshot of the alternative sign-in.

  3. Sertifikayla oturum aç'ı seçin.

  4. İstemci sertifikası seçici kullanıcı arabiriminde doğru kullanıcı sertifikasını seçin ve Tamam'ı seçin.

    Screenshot of the certificate picker UI.

  5. Kullanıcıların MyApps portalında oturum açması gerekir.

Oturum açma işleminiz başarılı olursa şunları biliyorsunuzdur:

  • Kullanıcı sertifikası test cihazınıza sağlanmıştır.
  • Microsoft Entra Id güvenilir CA'larla doğru yapılandırıldı.
  • Kullanıcı adı bağlaması doğru yapılandırılır ve kullanıcı bulunur ve kimliği doğrulanır.

Özel kimlik doğrulama bağlama kurallarını test edin

Güçlü kimlik doğrulamasını doğruladığımız bir senaryoya göz atalım. Biri tek faktörlü kimlik doğrulamasını karşılamak için vereni, diğeri de çok faktörlü kimlik doğrulamasını karşılamak için ilke OID'sini kullanarak olmak üzere iki kimlik doğrulama ilkesi kuralı oluşturacağız.

  1. Koruma düzeyi tek faktörlü kimlik doğrulaması ve cas Konu değerinize ayarlanmış değer olarak bir veren Konu kuralı oluşturun. Örneğin:

    CN = WoodgroveCA

  2. Koruma düzeyi çok faktörlü kimlik doğrulaması ve değeri sertifikanızdaki ilke OID'lerinden birine ayarlanmış bir ilke OID kuralı oluşturun. Örneğin, 1.2.3.4.

    Screenshot of the Policy OID rule.

  3. Koşullu Erişim - MFA gerektir'deki adımları izleyerek kullanıcının çok faktörlü kimlik doğrulaması gerektirmesi için bir Koşullu Erişim ilkesi oluşturun.

  4. MyApps portalına gidin. UPN'nizi girin ve İleri'yi seçin.

    Screenshot of the User Principal Name.

  5. Sertifikayla oturum aç'ı seçin.

    Screenshot of sign-in with certificate.

    Telefon oturum açma veya güvenlik anahtarları gibi diğer kimlik doğrulama yöntemlerini etkinleştirdiyseniz, kullanıcılar farklı bir oturum açma ekranı görebilir.

    Screenshot of the alternative sign-in.

  6. İstemci sertifikasını seçin ve Sertifika Bilgileri'ni seçin.

    Screenshot of the client picker.

  7. Sertifika görüntülenir ve veren ve ilke OID değerlerini doğrulayabilirsiniz. Screenshot of the issuer.

  8. İlke OID değerlerini görmek için Ayrıntılar'ı seçin.

    Screenshot of the authentication details.

  9. İstemci sertifikasını seçin ve Tamam'ı seçin.

  10. Sertifikadaki ilke OID'i yapılandırılmış 1.2.3.4 değeriyle eşleşir ve çok faktörlü kimlik doğrulamasını karşılar. Benzer şekilde, sertifikadaki veren CN=WoodgroveCA'nın yapılandırılmış değeriyle eşleşir ve tek faktörlü kimlik doğrulamasını karşılar.

  11. İlke OID kuralı veren kuralından öncelikli olduğundan, sertifika çok faktörlü kimlik doğrulamasını karşılar.

  12. Kullanıcının Koşullu Erişim ilkesi MFA gerektirir ve sertifika çok faktörlü olduğundan kullanıcının uygulamada oturum açabilmesini sağlar.

Kullanıcı adı bağlama ilkesini test edin

Kullanıcı adı bağlama ilkesi, kullanıcının sertifikasını doğrulamaya yardımcı olur. Kullanıcı adı bağlama ilkesi için desteklenen üç bağlama vardır:

  • IssuerAndSerialNumber > CertificateUserIds
  • IssuerAndSubject > CertificateUserIds
  • Konu > SertifikasıKullanıcı Kimlikleri

Varsayılan olarak, Microsoft Entra Id, kullanıcıyı belirlemek için sertifikadaki Asıl Adı kullanıcı nesnesindeki UserPrincipalName ile eşler. Kimlik Doğrulama İlkesi Yönetici istrator, 4. Adım'da daha önce açıklandığı gibi varsayılanı geçersiz kılabilir ve özel eşleme oluşturabilir.

Yeni bağlamaları etkinleştirmeden önce, kimlik doğrulama ilkesi Yönetici istratörü, ilgili kullanıcı adı bağlamaları için Sertifika Kullanıcı Kimlikleri kullanıcı nesnesi özniteliğinde bağlamalar için doğru değerlerin güncelleştirildiğinden emin olmalıdır.

Önemli

Veren, Konu ve SeriSayı değerlerinin biçimi, sertifikadaki biçimlerinin ters sırada olmalıdır. Veren'e veya Konu'ya boşluk eklemeyin.

Veren ve Seri Numarası el ile eşleme

Burada, Veren ve Seri Numarası el ile eşleme örneği verilmiştır. Eklenecek Veren değeri:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Screenshot of the Issuer value.

Seri numarası için doğru değeri almak için aşağıdaki komutu çalıştırın ve CertificateUserIds içinde gösterilen değeri depolayın. Komut söz dizimi şöyledir:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Örneğin:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

certutil komutu için bir örnek aşağıda verilmiştir:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

CertificateUserId'ye eklenecek SerialNumber değeri:

b24134139f069b49997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Sorun ve Konu el ile eşleme

Sorun ve Konu el ile eşleme için bir örnek aşağıda verilmiştır. Veren değeri:

Screenshot of the Issuer value when used with multiple bindings.

Konu değeri:

Screenshot of the Subject value.

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Konu el ile eşleme

Konu el ile eşleme için bir örnek aşağıda verilmiştır. Konu değeri:

Screenshot of another Subject value.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Benzite bağlamayı test et

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.

  2. Koruma>Kimlik Doğrulama yöntemleri İlkeleri'ne> göz atın.

  3. Yönet'in altında Kimlik doğrulama yöntemleri>Sertifika Tabanlı Kimlik Doğrulama'yı seçin.

  4. Yapılandır'yı seçin.

  5. Gerekli Benşim Bağlaması'nı kiracı düzeyinde ayarlayın.

    Önemli

    Kiracı genelinde benşim ayarına dikkat edin. Kiracı için Gerekli Benşim Bağlamasını değiştirirseniz ve kullanıcı nesnesinde uygun değerlere sahip değilseniz kiracının tamamını kilitleyebilirsiniz. Benzer şekilde, tüm kullanıcılar için geçerli olan ve yüksek benzeşim bağlaması gerektiren özel bir kural oluşturursanız, kiracıdaki kullanıcılar kilitlenebilir.

    Screenshot of how to set required affinity binding.

  6. Test etmek için Gerekli Benşim Bağlaması'nın Düşük olmasını seçin.

  7. SKI gibi yüksek benans bağlaması ekleyin. Kullanıcı adı bağlama altında Kural ekle'yi seçin.

  8. SKI'yi seçin ve Ekle'yi seçin.

    Screenshot of how to add an affinity binding.

    Tamamlandığında kural şu ekran görüntüsüne benzer:

    Screenshot of a completed affinity binding.

  9. Tüm kullanıcı nesneleri CertificateUserIds özniteliğini, kullanıcı sertifikasından doğru SKI değerine sahip olacak şekilde güncelleştirin. Daha fazla bilgi için bkz . CertificateUserIDs için desteklenen desenler.

  10. Kimlik doğrulama bağlaması için özel bir kural oluşturun.

  11. Ekle'yi seçin.

    Screenshot of a custom authentication binding.

    Tamamlandığında kural şu ekran görüntüsüne benzer:

    Screenshot of a custom rule.

  12. CertificateUserIds kullanıcısını sertifikadan doğru SKI değeriyle OID 9.8.7.5 ilkesiyle güncelleştirin.

  13. İlke OID 9.8.7.5 olan bir sertifikayla test edin ve kullanıcının ski bağlaması ile kimlik doğrulaması yapılıp yalnızca sertifikayla MFA alınmalıdır.

Microsoft Graph API'sini kullanarak CBA'yı etkinleştirme

CBA'yı etkinleştirmek ve Graph API kullanarak kullanıcı adı bağlamalarını yapılandırmak için aşağıdaki adımları tamamlayın.

Not

Aşağıdaki adımlarda, ABD Kamu bulutunda bulunmayan Graph Explorer kullanılır. US Government bulut kiracıları, Microsoft Graph sorgularını test etmek için Postman kullanabilir.

  1. Microsoft Graph Gezgini'ne gidin.

  2. Graph Gezgini'nde oturum aç'ı seçin ve kiracınızda oturum açın.

  3. Policy.ReadWrite.AuthenticationMethod temsilci iznine onay vermek için adımları izleyin.

  4. GET tüm kimlik doğrulama yöntemleri:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. x509 Sertifika kimlik doğrulama yöntemi için yapılandırmayı ALıN:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Varsayılan olarak, x509 Sertifika kimlik doğrulama yöntemi devre dışıdır. Kullanıcıların bir sertifikayla oturum açmasına izin vermek için, kimlik doğrulama yöntemini etkinleştirmeniz ve bir güncelleştirme işlemi aracılığıyla kimlik doğrulaması ve kullanıcı adı bağlama ilkelerini yapılandırmanız gerekir. İlkeyi güncelleştirmek için bir PATCH isteği çalıştırın.

    İstek gövdesi:

    PATCH https: //graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Bir yanıt kodu alırsınız 204 No content . İlkelerin doğru güncelleştirildiğinden emin olmak için GET isteğini yeniden çalıştırın.

  8. İlkeyi karşılayan bir sertifikayla oturum açarak yapılandırmayı test edin.

Sonraki adımlar