Sdílet prostřednictvím

Začněte s ověřováním založeným na certifikátech ve službě Microsoft Entra ID ve spojení s federací

  • Článek

Ověřování na základě certifikátů (CBA) s federací umožňuje Microsoft Entra ID ověřit pomocí klientského certifikátu na zařízení s Windows, Androidem nebo iOS při připojování účtu Exchange Online k:

  • Mobilní aplikace Microsoftu, jako je Microsoft Outlook a Microsoft Word
  • Klienti Exchange ActiveSync (EAS)

Konfigurace této funkce eliminuje nutnost zadat kombinaci uživatelského jména a hesla do určitých e-mailových aplikací a aplikací Microsoft Office na mobilním zařízení.

Poznámka

Jako alternativu můžou organizace nasadit Microsoft Entra CBA bez nutnosti federace. Pro více informací si prosím přečtěte Přehled certifikátového ověřování systému Microsoft Entra ve vztahu k Microsoft Entra ID.

Toto téma:

  • Poskytuje postup konfigurace a využití CBA pro uživatele tenantů v plánech Office 365 Enterprise, Business, Education a US Government.
  • Předpokládá se, že už máte nakonfigurovanou infrastrukturu veřejných klíčů (PKI) a služby AD FS.

Požadavky

Pokud chcete nakonfigurovat CBA s federací, musí být splněné následující příkazy:

  • CBA s federací se podporuje jenom pro federovaná prostředí pro aplikace prohlížeče, nativní klienty používající moderní ověřování nebo knihovny MSAL. Jedinou výjimkou je Exchange Active Sync (EAS) pro Exchange Online (EXO), kterou je možné použít pro federované a spravované účty. Informace o konfiguraci Microsoft Entra CBA bez nutnosti federace viz Jak konfigurovat ověřování založené na certifikátech Microsoft Entra.
  • Kořenová certifikační autorita a všechny zprostředkující certifikační autority musí být nakonfigurované v ID Microsoft Entra.
  • Každá certifikační autorita musí mít seznam odvolaných certifikátů (CRL), na který se dá odkazovat prostřednictvím internetové adresy URL.
  • Musíte mít alespoň jednu certifikační autoritu nakonfigurovanou v MICROSOFT Entra ID. Související kroky najdete v části Konfigurace certifikačních autorit.
  • Pro klienty Exchange ActiveSync musí mít klientský certifikát směrovatelnou e-mailovou adresu uživatele v Exchangi Online v poli Hlavní název nebo název RFC822 pole Alternativní název subjektu. Microsoft Entra ID mapuje hodnotu RFC822 na atribut proxy adresa v adresáři.
  • Klientské zařízení musí mít přístup alespoň k jedné certifikační autoritě, která vydává klientské certifikáty.
  • Klientský certifikát pro ověření klienta musí být vydaný pro vašeho klienta.

Důležitý

Maximální velikost seznamu CRL pro microsoft Entra ID pro úspěšné stažení a mezipaměť je 20 MB a doba potřebná ke stažení seznamu CRL nesmí překročit 10 sekund. Pokud microsoft Entra ID nemůže stáhnout CRL, ověřování na základě certifikátů pomocí certifikátů vystavených odpovídající certifikační autoritou se nezdaří. Osvědčenými postupy pro zajištění, aby soubory seznamu CRL byly v mezích velikosti, je udržovat životnost certifikátů v rámci přiměřených limitů a vyčistit prošlé certifikáty.

Krok 1: Výběr platformy zařízení

Jako první krok je potřeba pro platformu zařízení, na které vám záleží, zkontrolovat následující:

  • Podpora mobilních aplikací Office
  • Specifické požadavky na implementaci

Související informace existují pro následující platformy zařízení:

Krok 2: Konfigurace certifikačních autorit

Pokud chcete nakonfigurovat certifikační autority v MICROSOFT Entra ID, nahrajte pro každou certifikační autoritu následující:

  • Veřejná část certifikátu ve formátu .cer
  • Internetové adresy URL, ve kterých se nacházejí seznamy odvolaných certifikátů (CRL)

Schéma certifikační autority vypadá takto:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Pro konfiguraci můžete použít Microsoft Graph PowerShellu:

  1. Spusťte Windows PowerShell s oprávněními správce.

  2. Nainstalujte Microsoft Graph PowerShellu:

        Install-Module Microsoft.Graph

Jako první krok konfigurace musíte vytvořit připojení k vašemu tenantovi. Jakmile existuje připojení k vašemu tenantovi, můžete zkontrolovat, přidat, odstranit a upravit důvěryhodné certifikační autority definované v adresáři.

Spojit

Pokud chcete vytvořit připojení k tenantovi, použijte Connect-MgGraph:

    Connect-MgGraph

Získat

Pokud chcete načíst důvěryhodné certifikační autority definované v adresáři, použijte Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Pokud chcete přidat, upravit nebo odebrat certifikační autoritu, použijte Centrum pro správu Microsoft Entra:

  1. Přihlaste se do centra pro správu Microsoft Entra jako Globální správce.

  2. Přejděte na Ochrana>Zobrazit více>Centrum zabezpečení (nebo Skóre zabezpečení identity) >certifikační autority.

  3. Pro nahrání CA vyberte Nahrát:

    1. Vyberte soubor certifikační autority.

    2. Pokud je certifikační autorita kořenovým certifikátem, vyberte Ano, jinak vyberte Ne.

    3. Pro adresu URL seznamu odvolaných certifikátůnastavte internetovou adresu URL pro seznam odvolaných certifikátů, která obsahuje všechny odvolané certifikáty. Pokud adresa URL není nastavená, ověřování s odvolanými certifikáty se nezdaří.

    4. Pro adresu URL seznamu odvolaných certifikátů Deltanastavte internetovou adresu URL pro CRL, která obsahuje všechny odvolané certifikáty od publikace posledního základního seznamu CRL.

    5. Vyberte Přidat.

      snímek obrazovky ukazující, jak nahrát soubor certifikační autority

  4. Pokud chcete odstranit certifikát certifikační autority, vyberte certifikát a vyberte Odstranit.

  5. Pokud chcete přidat nebo odstranit sloupce, vyberte sloupce.

Krok 3: Konfigurace odvolání

Pokud chcete odvolat klientský certifikát, Microsoft Entra ID načte seznam odvolaných certifikátů (CRL) z adres URL nahraných jako součást informací certifikační autority a uloží ho do mezipaměti. Pomocí posledního časového razítka publikování (effective Date) v seznamu CRL se zajistí, že seznam CRL je stále platný. CRL je pravidelně odkazován pro odvolání certifikátů, které jsou zahrnuty v seznamu.

Pokud je vyžadováno okamžité odvolání (například pokud uživatel ztratí zařízení), může být autorizační token uživatele zneplatněný. Pokud chcete autorizační token zneplatnit, nastavte pole StsRefreshTokenValidFrom pro tohoto konkrétního uživatele pomocí Prostředí Windows PowerShell. Je nutné aktualizovat pole StsRefreshTokenValidFrom pro každého uživatele, pro kterého chcete odvolat přístup.

Aby se zajistilo trvání odvolání, je nutné nastavit Datum účinnosti seznamu odvolaných certifikátů (CRL) na datum po hodnotě nastavené StsRefreshTokenValidFrom a zajistit, aby příslušný certifikát byl v tomto seznamu.

Poznámka

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShellu pro interakci s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete vnejčastějších dotazech k migraci . Poznámka: Verze 1.0.x MSOnline mohou zaznamenat přerušení po 30. červnu 2024.

Následující kroky popisují proces aktualizace a zneplatnění autorizačního tokenu nastavením pole StsRefreshTokenValidFrom.

  1. Připojení k PowerShellu:

    Connect-MgGraph

  2. Načtěte aktuální hodnotu StsRefreshTokensValidFrom pro uživatele:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. Nakonfigurujte novou hodnotu StsRefreshTokensValidFrom pro uživatele, který se rovná aktuálnímu časovému razítku:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

Datum, které nastavíte, musí být v budoucnu. Pokud datum není v budoucnu, StsRefreshTokensValidFrom vlastnost není nastavena. Pokud je datum v budoucnu, StsRefreshTokensValidFrom je nastaven na aktuální čas (nikoli datum označené příkazem Set-MsolUser).

Krok 4: Otestování konfigurace

Testování certifikátu

Jako první test konfigurace byste se měli pokusit přihlásit k Outlook Web Accessu nebo SharePointu Online pomocí prohlížeče na zařízení.

Pokud je přihlášení úspěšné, pak víte, že:

  • Pro testovací zařízení se zřídil uživatelský certifikát.
  • Služba AD FS je správně nakonfigurovaná.

Testování mobilních aplikací Office

  1. Na testovacím zařízení nainstalujte mobilní aplikaci Office (například OneDrive).
  2. Spusťte aplikaci.
  3. Zadejte své uživatelské jméno a vyberte uživatelský certifikát, který chcete použít.

Měli byste být úspěšně přihlášení.

Testování klientských aplikací Exchange ActiveSync

Pokud chcete získat přístup k protokolu Exchange ActiveSync (EAS) prostřednictvím ověřování na základě certifikátů, musí být pro aplikaci k dispozici profil EAS obsahující klientský certifikát.

Profil EAS musí obsahovat následující informace:

  • Uživatelský certifikát, který se má použít k ověřování

  • Koncový bod EAS (například outlook.office365.com)

Profil EAS je možné nakonfigurovat a umístit do zařízení prostřednictvím využití správy mobilních zařízení (MDM), jako je Microsoft Intune, nebo ručním umístěním certifikátu do profilu EAS na zařízení.

Testování klientských aplikací EAS v Androidu

  1. Nakonfigurujte v aplikaci profil EAS, který splňuje požadavky v předchozí části.
  2. Otevřete aplikaci a ověřte, že se pošta synchronizuje.

Další kroky

Další informace o ověřování pomocí certifikátů na zařízeních s Androidem.

Další informace o ověřování pomocí certifikátů na zařízeních s iOSem.