Microsoft Entra 基于证书的身份验证概述

通过 Microsoft Entra 基于证书的身份验证 (CBA)，客户能够允许或要求用户使用 X.509 证书来针对其 Microsoft Entra ID 应用程序和浏览器登录直接进行身份验证。 此功能使客户能够采用防网络钓鱼诈骗的身份验证，并使用 X.509 证书来针对其公钥基础设施 (PKI) 进行身份验证。

什么是 Microsoft Entra CBA？

在实现对 CBA 到 Microsoft Entra ID 的云托管支持之前，客户必须实施基于联合证书的身份验证，这需要部署 Active Directory 联合身份验证服务 (AD FS) 才能使用针对 Microsoft Entra ID 的 X.509 证书进行身份验证。 借助 Microsoft Entra 基于证书的身份验证，客户可以直接针对 Microsoft Entra ID 进行身份验证，无需联合 AD FS，从而简化客户环境并降低成本。

下图显示了 Microsoft Entra CBA 如何通过消除联合 AD FS 来简化客户环境。

使用联合 AD FS 的基于证书的身份验证

Microsoft Entra 基于证书的身份验证

使用 Microsoft Entra CBA 的主要优势

好处	说明
出色的用户体验	- 需要基于证书的身份验证的用户现在可以直接针对 Microsoft Entra ID 进行身份验证，而无需投资于联合 AD FS。 - 门户 UI 使用户能够轻松配置如何将证书字段映射到用户对象属性，以在租户中查找用户（证书用户名绑定） - 门户 UI 通过配置身份验证策略来帮助确定哪些证书是单因素证书，哪些是多因素证书。
易于部署和管理	- Microsoft Entra CBA 是一项免费功能，不需要拥有任何付费版本的 Microsoft Entra ID 即可使用此功能。 - 无需复杂的本地部署或网络配置。 - 直接针对 Microsoft Entra ID 进行身份验证。
安全	- 本地密码不需要以任何形式存储在云端。 - 通过与 Microsoft Entra 条件访问策略无缝协作来保护你的用户帐户，包括防网络钓鱼的多重身份验证（MFA 需要许可版本）和阻止旧式身份验证。 - 强身份验证支持，其中用户可以通过颁发者或策略 OID（对象标识符）等证书字段定义身份验证策略，以确定哪些证书满足单因素条件，哪些满足多因素条件。 - 该功能与条件访问功能和身份验证强度功能无缝协作来强制执行 MFA，从而帮助保护你的用户。

支持的方案

支持以下方案：

• 用户在所有平台上登录到基于 Web 浏览器的应用程序。
• 用户登录到 iOS/Android 平台上的 Office 移动应用以及 Windows 中的 Office 本机应用，包括 Outlook、OneDrive 等。
• 用户在移动本机浏览器上登录。
• 支持通过使用证书颁发者“使用者”和“策略 OID”进行多重身份验证的精细身份验证规则。
• 使用以下任何证书字段配置证书到用户帐户的绑定：
  • 使用者可选名称 (SAN) PrincipalName 和 SAN RFC822Name
  • 使用者密钥标识符 (SKI) 和 SHA1PublicKey
  • 发卡机构 + 使用者、使用者和发卡机构 + SerialNumber
• 使用以下任何用户对象属性配置证书到用户帐户的绑定：
  • 用户主体名称
  • onPremisesUserPrincipalName
  • CertificateUserIds

不支持的方案

不支持以下方案：

• 不支持证书颁发机构提示，因此在证书选取器 UI 中为用户显示的证书列表不受范围限制。
• 仅支持可信 CA 的一个 CRL 分发点 (CDP)。
• CDP 只能是 HTTP URL。 我们不支持联机证书状态协议 (OCSP) 或轻型目录访问协议 (LDAP) URL。
• 无法禁用密码作为身份验证方法，即使用户可以使用 Microsoft Entra CBA 方法，也会显示使用密码登录的选项。

Windows Hello 企业版证书的已知限制

• 虽然 Windows Hello 企业版 (WHFB) 可用于 Microsoft Entra ID 中的多重身份验证，但新 MFA 不支持 WHFB。 客户可以选择使用 WHFB 密钥对为用户注册证书。 正确配置后，这些 WHFB 证书可用于 Microsoft Entra ID 中的多重身份验证。 WHFB 证书与 Edge 和 Chrome 浏览器中 Microsoft Entra 基于证书的身份验证 (CBA) 兼容；但目前 WHFB 证书在非浏览器方案中与 Microsoft Entra CBA 不兼容（例如 Office 365 应用程序）。 解决方法是使用“登录 Windows Hello 或安全密钥”选项进行登录（如果可用），因为此选项不使用证书进行身份验证，并且避免 Microsoft Entra CBA 出现问题；但此选项在某些较旧的应用程序中可能不可用。

超出范围

以下方案超出了 Microsoft Entra CBA 的范围：

• 用于创建客户端证书的公钥基础结构。 客户需要配置自己的公钥基础结构 (PKI) 并将证书预配到用户和设备。

后续步骤

• Microsoft Entra CBA 的技术深入探讨
• 如何配置 Microsoft Entra CBA
• iOS 设备上的 Microsoft Entra CBA
• Android 设备上的 Microsoft Entra CBA
• 使用 Microsoft Entra CBA 进行 Windows 智能卡登录
• 证书用户 ID
• 如何迁移联合用户
• 常见问题