Aracılığıyla paylaş

Microsoft Entra sertifika tabanlı kimlik doğrulamayı ayarlama

Kuruluşunuz, Microsoft Entra sertifika tabanlı kimlik doğrulaması (CBA) kullanarak kullanıcı X.509 sertifikaları aracılığıyla kimlik avına dayanıklı, modern ve parolasız kimlik doğrulaması uygulayabilir.

Bu makalede, Microsoft Entra kiracınızı kiracı kullanıcılarının X.509 sertifikalarını kullanarak kimlik doğrulamasına izin verecek veya bunları gerektirecek şekilde ayarlamayı öğrenin. Kullanıcı, uygulama ve tarayıcı oturum açma için kurumsal ortak anahtar altyapısını (PKI) kullanarak bir X.509 sertifikası oluşturur.

Microsoft Entra CBA ayarlandığında, oturum açma sırasında kullanıcı parola girmek yerine sertifika kullanarak kimlik doğrulaması seçeneği görür. Cihazda birden çok eşleşen sertifika bulunuyorsa, kullanıcı ilgili sertifikayı seçer ve sertifika kullanıcı hesabında doğrulanır. Doğrulama başarılı olursa kullanıcı oturum açar.

Office 365 Kurumsal ve ABD Kamu planlarındaki kiracılar için Microsoft Entra CBA'yı yapılandırmak ve kullanmak için bu makalede açıklanan adımları tamamlayın. Zaten yapılandırılmış bir PKI'nız olmalıdır.

Önkoşullar

Aşağıdaki önkoşulların uygulandığından emin olun:

  • En az bir sertifika yetkilisi (CA) ve ara CA'lar Microsoft Entra Kimliği'nde yapılandırılır.
  • Kullanıcının, Microsoft Entra Id'de istemci kimlik doğrulaması için tasarlanan kiracıda yapılandırılmış güvenilir bir PKI'dan verilen bir kullanıcı sertifikasına erişimi vardır.
  • Her CA'nın, İnternet'e yönelik URL'lerden başvurulabilen bir sertifika iptal listesi (CRL) vardır. Güvenilen CA'nın yapılandırılmış bir CRL'si yoksa, Microsoft Entra ID herhangi bir CRL denetimi gerçekleştirmez, kullanıcı sertifikalarının iptali çalışmaz ve kimlik doğrulaması engellenmez.

Değerlendirmeler

  • PKI'nın güvenli olduğundan ve kolayca gizliliğinin tehlikeye girilediğinden emin olun. Bir ihlal oluşursa, saldırgan istemci sertifikaları oluşturup imzalayabilir ve şirket içinden eşitlenen kullanıcılar da dahil olmak üzere kiracıdaki tüm kullanıcıların güvenliğini aşabilir. Güçlü bir anahtar koruma stratejisi ve diğer fiziksel ve mantıksal denetimler, dış saldırganların veya içeriden gelen tehditlerin PKI bütünlüğünü tehlikeye atmasını önlemek için derinlemesine savunma sağlayabilir. Daha fazla bilgi için bkz . PKI güvenliğini sağlama.

  • Algoritma seçimi, anahtar uzunluğu ve veri koruması gibi Microsoft Şifrelemesi için en iyi yöntemler için bkz. Microsoft önerileri. Önerilen algoritmalardan birini, önerilen anahtar uzunluğunu ve NIST onaylı eğrileri kullandığınızdan emin olun.

  • Devam eden güvenlik geliştirmeleri kapsamında, Azure ve Microsoft 365 uç noktaları TLS 1.3 desteği ekledi. Azure ve Microsoft 365 genelindeki binlerce hizmet uç noktasını kapsayacak şekilde işlemin birkaç ay sürmesi beklenmektedir. Microsoft Entra CBA'nın kullandığı Microsoft Entra uç noktası güncelleştirmeye dahildir: *.certauth.login.microsoftonline.com ve *.certauth.login.microsoftonline.us.

    TLS 1.3, İnternet'in en yaygın olarak dağıtılan güvenlik protokolünün en son sürümüdür. TLS 1.3, iki uç nokta arasında güvenli bir iletişim kanalı sağlamak için verileri şifreler. Eski şifreleme algoritmalarını ortadan kaldırır, önceki sürümlere göre güvenliği artırır ve el sıkışmasının mümkün olduğunca çoğunu şifreler. Uygulamalarınızda ve hizmetlerinizde TLS 1.3'i test etmeye başlamanızı kesinlikle öneririz.

  • Bir PKI'yı değerlendirirken sertifika verme ilkelerini ve zorlamayı gözden geçirmek önemlidir. Daha önce açıklandığı gibi, Microsoft Entra yapılandırmasına CA'lar eklemek, bu CA'lar tarafından verilen sertifikaların Microsoft Entra Id'deki tüm kullanıcıların kimliğini doğrulamasını sağlar.

    CA'ların sertifika vermesine nasıl ve ne zaman izin verildiğini ve yeniden kullanılabilir tanımlayıcıları nasıl uyguladıklarını göz önünde bulundurmak önemlidir. Yöneticilerin yalnızca belirli bir sertifikanın kullanıcının kimliğini doğrulamak için kullanılabildiğinden emin olması gerekir, ancak yalnızca belirli bir sertifikanın kullanıcının kimliğini doğrulayabileceğinize ilişkin daha yüksek düzeyde bir güvence elde etmek için özel olarak yüksek benşim bağlamaları kullanmaları gerekir. Daha fazla bilgi için bkz. Yüksek benşim bağlamaları.

Microsoft Entra CBA'yi yapılandırma ve test edin

Microsoft Entra CBA'yı açmadan önce bazı yapılandırma adımlarını tamamlamanız gerekir.

Yöneticinin, kullanıcı sertifikaları veren güvenilen CA'ları yapılandırması gerekir. Aşağıdaki diyagramda gösterildiği gibi Azure, değişiklik yapmak için yalnızca en az ayrıcalıklı yöneticilerin gerekli olduğundan emin olmak için rol tabanlı erişim denetimi (RBAC) kullanır.

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu uygulama, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, acil durum senaryolarıyla veya mevcut bir rolü kullanamıyorsanız sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

İsteğe bağlı olarak, sertifikaları tek faktörlü kimlik doğrulamasına veya çok faktörlü kimlik doğrulamasına (MFA) eşlemek için kimlik doğrulama bağlamalarını yapılandırabilirsiniz. Sertifika alanını kullanıcı nesnesinin özniteliğiyle eşlemek için kullanıcı adı bağlamalarını yapılandırın. Kimlik Doğrulama İlkesi Yöneticisi, kullanıcıyla ilgili ayarları yapılandırabilir.

Tüm yapılandırmalar tamamlandığında, kiracıda Microsoft Entra CBA'yı açın.

Microsoft Entra sertifika tabanlı kimlik doğrulamasını açmak için gereken adımlara genel bir bakış gösteren diyagram.

1. Adım: CA'ları PKI tabanlı bir güven deposuyla yapılandırma

Microsoft Entra'nın yeni bir PKI tabanlı CA güven deposu vardır. Güven deposu, CA'ları her PKI için bir kapsayıcı nesnesi içinde tutar. Yöneticiler, PKI'yı temel alan bir kapsayıcıdaki CA'ları düz bir CA listesini yönetmeye kıyasla daha kolay yönetebilir.

PKI tabanlı güven deposu, CA sayısı ve her CA dosyasının boyutu için klasik güven deposundan daha yüksek sınırlara sahiptir. PKI tabanlı güven deposu, her CA nesnesi için en fazla 250 CA ve 8 KB destekler.

CA'ları yapılandırmak için klasik güven deposu kullanıyorsanız, PKI tabanlı bir güven deposu ayarlamanızı kesinlikle öneririz. PKI tabanlı güven deposu ölçeklenebilir ve veren ipuçları gibi yeni işlevleri destekler.

Yöneticinin, kullanıcı sertifikaları veren güvenilen CA'ları yapılandırması gerekir. Değişiklik yapmak için yalnızca en az ayrıcalıklı yöneticiler gereklidir. PKI tabanlı bir güven deposuna Privileged Authentication Administrator rolü atanır.

PKI tabanlı güven deposunun PKI karşıya yükleme özelliği yalnızca Microsoft Entra ID P1 veya P2 lisansıyla kullanılabilir. Ancak, Microsoft Entra ücretsiz lisansıyla, bir yönetici bir PKI dosyasını karşıya yükleyerek yerine tüm CA'ları tek tek karşıya yükleyebilir. Ardından PKI tabanlı güven depolarını yapılandırabilir ve karşıya yüklenen CA dosyalarını ekleyebilirler.

Microsoft Entra yönetim merkezini kullanarak CA'ları yapılandırma

PKI kapsayıcı nesnesi oluşturma (Microsoft Entra yönetim merkezi)

PKI kapsayıcı nesnesi oluşturmak için:

  1. Ayrıcalıklı Kimlik Doğrulama Yöneticisi rolü atanmış bir hesapla Microsoft Entra yönetim merkezinde oturum açın.

  2. Entra ID>Identity Secure Score>Ortak anahtar altyapısına gidin.

  3. PKI Oluştur'u seçin.

  4. Görünen Ad için bir ad girin.

  5. Oluştur'i seçin.

    PKI oluşturmak için gereken adımları gösteren diyagram.

  6. Sütun eklemek veya silmek için Sütunları düzenle'yi seçin.

  7. PKI listesini yenilemek için Yenile'yi seçin.

PKI kapsayıcı nesnesini silme

PKI'yı silmek için PKI'yı ve ardından Sil'i seçin. PKI CA'lar içeriyorsa, PKI'daki tüm CA'ların silinmesini onaylamak için PKI'nın adını girin. Ardından Sil'i seçin.

PKI'yı silmek için gereken adımları gösteren diyagram.

Tek tek CA'ları PKI kapsayıcı nesnesine yükleme

CA'yı PKI kapsayıcısına yüklemek için:

  1. Sertifika yetkilisi ekle'yi seçin.

  2. CA dosyasını seçin.

  3. CA bir kök sertifikaysa Evet'i seçin. Aksi takdirde Hayır'ı seçin.

  4. Sertifika İptal Listesi URL'si için, iptal edilen tüm sertifikaları içeren CA temel CRL'si için İnternet'e yönelik URL'yi girin. URL ayarlanmamışsa, iptal edilen sertifika kullanılarak kimlik doğrulaması girişimi başarısız olmaz.

  5. Delta Sertifika İptal Listesi URL'si için, son temel CRL yayımlandıktan sonra iptal edilen tüm sertifikaları içeren CRL için İnternet'e yönelik URL'yi girin.

  6. CA'nın veren ipuçlarına dahil edilmemesi gerekiyorsa, veren ipuçlarını kapatın. Veren ipuçları bayrağı varsayılan olarak kapalıdır.

  7. Kaydet'i seçin.

  8. CA'yı silmek için CA'yı ve ardından Sil'i seçin.

    CA sertifikasının nasıl silindiğini gösteren diyagram.

  9. Sütun eklemek veya silmek için Sütunları düzenle'yi seçin.

  10. PKI listesini yenilemek için Yenile'yi seçin.

Başlangıçta 100 CA sertifikası gösterilir. Bölmeyi aşağı kaydırdığınızda daha fazlası görünür.

Tüm CA'ları PKI kapsayıcı nesnesine yükleme

Tüm CA'ları bir PKI kapsayıcısına toplu olarak yüklemek için:

  1. Bir PKI kapsayıcı nesnesi oluşturun veya var olan bir kapsayıcıyı açın.

  2. PKI Yükle'yi seçin.

  3. Dosyanın İNTERNET'e yönelik HTTP URL'sini .p7b girin.

  4. Dosyanın SHA-256 sağlama toplamını girin.

  5. Yükleme seçin.

    PKI karşıya yükleme işlemi zaman uyumsuzdur. Her CA yüklendiğinde, PKI'de kullanılabilir olur. Tüm PKI yüklemesi 30 dakika kadar sürebilir.

  6. CA listesini yenilemek için Yenile'yi seçin.

  7. Karşıya yüklenen her CA CRL uç noktası özniteliği, CA sertifikasının crl dağıtım noktaları özniteliği olarak listelenen ilk kullanılabilir HTTP URL'si ile güncelleştirilir. Yaprak sertifikaları el ile güncelleştirmeniz gerekir.

PKI .p7b dosyasının SHA-256 sağlama toplamını oluşturmak için şunu çalıştırın:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

PKI'yı düzenleme

  1. PKI satırında ... öğesini ve ardından Düzenle'yi seçin.
  2. Yeni bir PKI adı girin.
  3. Kaydet'i seçin.

Bir CA düzenle

  1. CA satırında ... öğesini ve ardından Düzenle'yi seçin.
  2. CA türü (kök veya ara), CRL URL'si, delta CRL URL'si veya gereksinimlerinize göre veren ipuçları etkin bayrağı için yeni değerler girin.
  3. Kaydet'i seçin.

Veren ipuçları özniteliğini toplu düzenleme

  1. Birden çok CA'yı düzenlemek ve Veren ipuçları etkin özniteliğini açmak veya kapatmak için birden çok CA seçin.
  2. Düzenle'yi ve ardından Veren ipuçlarını düzenle'yi seçin.
  3. Seçili tüm CA'lar için Veren ipuçları etkinleştirildi onay kutusunu seçin veya seçilen tüm CA'lar için Veren ipuçları etkin bayrağını kapatmak için seçimi temizleyin. Varsayılan değer Belirsiz'dir.
  4. Kaydet'i seçin.

PKI'yı geri yükleme

  1. Silinmiş PKI'ler sekmesini seçin.
  2. PKI'yı seçin ve PKI'yı geri yükle'yi seçin.

CA'yı geri yükle

  1. Silinen CA'lar sekmesini seçin.
  2. CA dosyasını ve ardından Sertifika yetkilisini geri yükle'yi seçin.

CA için isIssuerHintEnabled özniteliğini yapılandırma

Veren ipuçları, Aktarım Katmanı Güvenliği (TLS) el sıkışmasının bir parçası olarak güvenilir bir CA göstergesi gönderir. Güvenilen CA listesi, kiracının Microsoft Entra güven deposuna yüklediği CA'ların konusuna ayarlanır. Daha fazla bilgi için bkz. Veren ipuçlarını anlama.

Varsayılan olarak, Microsoft Entra güven deposundaki tüm CA'ların konu adları ipucu olarak gönderilir. Yalnızca belirli CA'lar için bir ipucu göndermek istiyorsanız, veren ipucu özniteliğini isIssuerHintEnabled olarak trueayarlayın.

Sunucu, veren ipuçları (CA'nın konu adı) için TLS istemcisine en fazla 16 KB yanıt gönderebilir. özniteliğini isIssuerHintEnabledtrue yalnızca kullanıcı sertifikaları veren CA'lar için olarak ayarlamanızı öneririz.

Aynı kök sertifikadan birden çok ara CA kullanıcı sertifikası verirse, varsayılan olarak tüm sertifikalar sertifika seçicide görünür. Belirli CA'lar için olarak ayarlarsanız isIssuerHintEnabledtrue , sertifika seçicide yalnızca ilgili kullanıcı sertifikaları görüntülenir.

Microsoft Graph API'lerini kullanarak CA'ları yapılandırma

Aşağıdaki örneklerde, PKI veya CA için HTTP yöntemleri aracılığıyla Oluşturma, Okuma, Güncelleştirme ve Silme (CRUD) işlemlerini çalıştırmak için Microsoft Graph'ın nasıl kullanılacağı gösterilmektedir.

PKI kapsayıcı nesnesi oluşturma (Microsoft Graph)

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Tüm PKI nesnelerini alma

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

PKI kimliğine göre PKI nesnesi alma

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/
ConsistencyLevel: eventual

.p7b dosyası kullanarak CA'ları karşıya yükleme

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-id>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
     "uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
     "sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

PKI'daki tüm CA'ları alma

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities
ConsistencyLevel: eventual

CA kimliğine göre PKI'da belirli bir CA alma

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
ConsistencyLevel: eventual

Belirli bir CA veren ipuçları bayrağını güncelleştirme

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/<PKI-ID>/certificateAuthorities/<CA-ID>
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Ca'ları PowerShell kullanarak yapılandırma

Bu adımlar için Microsoft Graph PowerShell'i kullanın.

  1. Yönetici olarak çalıştır seçeneğini kullanarak PowerShell'i başlatın.

  2. Microsoft Graph PowerShell SDK'sını yükleyin ve içeri aktarın:

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Kiracıya bağlanın ve tümünü kabul edin:

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

PKI tabanlı güven deposu ile klasik CA deposu arasında öncelik belirleme

Ca hem PKI tabanlı CA deposunda hem de klasik CA deposunda varsa, PKI tabanlı güven deposu önceliklendirilir.

Klasik CA deposu şu senaryolarda önceliklendirilir:

  • Her iki depoda da bir CA var, PKI tabanlı depoda CRL yok, ancak klasik mağaza CA'sının geçerli bir CRL'si var.
  • Her iki depoda da bir CA vardır ve PKI tabanlı depo CA CRL'i klasik mağaza CA CRL'sinden farklıdır.

Oturum açma günlüğü

Microsoft Entra oturum açma günlüğü kesintiye uğradı girdisinin Ek Ayrıntılar altında, kimlik doğrulaması sırasında klasik veya eski güven deposunun kullanılıp kullanılmadığını belirten iki özniteliği vardır.

  • Kullanılan Eski Depo , PKI tabanlı bir deponun kullanıldığını belirtmek için 0 değerine sahiptir. 1 değeri, klasik veya eski bir deponun kullanıldığını gösterir.
  • Eski Mağaza Kullanım Bilgileri , klasik veya eski deponun kullanılmasının nedenini görüntüler.

PKI tabanlı bir depo veya klasik CA deposu kullanmak için oturum açma günlüğü girdisini gösteren ekran görüntüsü

Denetim günlüğü

Güven deposu içindeki bir PKI veya CA üzerinde çalıştırdığınız tüm CRUD işlemleri Microsoft Entra denetim günlüklerinde görünür.

Denetim Günlükleri bölmesini gösteren ekran görüntüsü.

Klasik CA deposundan PKI tabanlı bir depoya geçiş

Kiracı yöneticisi tüm CA'ları PKI tabanlı depoya yükleyebilir. Daha sonra PKI CA deposu klasik bir depoya göre önceliğe sahiptir ve tüm CBA kimlik doğrulaması PKI tabanlı depo üzerinden gerçekleşir. Kiracı yöneticisi, klasik veya eski deponun kullanıldığına ilişkin oturum açma günlüklerinde hiçbir gösterge olmadığını onayladıktan sonra klasik veya eski bir depodan CA'ları kaldırabilir.

Sıkça Sorulan Sorular

PKI karşıya yükleme neden başarısız oluyor?

PKI dosyasının geçerli olduğunu ve herhangi bir sorun olmadan erişilebildiğini doğrulayın. PKI dosyasının boyutu üst sınırı 2 MB'tır (her CA nesnesi için 250 CA ve 8 KB).

PKI karşıya yükleme için hizmet düzeyi sözleşmesi nedir?

PKI karşıya yükleme zaman uyumsuz bir işlemdir ve tamamlanması 30 dakikaya kadar sürebilir.

PKI dosyası için sha-256 sağlama toplamını nasıl oluşturabilirim?

PKI .p7b dosyasının SHA-256 sağlama toplamını oluşturmak için şu komutu çalıştırın:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

2. Adım: Kiracı için CBA'yi açma

Önemli

Kullanıcı, kimlik doğrulama yöntemleri ilkesinde CBA kapsamında olarak belirlendiğinde MFA'yi tamamlayabilen bir kullanıcı olarak kabul edilir. Bu ilke gereksinimi, bir kullanıcının diğer kullanılabilir yöntemleri kaydetmek için kimlik doğrulamasının bir parçası olarak kimlik doğrulamasını kullanamama anlamına gelir. Kullanıcının sertifikalara erişimi yoksa kilitlenir ve MFA için başka yöntemler kaydedemez. Kimlik Doğrulama İlkesi Yöneticisi rolüne atanan yöneticilerin CBA'yi yalnızca geçerli sertifikaları olan kullanıcılar için açması gerekir. CBA için tüm kullanıcıları eklemeyin. Yalnızca geçerli sertifikaları olan kullanıcı gruplarını kullanın. Daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması.

Microsoft Entra yönetim merkezi aracılığıyla CBA'yi açmak için:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi rolüne atanmış bir hesapla oturum açın.

  2. Tüm GruplarıGruplandır'a> gidin.

  3. Yeni grup'u seçin ve CBA kullanıcıları için bir grup oluşturun.

  4. Entra ID>Kimlik Doğrulama yöntemleri>Sertifika tabanlı kimlik doğrulaması'na gidin.

  5. Etkinleştir ve Hedef'in altında Etkinleştir'i ve ardından Kabul Ediyorum onay kutusunu seçin.

  6. Grup seç Grup>ekle'yi seçin.

  7. Oluşturduğunuz gruplar gibi belirli grupları seçin ve ardından Seç'i seçin. Tüm kullanıcılar yerine belirli grupları kullanın.

  8. Kaydet'i seçin.

    CBA'nın nasıl açıldığını gösteren ekran görüntüsü.

Kiracı için CBA açıldıktan sonra, kiracıdaki tüm kullanıcılar sertifika kullanarak oturum açma seçeneğini görür. Yalnızca CBA kullanabilen kullanıcılar X.509 sertifikası kullanarak kimlik doğrulaması yapabilir.

Not

Ağ yöneticisi, uç noktaya ek olarak kuruluşun bulut ortamı için sertifika kimlik doğrulama uç noktasına erişim izni login.microsoftonline.com vermelidir. İstemci sertifika isteğinin TLS el sıkışmasının bir parçası olarak başarılı olduğundan emin olmak için sertifika kimlik doğrulaması uç noktasında TLS incelemesini kapatın.

3. Adım: Kimlik doğrulama bağlama ilkesi yapılandırma

Kimlik doğrulama bağlama ilkesi, kimlik doğrulamasının gücünü tek bir faktöre veya MFA'ya ayarlamaya yardımcı olur. Kiracıdaki tüm sertifikalar için varsayılan koruma düzeyi tek faktörlü kimlik doğrulamasıdır.

Kiracı düzeyinde varsayılan benşim bağlaması düşük benzitedir. Kimlik Doğrulama İlkesi Yöneticisi, tek faktörlü kimlik doğrulaması olan varsayılan değeri MFA olarak değiştirebilir. Koruma düzeyi değişirse, kiracıdaki tüm sertifikalar MFA olarak ayarlanır. Benzer şekilde, kiracı düzeyinde benzeşim bağlaması yüksek benzeşim olarak ayarlanabilir. Daha sonra tüm sertifikalar yalnızca yüksek benşim öznitelikleri kullanılarak doğrulanır.

Önemli

Yöneticinin kiracı varsayılanını çoğu sertifika için geçerli olan bir değere ayarlaması gerekir. Yalnızca kiracı varsayılanından farklı bir koruma düzeyine veya benşim bağlamaya ihtiyaç duyan belirli sertifikalar için özel kurallar oluşturun. Tüm kimlik doğrulama yöntemi yapılandırmaları aynı ilke dosyasındadır. Birden çok yedekli kural oluşturmak, ilke dosya boyutu sınırını aşabilir.

Kimlik doğrulama bağlama kuralları Veren, İlke Nesne Kimliği (OID) ve Veren ve İlke OID gibi sertifika özniteliklerini belirtilen bir değerle eşler. Kurallar, bu kural için varsayılan koruma düzeyini ve benşim bağlamasını ayarlar.

Varsayılan kiracı ayarlarını değiştirmek ve Microsoft Entra yönetim merkezi aracılığıyla özel kurallar oluşturmak için:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi rolüne atanmış bir hesapla oturum açın.

  2. Entra ID>Kimlik Doğrulama yöntemleri İlkeleri'ne> gidin.

  3. Geçişleri yönet'in altında Kimlik doğrulama yöntemleri>Sertifika tabanlı kimlik doğrulama'yı seçin.

    Kimlik doğrulama ilkesinin nasıl ayarlandığını gösteren ekran görüntüsü.

  4. Kimlik doğrulama bağlamasını ve kullanıcı adı bağlamasını ayarlamak için Yapılandır'ı seçin.

  5. Varsayılan değeri MFA olarak değiştirmek için Çok faktörlü kimlik doğrulaması'nı seçin. Koruma düzeyi özniteliğinin varsayılan değeri Tek faktörlü kimlik doğrulamasıdır.

    Not

    Özel kural eklenmezse varsayılan koruma düzeyi etkindir. Özel bir kural eklerseniz, varsayılan koruma düzeyi yerine kural düzeyinde tanımlanan koruma düzeyine uyulur.

    Varsayılan kimlik doğrulama ilkesiniN MFA olarak nasıl değiştirildiğini gösteren ekran görüntüsü.

  6. Ayrıca, koruma düzeyi veya benşim bağlaması için kiracı varsayılanından farklı değerlere ihtiyaç duyan istemci sertifikalarının koruma düzeyini belirlemeye yardımcı olmak için özel kimlik doğrulama bağlama kuralları da ayarlayabilirsiniz. Sertifikadaki veren konusunu veya ilke OID'sini ya da her iki alanı kullanarak kuralları yapılandırabilirsiniz.

    Kimlik doğrulama bağlama kuralları, sertifika özniteliklerini (veren veya ilke OID) bir değerle eşler. değeri, bu kural için varsayılan koruma düzeyini ayarlar. Birden çok kural oluşturulabilir. Aşağıdaki örnekte, kiracı varsayılan değerinin Çok Faktörlü kimlik doğrulaması ve benşim bağlaması için Düşük olduğunu varsayalım.

    Özel kurallar eklemek için Kural ekle'yi seçin.

    Özel kuralın nasıl ekleneceğini gösteren ekran görüntüsü.

    Sertifika verene göre kural oluşturmak için:

    1. Sertifika veren'i seçin.

    2. Sertifika veren tanımlayıcısı için ilgili bir değer seçin.

    3. Kimlik doğrulaması gücü için Çok faktörlü kimlik doğrulaması'yı seçin.

    4. Benşim bağlaması için Düşük'e tıklayın.

    5. Ekle'yi seçin.

    6. İstendiğinde, kuralı eklemek için Kabul Ediyorum onay kutusunu seçin.

      MFA ilkesini yüksek benşim bağlamasına eşlemeyi gösteren ekran görüntüsü.

    İlke OID'ye göre kural oluşturmak için:

    1. İlke OID'yi seçin.

    2. İlke OID için bir değer girin.

    3. Kimlik doğrulaması gücü için Tek faktörlü kimlik doğrulaması'yı seçin.

    4. Benşim bağlaması için benzinim bağlaması için Düşük'e tıklayın.

    5. Ekle'yi seçin.

    6. İstendiğinde, kuralı eklemek için Kabul Ediyorum onay kutusunu seçin.

      İlke OID'sine düşük benşim bağlaması ile eşlemeyi gösteren ekran görüntüsü.

    Verene ve ilke OID'sine göre kural oluşturmak için:

    1. Sertifika veren ve İlke OID'yi seçin.

    2. Bir verici seçin ve poliçe OID'sini girin.

    3. Kimlik doğrulaması gücü için Çok faktörlü kimlik doğrulaması'yı seçin.

    4. Benşim bağlaması için Düşük'e tıklayın.

    5. Ekle'yi seçin.

      Düşük benşim bağlamasını seçmeyi gösteren ekran görüntüsü.

      Düşük benşim bağlaması eklemeyi gösteren ekran görüntüsü.

    6. İlke OID'sine 3.4.5.6 sahip ve tarafından CN=CBATestRootProdverilen bir sertifikayla kimlik doğrulaması yapın. Kimlik doğrulamasının çok faktörlü bir talep için geçtiğini doğrulayın.

    Verene ve seri numarasına göre kural oluşturmak için:

    1. Kimlik doğrulama bağlama ilkesi ekleyin. İlke, tarafından bir ilke OID'siyle verilen CN=CBATestRootProd tüm sertifikaların 1.2.3.4.6 yalnızca yüksek benans bağlaması gerektirmesini gerektirir. Veren ve seri numarası kullanılır.

      Microsoft Entra yönetim merkezine eklenen vereni ve seri numarasını gösteren ekran görüntüsü.

    2. Sertifika alanını seçin. Bu örnek için Veren'i ve seri numarasını seçin.

      Veren'in ve seri numarasının nasıl seçildiğini gösteren ekran görüntüsü.

    3. Desteklenen tek kullanıcı özniteliğidir certificateUserIds. Ekle'yi seçin certificateUserIds ve seçin.

      Veren ve seri numarasının nasıl ekleneceğini gösteren ekran görüntüsü.

    4. Kaydet'i seçin.

      Oturum açma günlüğü, oturum açma için kullanılan bağlamayı ve sertifikanın ayrıntılarını gösterir.

      Oturum açma günlüğü ayrıntılarını gösteren ekran görüntüsü.

  7. Özel kuralları kaydetmek için Tamam'ı seçin.

Önemli

Nesne tanımlayıcı biçimini kullanarak ilke OID'sini girin. Örneğin, sertifika ilkesiNde Tüm Verme İlkeleri yazıyorsa, kuralı eklerken olduğu gibi 2.5.29.32.0 ilke OID'sini girin. Tüm Verme İlkeleri dizesi kural düzenleyicisi için geçersizdir ve geçerli değildir.

4. Adım: Kullanıcı adı bağlama ilkesini yapılandırma

Kullanıcı adı bağlama ilkesi, kullanıcının sertifikasını doğrulamaya yardımcı olur. Varsayılan olarak, kullanıcıyı belirlemek için sertifikadaki Asıl Ad'ıuserPrincipalName kullanıcı nesnesinde ile eşlersiniz.

Kimlik Doğrulama İlkesi Yöneticisi varsayılanı geçersiz kılabilir ve özel eşleme oluşturabilir. Daha fazla bilgi için bkz. Kullanıcı adı bağlama nasıl çalışır?

özniteliğini certificateUserIds kullanan diğer senaryolar için bkz. Sertifika kullanıcı kimlikleri.

Önemli

Kullanıcı adı bağlama ilkesi , onPremisesUserPrincipalNameve kullanıcı nesnesinin userPrincipalName özniteliği gibi certificateUserIdseşitlenmiş öznitelikler kullanıyorsa, şirket içi Windows Server Active Directory'de yönetici izinlerine sahip hesaplar Microsoft Entra ID'de bu öznitelikleri etkileyen değişiklikler yapabilir. Örneğin, kullanıcı nesneleri üzerinde temsilci haklarına veya Microsoft Entra Connect Server'da yönetici rolüne sahip hesaplar bu tür değişiklikler yapabilir.

  1. Kullanıcı özniteliklerinden biriyle bağlamak için X.509 sertifika alanlarından birini seçerek kullanıcı adı bağlamasını oluşturun. Kullanıcı adı bağlama sırası bağlamanın öncelik düzeyini temsil eder. İlk kullanıcı adı bağlaması en yüksek önceliğe sahiptir, vb.

    Kullanıcı adı bağlama ilkesini gösteren ekran görüntüsü.

    Belirtilen X.509 sertifika alanı sertifikada bulunur ancak Microsoft Entra ID karşılık gelen bir değere sahip bir kullanıcı nesnesi bulamazsa, kimlik doğrulaması başarısız olur. Ardından, Microsoft Entra Id listede bir sonraki bağlamayı dener.

  2. Kaydet'i seçin.

Son yapılandırmanız şu örneğe benzer:

Son yapılandırmayı gösteren ekran görüntüsü.

5. Adım: Yapılandırmanızı test edin

Bu bölümde sertifikanızı ve özel kimlik doğrulama bağlama kurallarını test etme işlemi açıklanmaktadır.

Sertifikanızı test edin

İlk yapılandırma testinde, cihaz tarayıcınızı kullanarak MyApps portalında oturum açmayı deneyin.

  1. Kullanıcı asıl adınızı (UPN) girin.

    Kullanıcı asıl adını gösteren ekran görüntüsü.

  2. İleri'yi seçin.

    Sertifika kullanarak oturum açmayı gösteren ekran görüntüsü.

    Telefon oturumu açma veya FIDO2 gibi diğer kimlik doğrulama yöntemlerini kullandıysanız kullanıcılarınız farklı bir oturum açma iletişim kutusu görebilir.

    Alternatif oturum açma iletişim kutusunu gösteren ekran görüntüsü.

  3. Sertifikayla oturum aç seçeneğini belirleyin.

  4. İstemci sertifikası seçici kullanıcı arabiriminde doğru kullanıcı sertifikasını seçin ve Tamam'ı seçin.

    Sertifika seçici kullanıcı arabirimini gösteren ekran görüntüsü.

  5. MyApps portalında oturum açtığınızı doğrulayın.

Oturum açma işleminiz başarılı olursa şunları biliyorsunuzdur:

  • Kullanıcı sertifikası test cihazınızda sağlanır.
  • Microsoft Entra Id, güvenilir CA'ları kullanacak şekilde doğru yapılandırıldı.
  • Kullanıcı adı bağlaması doğru yapılandırıldı. Kullanıcı bulunur ve kimliği doğrulanır.

Özel kimlik doğrulama bağlama kurallarını test edin

Ardından, güçlü kimlik doğrulamasını doğruladığınız bir senaryo tamamlayın. İki kimlik doğrulama ilkesi kuralı oluşturursunuz: biri tek faktörlü kimlik doğrulamasını karşılamak için vereni, diğeri ise çok faktörlü kimlik doğrulamasını karşılamak için ilke OID'sini kullanarak.

  1. Tek faktörlü kimlik doğrulaması koruma düzeyine sahip bir veren konu kuralı oluşturun. Değeri CA konu değerinize ayarlayın.

    Örneğin:

    CN=WoodgroveCA

  2. Koruma düzeyi çok faktörlü kimlik doğrulaması olan bir ilke OID kuralı oluşturun. Değeri sertifikanızdaki ilke OID'lerinden birine ayarlayın. 1.2.3.4 bunun bir örneğidir.

    İlke OID kuralını gösteren ekran görüntüsü.

  3. Kullanıcının MFA gerektirmesi için bir Microsoft Entra Koşullu Erişim ilkesi oluşturun. Koşullu Erişim - MFA gerektir bölümünde açıklanan adımları tamamlayın.

  4. MyApps portalına gidin. UPN'nizi girin ve İleri'yi seçin.

    Kullanıcı asıl adını gösteren ekran görüntüsü.

  5. Sertifika veya akıllı kart kullan'ı seçin.

    Sertifika kullanarak oturum açmayı gösteren ekran görüntüsü.

    Telefon oturum açma veya güvenlik anahtarları gibi diğer kimlik doğrulama yöntemlerini kullandıysanız kullanıcılarınız farklı bir oturum açma iletişim kutusu görebilir.

    Alternatif oturum açmayı gösteren ekran görüntüsü.

  6. İstemci sertifikasını ve ardından Sertifika Bilgileri'ni seçin.

    İstemci seçiciyi gösteren ekran görüntüsü.

    Sertifika görüntülenir ve sertifikayı veren ile ilke OID değerlerini doğrulayabilirsiniz.

    Vereni gösteren ekran görüntüsü.

  7. İlke OID değerlerini görmek için Ayrıntılar'ı seçin.

    Kimlik doğrulama ayrıntılarını gösteren ekran görüntüsü.

  8. İstemci sertifikasını seçin ve Tamam'ı seçin.

Sertifikadaki ilke OID değeri yapılandırılmış değeriyle eşleşir ve MFA'ya 1.2.3.4 uygun olur. Sertifikadaki veren, yapılandırılan değeriyle CN=WoodgroveCA eşleşir ve tek faktörlü kimlik doğrulamasını karşılar.

İlke OID kuralı veren kuralından öncelikli olduğundan, sertifika MFA'yı karşılar.

Kullanıcının Koşullu Erişim ilkesi MFA gerektirir ve sertifika MFA'yı karşılar, böylece kullanıcı uygulamada oturum açabilir.

Kullanıcı adı bağlama ilkesini test edin

Kullanıcı adı bağlama ilkesi, kullanıcının sertifikasını doğrulamaya yardımcı olur. Kullanıcı adı bağlama ilkesi için üç bağlama desteklenir:

  • IssuerAndSerialNumber > certificateUserIds
  • IssuerAndSubject > certificateUserIds
  • Subject > certificateUserIds

Varsayılan olarak, Microsoft Entra Id sertifikadaki userPrincipalNameAsıl Adı kullanıcı nesnesinde eşleştirerek kullanıcıyı belirler. Kimlik Doğrulama İlkesi Yöneticisi varsayılanı geçersiz kılabilir ve daha önce açıklandığı gibi özel bir eşleme oluşturabilir.

Kimlik Doğrulama İlkesi Yöneticisinin yeni bağlamaları ayarlaması gerekir. Hazırlamak için, ilgili kullanıcı adı bağlamaları için doğru değerlerin kullanıcı nesnesinin certificateUserIds özniteliğinde güncelleştirildiğinden emin olmaları gerekir:

Önemli

Veren, Konu ve Seri numarası değerlerinin biçimi, sertifikadaki biçimlerinin ters sırada olmalıdır. Veren veya Konu değerlerine boşluk eklemeyin.

Veren ve seri numarası el ile eşleme

Aşağıdaki örnekte, veren ve seri numarası el ile eşleme gösterilmektedir.

Eklenecek Veren değeri:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Veren değeri için el ile eşlemeyi gösteren ekran görüntüsü.

Seri numarasının doğru değerini almak için aşağıdaki komutu çalıştırın. içinde certificateUserIdsgösterilen değeri depolayın.

Komut söz dizimi şöyledir:

certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Örneğin:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Aşağıda komutu için bir örnek verilmişti certutil :

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Eklenecek certificateUserIdseri numarası değeri:

b24134139f069b49997212a86ba0ef48

Değer certificateUserIds :

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Veren ve konu el ile eşleme

Aşağıdaki örnekte, veren ve konu el ile eşleme gösterilmektedir.

Veren değeri:

Birden çok bağlama ile kullanıldığında Veren değerini gösteren ekran görüntüsü.

Konu değeri:

Konu değerini gösteren ekran görüntüsü.

Değer certificateUserId :

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Öğelerin manuel eşleştirilmesi

Aşağıdaki örnekte konu el ile eşleme gösterilmektedir.

Konu değeri:

Başka bir Konu değerini gösteren ekran görüntüsü.

Değer certificateUserIds :

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Benzite bağlamasını test edin

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi rolüne atanmış bir hesapla oturum açın.

  2. Entra ID>Kimlik Doğrulama yöntemleri İlkeleri'ne> gidin.

  3. Yönet'in altında Kimlik doğrulama yöntemleri>Sertifika tabanlı kimlik doğrulama'yı seçin.

  4. Yapılandır'ı seçin.

  5. Kiracı düzeyinde Gerekli Bağlılık Bağlaması ayarlayın.

    Önemli

    Kiracı düzeyindeki yakınlık ayarına dikkat edin. Kiracı için Gerekli Benşim Bağlama değerini değiştirirseniz ve kullanıcı nesnesinde doğru değerlere sahip değilseniz kiracının tamamını kilitleyebilirsiniz. Benzer şekilde, tüm kullanıcılar için geçerli olan ve yüksek benzeşim bağlaması gerektiren özel bir kural oluşturursanız, kiracıdaki kullanıcılar kilitlenebilir.

    Gerekli benşim bağlamasını ayarlamayı gösteren ekran görüntüsü.

  6. Test etmek için Gerekli Benşim Bağlaması için Düşük'e tıklayın.

  7. Konu anahtarı tanımlayıcısı (SKI) gibi bir yüksek benşim bağlaması ekleyin. Kullanıcı adı bağlama'nın altında Kural ekle'yi seçin.

  8. SKI'yi seçin ve Ekle'yi seçin.

    Benzinim bağlaması eklemeyi gösteren ekran görüntüsü.

    Tamamlandığında, kural şu örneğe benzer şekilde görünür:

    Tamamlanmış benşim bağlamayı gösteren ekran görüntüsü.

  9. Tüm kullanıcı nesneleri için özniteliğini certificateUserIds kullanıcı sertifikasından doğru SKI değeriyle güncelleştirin.

    Daha fazla bilgi için bkz . CertificateUserIDs için desteklenen desenler.

  10. Kimlik doğrulama bağlaması için özel bir kural oluşturun.

  11. Ekle'yi seçin.

    Özel kimlik doğrulama bağlaması gösteren ekran görüntüsü.

    Tamamlanan kuralın şu örneğe benzer olup olmadığını denetleyin:

    Özel kuralı gösteren ekran görüntüsü.

  12. Kullanıcı certificateUserIds değerini sertifikasından ve ilke OID'sinden doğru SKI değeriyle güncelleştirin 9.8.7.5.

  13. İlke OID'sine sahip bir sertifika kullanarak test edin 9.8.7.5. Kullanıcının SKI bağlamasıyla kimliğinin doğrulandığını ve MFA ile ve yalnızca sertifikayla oturum açmasının istendiğini doğrulayın.

Microsoft Graph API'lerini kullanarak CBA'yı ayarlama

Microsoft Graph API'lerini kullanarak CBA ayarlamak ve kullanıcı adı bağlamalarını yapılandırmak için:

  1. Microsoft Graph Gezgini'ne gidin.

  2. Graph Explorer'da oturum aç'ı seçin ve kiracınızda oturum açın.

  3. Temsilci iznine onay vermek için Policy.ReadWrite.AuthenticationMethodadımları izleyin.

  4. Tüm kimlik doğrulama yöntemlerini alın:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. X.509 sertifika kimlik doğrulama yönteminin yapılandırmasını alın:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Varsayılan olarak, X.509 sertifika kimlik doğrulama yöntemi kapalıdır. Kullanıcıların sertifika kullanarak oturum açmasına izin vermek için, kimlik doğrulama yöntemini açmanız ve bir güncelleştirme işlemi aracılığıyla kimlik doğrulaması ve kullanıcı adı bağlama ilkelerini yapılandırmanız gerekir. İlkeyi güncelleştirmek için bir PATCH istek çalıştırın.

    İstek içeriği

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Yanıt 204 No content kodunun döndürdüğünü doğrulayın. İlkelerin GET doğru güncelleştirildiğinden emin olmak için isteği yeniden çalıştırın.

  8. İlkeyi karşılayan bir sertifikayla oturum açarak yapılandırmayı test edin.

Microsoft PowerShell kullanarak CBA'yı ayarlama

  1. PowerShell’i açın.

  2. Microsoft Graph'a bağlanın:

    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"

  3. CBA kullanıcıları için grup tanımlamak için kullanılacak bir değişken oluşturun:

    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"

  4. İstek gövdesini tanımlayın:

    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5

  5. PATCH İsteği çalıştırın:

    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

İlgili içerik

  • Last updated on