分享方式:

開始在 Microsoft Entra ID 中使用同盟的憑證式驗證

  • 文章

在將您的 Exchange Online 帳戶連線到下列各項時,使用同盟的憑證式驗證 (CBA) 可讓您由 Microsoft Entra ID 透過用戶端憑證在 Windows、Android 或 iOS 裝置上驗證您的身分:

  • Microsoft 行動應用程式,例如 Microsoft Outlook 與 Microsoft Word
  • Exchange ActiveSync (EAS) 用戶端

設定這項功能之後,就不需要在行動裝置上的特定郵件和 Microsoft Office 應用程式中,輸入使用者名稱和密碼的組合。

注意

此外,組織不需要同盟也可以部署 Microsoft Entra CBA。 如需詳細資訊,請參閱根據 Microsoft Entra ID 進行 Microsoft Entra 憑證式驗證的概觀

本主題內容:

  • 提供為 Office 365 企業版、商務版、教育版、美國政府方案的租用戶使用者,設定和使用 CBA 的步驟。
  • 假設您已經設定公開金鑰基礎結構 (PKI)AD FS

需求

您必須符合下列情況,才能使用同盟設定 CBA:

  • 只有在瀏覽器應用程式、使用新式驗證的原生用戶端或 MSAL 程式庫的同盟環境中,才支援 CBA 搭配同盟。 唯一的例外狀況是適用於 Exchange Online (EXO) 的 Exchange Active Sync (EAS),其可用於同盟帳戶和受控帳戶。 若要在不需要同盟的情況下設定 Microsoft Entra CBA,請參閱如何設定 Microsoft Entra 憑證式驗證
  • 務必要在 Microsoft Entra ID 中設定根憑證授權單位和任何中繼憑證授權單位。
  • 每個憑證授權單位都必須有一份可透過網際網路對應 URL 來參考的憑證撤銷清單 (CRL)。
  • 您至少必須在 Microsoft Entra ID 中設定一個憑證授權單位。 您可以在設定憑證授權單位一節中找到相關步驟。
  • 針對 Exchange ActiveSync 用戶端,用戶端憑證必須將 Exchange Online 中可路由傳送的使用者電子郵件地址,放在 [主體別名] 欄位的 [主體名稱] 或 [RFC822 名稱] 值中。 Microsoft Entra ID 會將 RFC822 值對應到目錄中的 [Proxy 位址] 屬性。
  • 您的用戶端裝置必須至少可以存取一個發出用戶端憑證的憑證授權單位。
  • 用於戶端驗證的用戶端憑證必須已經發給您的用戶端。

重要

Microsoft Entra ID 要成功下載和快取的 CRL 大小上限為 20MB,而下載 CRL 所需的時間不能超過 10 秒。 如果 Microsoft Entra ID 無法下載 CRL,則使用由對應 CA 所簽發之憑證的憑證式驗證將會失敗。 確保 CRL 檔案會在大小限制內的最佳做法是將憑證存留期保持在合理的限制內,並清除過期憑證。

步驟 1︰選取裝置平台

第一個步驟中,針對您要處理的裝置平台,您需要檢閱下列項目︰

  • Office 行動應用程式支援
  • 特定的實作需求

下列裝置平台有相關的資訊︰

步驟 2︰設定憑證授權單位

若要在 Microsoft Entra ID 中設定您的憑證授權單位,請為每個憑證授權單位上傳下列項目:

  • 憑證的公開部分 (「.cer」 格式)
  • 憑證撤銷清單 (CRl) 所在的網際網路對應 URL

憑證授權單位的結構描述看起來像這樣︰

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

針對組態,您可以使用 Microsoft Graph PowerShell

  1. 以系統管理員權限啟動 Windows PowerShell。

  2. 安裝 Microsoft Graph PowerShell

        Install-Module Microsoft.Graph

設定的第一個步驟,您需要與您的租用戶建立連線。 一旦您與租用戶的連線存在,您可以檢閱、新增、刪除、修改在您的目錄中定義的受信任的憑證授權單位。

連線

若要與您的租用戶建立連線,請使用 Connect-MgGraph

    Connect-MgGraph

Retrieve

若要擷取您目錄中所定義的受信任憑證授權單位,請使用 Get-MgOrganizationCertificateBasedAuthConfiguration

    Get-MgOrganizationCertificateBasedAuthConfiguration

若要新增、修改或移除 CA,請使用 Microsoft Entra 系統管理中心:

  1. 全域管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [資料保護]>[顯示更多]>[資訊安全中心] (或 [身分識別安全分數]) >[憑證授權單位]

  3. 若要上傳 CA,請選取 [上傳]

    1. 選取 CA 檔案。

    2. 如果 CA 是根憑證,請選取 [是],否則選取 [否]

    3. 針對憑證撤銷清單 URL,請設定包含所有已撤銷憑證的 CA 基礎 CRL 網際網路對應 URL。 如不設定 URL,則使用已撤銷憑證的驗證將不會失敗。

    4. 針對 Delta 憑證撤銷清單 URL,請為包含自從上次發佈基礎 CRL 後所有撤銷憑證的 CRL 來設定網際網路對應 URL。

    5. 選取 [新增]。

      如何上傳憑證授權單位檔案的螢幕擷取畫面。

  4. 若要刪除 CA 憑證,請選取 [憑證],然後選取 [刪除]

  5. 選取 [欄標籤] 以新增或刪除欄標籤。

步驟 3︰設定撤銷

若要撤銷用戶端憑證,Microsoft Entra ID 會從和憑證授權單位資訊一起上傳的 URL 中,擷取憑證撤銷清單 (CRL) 並加以快取。 在 CRL 中,上次發佈的時間戳記 ([生效日期] 屬性) 是用來確保 CRL 依然有效。 定期參考 CRL 以撤銷對清單所列憑證的存取權。

如果需要立即撤銷 (例如,使用者遺失裝置),可以讓使用者的授權權杖失效。 使用 Windows PowerShell 設定這位特定使用者的 StsRefreshTokenValidFrom 欄位,即可讓授權權杖失效。 您必須為想要撤銷其存取權的每位使用者更新其 StsRefreshTokenValidFrom 欄位。

為了確保撤銷持續有效,您必須將 CRL 的 [生效日期] 設定為 StsRefreshTokenValidFrom 所設值之後的日期,並確保有問題的憑證位於 CRL 中。

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。

我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

下列步驟概述藉由設定 StsRefreshTokenValidFrom 欄位,來更新授權權杖並讓它失效的程序。

  1. 連線至 PowerShell:

    Connect-MgGraph

  2. 擷取使用者目前的 StsRefreshTokensValidFrom 值︰

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. 將目前的時間戳記設定為使用者新的 StsRefreshTokensValidFrom 值︰

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

您設定的日期必須是未來的日期。 如果不是未來的日期,則不會設定 StsRefreshTokensValidFrom 屬性。 如果是未來的日期,才會將 StsRefreshTokensValidFrom 設定為目前的時間 (而非 Set-MsolUser 命令指示的日期)。

步驟 4︰測試組態

測試您的憑證

您應該試著使用您裝置上的瀏覽器登入 Outlook Web AccessSharePoint Online,這是第一個組態測試。

如果登入成功,您便知道︰

  • 使用者憑證已佈建到您的測試裝置
  • AD FS 已正確設定

測試 Office 行動應用程式

  1. 在您的測試裝置上,安裝 Office 行動應用程式 (例如 OneDrive)。
  2. 啟動應用程式。
  3. 輸入您的使用者名稱,然後選取想要使用的使用者憑證。

您應該可以順利登入。

測試 Exchange ActiveSync 用戶端應用程式

若要透過憑證式驗證來存取 Exchange ActiveSync (EAS),必須要有包含用戶端憑證的 EAS 設定檔供應用程式使用。

EAS 設定檔必須包含下列資訊:

  • 要用於驗證的使用者憑證

  • EAS 端點 (例如,outlook.office365.com)

您可以利用行動裝置管理 (MDM) (例如 Microsoft Intune) 在裝置上設定和放置 EAS 設定檔,或以手動方式將憑證放在裝置的 EAS 設定檔中。

在 Android 上測試 EAS 用戶端應用程式

  1. 設定應用程式中符合上一節需求的 EAS 設定檔。
  2. 開啟應用程式,然後確認正在同步處理郵件。

下一步

Android 裝置上憑證式驗證的其他相關資訊

iOS 裝置上憑證式驗證的其他相關資訊