開始使用 Microsoft Entra ID 搭配同盟的憑證式驗證

  • 發行項

具有同盟的憑證式驗證 (CBA) 可讓您在將 Exchange Online 帳戶連線至下列專案時,使用 Windows、Android 或 iOS 裝置上的用戶端憑證,透過 Microsoft Entra ID 驗證:

  • Microsoft Outlook 和 Microsoft Word 等 Microsoft 行動應用程式
  • Exchange ActiveSync (EAS) 用戶端

設定此功能不需要在行動裝置上的特定郵件和 Microsoft Office 應用程式 lication 中輸入使用者名稱和密碼組合。

注意

或者,組織可以部署 Microsoft Entra CBA,而不需要同盟。 如需詳細資訊,請參閱 Microsoft Entra 憑證型驗證與 Microsoft Entra ID 的概觀。

本主題:

  • 提供您在 Office 365 企業版、Business、Education 和 US Government 方案中為租使用者使用者設定及利用 CBA 的步驟。
  • 假設您已經設定 公鑰基礎結構 (PKI)AD FS

需求

若要設定具有同盟的 CBA,下列語句必須為 true:

  • 只有瀏覽器應用程式的同盟環境、使用新式驗證的原生用戶端或 MSAL 連結庫才支援具有同盟的 CBA。 其中一個例外狀況是 Exchange Online 的 Exchange Active Sync (EAS),可用於同盟和受控帳戶。 若要設定 Microsoft Entra CBA 而不需要同盟,請參閱 如何設定 Microsoft Entra 憑證型驗證
  • 跟證書授權單位和任何中繼證書頒發機構單位都必須在 Microsoft Entra ID 中設定。
  • 每個證書頒發機構單位都必須有可透過因特網對應 URL 參考的證書吊銷清單 (CRL)。
  • 您必須在 Microsoft Entra ID 中至少設定一個證書頒發機構單位。 您可以在設定證書頒發機構單位一節中找到相關步驟。
  • 針對 Exchange ActiveSync 用戶端,用戶端憑證必須在 [主體名稱] 或 [主體別名] 字段的 RFC822 Name 值中,在 Exchange Online 中擁有使用者的可路由電子郵件位址。 Microsoft Entra ID 會將 RFC822 值對應至目錄中的 Proxy 位址屬性。
  • 您的用戶端裝置必須能夠存取至少一個發出用戶端憑證的證書頒發機構單位。
  • 用戶端驗證的用戶端憑證必須已發給您的用戶端。

重要

成功下載和快取之 Microsoft Entra ID 的 CRL 大小上限為 20MB,且下載 CRL 所需的時間不得超過 10 秒。 如果 Microsoft Entra ID 無法下載 CRL,則使用對應 CA 所簽發憑證的憑證型驗證將會失敗。 確保CRL檔案大小限制內的最佳做法是讓憑證存留期保持在合理的限制內,以及清除過期的憑證。

步驟 1:選取您的裝置平臺

作為第一個步驟,針對您關心的裝置平臺,您需要檢閱下列各項:

  • Office 行動應用程式支援
  • 特定實作需求

下列裝置平台有相關信息:

步驟 2:設定證書頒發機構單位

若要在 Microsoft Entra ID 中設定您的證書頒發機構單位,請針對每個證書頒發機構單位上傳下列專案:

  • 憑證的公開部分,格式為 .cer
  • 證書吊銷清單 (CRL) 所在的因特網對應 URL

憑證頒發機構單位的架構如下所示:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

針對設定,您可以使用 Microsoft Graph PowerShell

  1. 使用系統管理員許可權啟動 Windows PowerShell。

  2. 安裝 Microsoft Graph PowerShell

        Install-Module Microsoft.Graph

在第一個設定步驟中,您必須建立與租用戶的連線。 一旦租用戶連線存在,您就可以檢閱、新增、刪除和修改目錄中定義的受信任證書頒發機構單位。

連線

若要與租使用者建立連線,請使用 連線-MgGraph

    Connect-MgGraph

Retrieve

若要擷取目錄中定義的受信任證書頒發機構單位,請使用 Get-MgOrganizationCertificateBasedAuthConfiguration

    Get-MgOrganizationCertificateBasedAuthConfiguration

若要新增、修改或移除 CA,請使用 Microsoft Entra 系統管理中心:

  1. 以全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [保護>] 顯示更多>資訊安全中心 (或身分識別安全分數) >證書頒發機構單位。

  3. 若要上傳 CA,請選取 [上傳]:

    1. 選取 CA 檔案。

    2. 如果 CA 是跟證書,請 選取 [是 ],否則請選取 [ ]。

    3. 針對 [證書吊銷清單 URL],針對包含所有已撤銷憑證的 CA 基底 CRL 設定因特網對應 URL。 如果未設定 URL,則具有已撤銷憑證的驗證將不會失敗。

    4. 針對 差異證書吊銷清單 URL,設定 CRL 的因特網對應 URL,其中包含自上次發布基底 CRL 之後的所有已撤銷憑證。

    5. 選取 [新增]。

      如何上傳證書頒發機構單位檔案的螢幕快照。

  4. 若要刪除 CA 憑證,請選取憑證,然後選取 [ 刪除]。

  5. 選取 [ 資料 行] 以新增或刪除資料列。

步驟 3:設定撤銷

若要撤銷用戶端憑證,Microsoft Entra ID 會從上傳為證書頒發機構單位資訊的 URL 擷取憑證吊銷清單 (CRL),並加以快取。 CRL 中的最後一個發佈時間戳 (Effective Date 屬性) 是用來確保 CRL 仍然有效。 CRL 會定期參考,以撤銷對屬於清單一部分之憑證的存取權。

如果需要更立即的撤銷(例如,如果用戶遺失裝置),則使用者的授權令牌可能會失效。 若要使授權令牌失效,請使用 Windows PowerShell 為這個特定使用者設定 StsRefreshTokenValidFrom 字段。 您必須針對您想要撤銷存取權的每個使用者更新 StsRefreshTokenValidFrom 字段。

若要確保撤銷持續存在,您必須將CRL的有效日期設定為 StsRefreshTokenValidFrom設定值之後的日期,並確定有問題的憑證位於CRL中。

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解,請閱讀 淘汰更新。 在此日期之後,這些模組的支援僅限於 Microsoft Graph PowerShell SDK 和安全性修正的移轉協助。 已淘汰的模組將繼續在 2025 年 3 月 30 日運作。

建議您移轉至 Microsoft Graph PowerShell ,以與 Microsoft Entra ID (先前稱為 Azure AD) 互動。 如需常見的移轉問題,請參閱 移轉常見問題注意: MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

下列步驟概述藉由設定 StsRefreshTokenValidFrom 欄位來更新和失效授權令牌的程式。

  1. 連線 至 PowerShell:

    Connect-MgGraph

  2. 擷取使用者目前的 StsRefreshTokensValidFrom 值:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. 為使用者設定等於目前時間戳的新 StsRefreshTokensValidFrom 值:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

您設定的日期必須在未來。 如果日期不是未來, 則不會設定 StsRefreshTokensValidFrom 屬性。 如果日期是未來日期, StsRefreshTokensValidFrom 會設定為目前時間(不是 Set-MsolUser 命令所指出的日期)。

步驟 4:測試您的設定

測試您的憑證

作為第一個組態測試,您應該嘗試使用裝置瀏覽器登入 Outlook Web AccessSharePoint Online

如果您的登入成功,則您知道:

  • 用戶憑證已布建至您的測試裝置
  • AD FS 已正確設定

測試 Office 行動應用程式

  1. 在您的測試裝置上,安裝 Office 行動應用程式(例如 OneDrive)。
  2. 啟動應用程式。
  3. 輸入您的使用者名稱,然後選取您想要使用的用戶憑證。

您應該已成功登入。

測試 Exchange ActiveSync 用戶端應用程式

若要透過憑證型驗證存取 Exchange ActiveSync (EAS),必須有包含用戶端憑證的 EAS 配置檔可供應用程式使用。

EAS 設定檔必須包含下列資訊:

  • 要用於驗證的用戶憑證

  • EAS 端點(例如,outlook.office365.com)

EAS 配置檔可透過使用 Microsoft Intune 之類的行動裝置管理(MDM),或在裝置上的 EAS 配置檔中手動放置憑證,來設定並放置在裝置上。

在 Android 上測試 EAS 用戶端應用程式

  1. 在符合上一節中需求的應用程式中設定EAS配置檔。
  2. 開啟應用程式,並確認郵件正在同步處理。

下一步

Android 裝置上憑證式驗證的其他資訊。

iOS 裝置上憑證式驗證的其他資訊。