自定義條件式存取驗證強度
管理員 istrators 也可以建立最多 15 個自己的自定義驗證強度,以完全符合其需求。 自訂驗證強度可以包含上表中任何支持的組合。
以 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>驗證方法>驗證強度]。
選取 [ 新增驗證強度]。
提供新驗證強度的描述性 名稱 。
選擇性地提供 [描述]。
選取您想要允許的任何可用方法。
選擇 [ 下一步 ] 並檢閱原則設定。
更新和刪除自定義驗證強度
您可以編輯自訂驗證強度。 如果條件式存取原則參考,則無法刪除,而且您需要確認任何編輯。 若要檢查條件式存取原則是否參考驗證強度,請按兩下 [ 條件式存取原則 ] 資料行。
FIDO2 安全性金鑰進階選項
您可以根據 FIDO2 安全性金鑰的驗證器證明 GUID (AAGUIDs) 來限制 FIDO2 安全性金鑰的使用方式。 這項功能可讓系統管理員要求來自特定製造商的 FIDO2 安全性密鑰,才能存取資源。 若要要求特定的 FIDO2 安全性金鑰,請先建立自定義驗證強度。 然後選取 [FIDO2 安全性密鑰],然後按下 [ 進階選項]。
在 [允許的 FIDO2 密鑰 ] 旁,按兩下 +,複製 AAGUID 值,然後按兩下 [ 儲存]。
憑證式驗證進階選項
在驗證 方法原則中,您可以根據憑證簽發者或原則 OID,設定憑證是否系結至單一要素或多重要素驗證保護層級。 您也可以根據條件式存取驗證強度原則,針對特定資源要求單一要素或多重要素驗證憑證。
藉由使用驗證強度進階選項,您可以要求特定的憑證簽發者或原則 OID 進一步限制對應用程式的登入。
例如,Contoso 向具有三種不同類型的多重要素憑證的員工發出智慧卡。 一個憑證用於機密許可,另一個用於秘密許可,第三個是最高秘密許可。 每個憑證都會以憑證的屬性來區別,例如原則 OID 或簽發者。 Contoso 想要確保只有具有適當多重要素憑證的使用者才能存取每個分類的數據。
下一節說明如何使用 Microsoft Entra 系統管理中心和 Microsoft Graph 設定 CBA 的進階選項。
Microsoft Entra 系統管理中心
以 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>驗證方法>驗證強度]。
選取 [ 新增驗證強度]。
提供新驗證強度的描述性 名稱 。
選擇性地提供 [描述]。
在 [憑證式驗證] 下方(單一因素或多重要素),按兩下 [ 進階選項]。
您可以從下拉功能表中選取憑證簽發者、輸入憑證簽發者,然後輸入允許的原則 OID。 下拉功能表會列出租使用者中的所有證書頒發機構單位,不論它們是單一因素還是多重要素。
- 如果同時 設定 [允許的憑證簽發者 ] 和 [允許的原則 OID ],則會有 AND 關聯性。 用戶必須使用符合這兩個條件的憑證。
- 在 [ 允許的憑證簽發者 ] 清單和 [ 允許的原則 OID ] 列表之間,有 OR 關聯性。 用戶必須使用符合其中一個簽發者或原則 OID 的憑證。
- 如果您想要使用的憑證未上傳至租使用者中的證書頒發機構單位,請使用 SubjectkeyIdentifier 的其他憑證簽發者。 如果使用者在主租用戶中驗證,此設定可用於外部使用者案例。
按兩下 [下一步 ] 以檢閱設定,然後按兩下 [ 建立]。
Microsoft Graph
若要使用憑證組合來建立新的條件式存取驗證強度原則設定:
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
若要將新的組合Configuration 新增至現有的原則:
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
限制
FIDO2 安全性金鑰進階選項
- FIDO2 安全性密鑰進階選項 - 對於位於資源租使用者不同 Microsoft 雲端的外部使用者,不支援進階選項。
憑證式驗證進階選項
每個瀏覽器會話只能使用一個憑證。 使用憑證登入之後,它會在瀏覽器中快取會話的持續時間。 如果憑證不符合驗證強度需求,系統將不會提示您選擇另一個憑證。 您必須註銷並重新登入以重新啟動工作階段。 然後選擇相關的憑證。
證書頒發機構單位和用戶憑證應符合 X.509 v3 標準。 具體來說,若要強制執行簽發者 SKI CBA 限制,憑證需要有效的 AKIs:
注意
如果憑證不符合,用戶驗證可能會成功,但不符合驗證強度原則的issuerSki限制。
在登入期間,會考慮用戶憑證的前 5 個原則 OID,並與驗證強度原則中設定的原則 OID 相較之下。 如果用戶憑證有超過5個原則 OID,則會考慮符合驗證強度需求的語彙順序的前5個原則 OID。
針對 B2B 使用者,讓我們以 Contoso 邀請 Fabrikam 使用者到其租使用者的範例。 在此情況下,Contoso 是資源租使用者,Fabrikam 是主租使用者。
- 當跨租使用者存取設定為 Off 時(Contoso 不接受主租使用者所執行的 MFA)- 不支援在資源租使用者上使用憑證式驗證。
- 當跨租使用者存取設定為 [開啟] 時,Fabrikam 和 Contoso 位於相同的 Microsoft 雲端,這表示 Fabrikam 和 Contoso 租用戶都位於 Azure 商業雲端或適用於美國政府雲端的 Azure 上。 此外,Contoso 會信任在主租用戶上執行的 MFA。 在此情況下:
- 在自定義驗證強度原則中使用原則 OID 或 「其他憑證簽發者 by SubjectkeyIdentifier」,即可限制特定資源的存取。
- 在自定義驗證強度原則中使用 [其他憑證簽發者 by SubjectkeyIdentifier] 設定,即可限制存取特定資源。
- 當跨租使用者存取設定為 [開啟] 時,Fabrikam 和 Contoso 不在相同的 Microsoft 雲端上 –例如,Fabrikam 的租用戶位於 Azure 商業雲端上,而 Contoso 的租用戶位於適用於美國政府雲端的 Azure 上,則無法使用自定義驗證強度原則中的簽發者標識符或原則 OID 來限制對特定資源的存取。
針對驗證強度進階選項進行疑難解答
用戶無法使用其 FIDO2 安全性金鑰登入
條件式存取 管理員 istrator 可以限制對特定安全性密鑰的存取。 當使用者嘗試使用無法使用的密鑰進行登入時,就 會出現此 訊息。 用戶必須重新啟動會話,並使用不同的 FIDO2 安全性金鑰登入。
如何檢查憑證原則 OID 和簽發者
您可以確認個人憑證屬性符合驗證強度進階選項中的組態。
在用戶的裝置上,以 管理員 istrator 身分登入。 按兩下 [ 執行],輸入 certmgr.msc,然後按 Enter。 若要檢查原則 OID,請按兩下 [ 個人],以滑鼠右鍵按兩下憑證,然後按兩下 [ 詳細數據]。
