Microsoft Entra 憑證型驗證概觀

  • 發行項

Microsoft Entra 憑證型驗證 (CBA) 可讓客戶針對應用程式和瀏覽器登入的 Microsoft Entra 識別符,允許或要求使用者直接使用 X.509 憑證進行驗證。 這項功能可讓客戶採用網路釣魚防護驗證,並使用 X.509 憑證對其公鑰基礎結構 (PKI) 進行驗證。

什麼是 Microsoft Entra CBA?

在 CBA 到 Microsoft Entra 識別符的雲端管理支援之前,客戶必須實作同盟憑證型驗證,這需要部署 Active Directory 同盟服務 (AD FS) 才能使用 X.509 憑證對 Microsoft Entra ID 進行驗證。 透過 Microsoft Entra 憑證型驗證,客戶可以直接根據 Microsoft Entra 標識符進行驗證,並消除同盟 AD FS 的需求,並簡化客戶環境和降低成本。

下列影像顯示 Microsoft Entra CBA 如何藉由消除同盟 AD FS 來簡化客戶環境。

使用同盟 AD FS 的憑證式驗證

Diagram of certificate-based authentication with federation.

Microsoft Entra 憑證型驗證

Diagram of Microsoft Entra certificate-based authentication.

使用 Microsoft Entra CBA 的主要優點

福利 描述
絕佳的用戶體驗 - 需要憑證式驗證的用戶現在可以直接根據 Microsoft Entra 標識符進行驗證,而不需要投資同盟 AD FS。
- 入口網站 UI 可讓使用者輕鬆地設定如何將憑證欄位對應至使用者物件屬性,以在租使用者中查閱使用者(憑證使用者名稱系結)
- 用來設定驗證原則入口網站 UI,以協助判斷哪些憑證是單一因素與多重要素。
易於部署和管理 - Microsoft Entra CBA 是免費的功能,您不需要任何付費版本的 Microsoft Entra ID 即可使用它。
- 不需要複雜的內部部署或網路設定。
- 直接根據 Microsoft Entra 識別碼進行驗證。
安全 - 內部部署密碼不需要以任何形式儲存在雲端中。
- 使用 Microsoft Entra 條件式存取原則順暢地保護您的用戶帳戶,包括網路釣魚防護 多重要素驗證 (MFA 需要 授權版本),以及封鎖舊版驗證。
- 用戶可透過憑證欄位定義驗證原則的強身份驗證支援,例如簽發者或原則 OID(物件標識符),以判斷哪些憑證符合單一因素與多重要素的資格。
- 此功能可與條件式存取功能和驗證強度功能順暢地搭配運作,以強制執行 MFA 來協助保護您的使用者。

支援的案例

支援下列案例:

  • 使用者在所有平臺上登入網頁瀏覽器型應用程式。
  • 使用者登入 iOS/Android 平臺上的 Office 行動應用程式,以及 Windows 中的 Office 原生應用程式,包括 Outlook、OneDrive 等等。
  • 行動原生瀏覽器上的使用者登入。
  • 支援使用憑證簽發者 主體原則 OID 進行多重要素驗證的細微驗證規則。
  • 使用任何憑證欄位設定憑證對用戶帳戶系結:
    • 主體替代名稱 (SAN) PrincipalName 和 SAN RFC822Name
    • 主體金鑰標識碼 (SKI) 和 SHA1PublicKey
    • 簽發者 + 主體、主體和簽發者 + SerialNumber
  • 使用任何使用者物件屬性來設定憑證對使用者帳戶系結:
    • 使用者主體名稱
    • onPremisesUserPrincipalName
    • CertificateUserIds

不支援的情節

不支援下列案例:

  • 不支援證書頒發機構單位提示,因此憑證選擇器 UI 中針對使用者顯示的憑證清單並未限定範圍。
  • 僅支援信任 CA 的一個 CRL 發佈點 (CDP)。
  • CDP 只能是 HTTP URL。 我們不支援在線憑證狀態通訊協定 (OCSP), 或輕量型目錄存取通訊協定 (LDAP) URL。
  • 無法停用密碼作為驗證方法,即使使用者可以使用 Microsoft Entra CBA 方法,仍會顯示使用密碼登入的選項。

Windows Hello 企業版憑證的已知限制

  • 雖然 Windows Hello 企業版 (WHFB) 可用於 Microsoft Entra ID 中的多重要素驗證,但新 MFA 不支援 WHFB。 客戶可以選擇使用 WHFB 金鑰組為您的用戶註冊憑證。 正確設定時,這些 WHFB 憑證可用於 Microsoft Entra 識別碼中的多重要素驗證。 WHFB 憑證與 Edge 和 Chrome 瀏覽器中的 Microsoft Entra 憑證型驗證 (CBA) 相容;不過,目前 WHFB 憑證與非瀏覽器案例中的 Microsoft Entra CBA 不相容(例如 Office 365 應用程式)。 因應措施是使用 [登入 Windows Hello 或安全性密鑰] 選項來登入(可用時),因為此選項不會使用憑證進行驗證,並避免 Microsoft Entra CBA 的問題;不過,某些較舊的應用程式可能無法使用此選項。

範圍不足

下列案例已脫離 Microsoft Entra CBA 的範圍:

  • 用來建立客戶端憑證的公鑰基礎結構。 客戶必須設定自己的公鑰基礎結構 (PKI),並為其使用者和裝置布建憑證。

下一步