什麼是 Microsoft Entra 憑證型驗證？

您的組織可以使用 Microsoft Entra 憑證型驗證 （CBA） 來允許或要求使用者使用在 Microsoft Entra ID 中驗證的 X.509 憑證來直接驗證應用程式和瀏覽器登入。

使用此功能來採用防網路釣魚驗證，並針對公開金鑰基礎結構 （PKI） 使用 X.509 憑證進行驗證。

什麼是 Microsoft Entra CBA？

在 Microsoft Entra ID 的 CBA 雲端管理支援可用之前，組織必須實作同盟 CBA，讓使用者使用 X.509 憑證對 Microsoft Entra ID 進行驗證。 它包括部署 Active Directory 聯合服務 （AD FS）。 使用 Microsoft Entra CBA，您可以直接針對 Microsoft Entra ID 進行驗證，並消除同盟 AD FS 的需求，以簡化環境並降低成本。

下圖顯示 Microsoft Entra CBA 如何藉由消除同盟 AD FS 來簡化您的環境。

具有同盟 AD FS 的 CBA

Microsoft Entra CBA

使用 Microsoft Entra CBA 的主要優點

利	描述
改善使用者體驗	- 需要 CBA 的使用者現在可以直接針對 Microsoft Entra ID 進行驗證，而不必投資同盟 AD FS。 - 您可以使用系統管理中心，輕鬆地將憑證欄位對應至使用者物件屬性，以查閱租用戶中的使用者 （憑證使用者名稱系結） - 使用系統管理中心 來設定驗證原則 ，以協助判斷哪些憑證是單一因素與多因素。
易於部署和管理	- Microsoft Entra CBA 是一項免費功能。 您不需要任何付費版本的 Microsoft Entra ID 即可使用它。 - 無需複雜的內部部署或網路設定。 - 直接根據 Microsoft Entra ID 進行驗證。
安全	- 內部部署密碼不需要以任何形式儲存在雲端中。 - 藉由順暢地使用 Microsoft Entra 條件式存取原則來保護您的使用者帳戶，包括防網路釣魚多重要素驗證 （MFA）。 MFA 需要 授權版本 並封鎖舊版驗證。 - 強大的身份驗證支持。 系統管理員可以透過憑證欄位 （例如簽發者或原則物件識別碼 （原則 OID） ） 來定義驗證原則，以判斷哪些憑證符合單一因素與多因素的資格。 - 此功能可與條件式存取功能和驗證強度功能順暢地搭配運作，以強制執行 MFA 來協助保護您的使用者。

支援的案例

以下是支援的案例：

• 使用者登入所有平台上的網頁瀏覽器型應用程式

• 使用者登入 iOS 和 Android 平台上的 Office 行動應用程式，以及 Windows 中的 Office 原生應用程式，包括 Outlook 和 OneDrive

• 行動原生瀏覽器上的使用者登入

• 使用憑證簽發者主體和原則 OID 的 MFA 精細驗證規則

• 使用任何憑證欄位的憑證至使用者帳戶繫結：

  • SubjectAlternativeName（）、SANPrincipalName和RFC822Name
  • SubjectKeyIdentifier （SKI） 和 SHA1PublicKey
  • IssuerAndSubject 和 IssuerAndSerialNumber

• 使用任何使用者物件屬性的憑證至使用者帳戶繫結：

  • userPrincipalName
  • onPremisesUserPrincipalName
  • certificateUserIds

不支援的情境

不支援下列案例：

• 在 Windows 的鎖定/登入畫面的網頁登入選項中不支援 CBA。
• 僅支援受信任 CA 的一個 CRL 發佈點 （CDP）。
• CDP 只能是 HTTP URL。 我們不支援線上憑證狀態通訊協定 （OCSP） 或輕量型目錄存取通訊協定 （LDAP） URL。
• 密碼作為驗證方法無法關閉。 使用密碼登入的選項隨即出現，即使使用者可以使用 Microsoft Entra CBA 方法也一樣。

Windows Hello 企業版憑證的已知限制

雖然 Windows Hello 企業版可用於 Microsoft Entra ID 中的 MFA，但新的 MFA 不支援 Windows Hello 企業版。 您可以選擇使用 Windows Hello 企業版金鑰/配對來為使用者註冊憑證。 正確設定時，Windows Hello 企業版憑證可用於 Microsoft Entra ID 中的 MFA。

Windows Hello 企業版憑證與 Microsoft Edge 和 Chrome 瀏覽器中的 Microsoft Entra CBA 相容。 目前，Windows Hello 企業版憑證與非瀏覽器案例中的 Microsoft Entra CBA 不相容，例如 Office 365 應用程式。 解決方案是使用 [登入 Windows Hello 或安全性金鑰 ] 選項來登入 （當它可用時）。 此選項不會使用憑證進行驗證，並避免 Microsoft Entra CBA 的問題。 此選項在某些早期應用程式中可能無法使用。

超出範圍

下列案例不在 Microsoft Entra CBA 的範圍內：

• 建立或提供公開金鑰基礎結構 （PKI） 以建立用戶端憑證。 您必須設定自己的 PKI 並將憑證佈建給使用者和裝置。

相關內容

• Microsoft Entra CBA 技術概念
• 設定 Microsoft Entra CBA
• iOS 裝置上的 Microsoft Entra CBA
• Android 裝置上的 Microsoft Entra CBA
• 使用 Microsoft Entra CBA 登入 Windows 智慧卡
• 憑證使用者識別碼
• 移轉同盟使用者
• 常見問題集