Konfigurace ověřování založeného na certifikátech Microsoft Entra

Ověřování založené na certifikátech Microsoft Entra (CBA) umožňuje organizacím nakonfigurovat tenanty Microsoft Entra tak, aby povolovaly nebo vyžadovaly ověřování pomocí certifikátů X.509 vytvořených infrastrukturou veřejných klíčů organizace pro přihlašování aplikací a prohlížečů. Tato funkce umožňuje organizacím používat moderní ověřování bez hesla odolné vůči útokům phishing pomocí certifikátu x.509.

Při přihlašování se uživatelům zobrazí také možnost ověření pomocí certifikátu místo zadání hesla. Pokud na zařízení existuje více odpovídajících certifikátů, může uživatel vybrat, který z nich se má použít. Certifikát se ověří na uživatelském účtu a v případě úspěchu se přihlásí.

Podle těchto pokynů nakonfigurujte a použijte Microsoft Entra CBA pro tenanty v plánech Office 365 Enterprise a US Government. Už byste měli mít nakonfigurovanou infrastrukturu veřejných klíčů (PKI).

Požadavky

Ujistěte se, že jsou splněny následující předpoklady:

• Nakonfigurujte aspoň jednu certifikační autoritu (CA) a všechny zprostředkující certifikační autority v ID Microsoft Entra.
• Uživatel musí mít přístup k uživatelskému certifikátu (vydanému z důvěryhodné infrastruktury veřejných klíčů nakonfigurované v tenantovi) určenému k ověření klienta pro ověření na základě ID Microsoft Entra.
• Každá certifikační autorita by měla mít seznam odvolaných certifikátů (CRL), na který se dá odkazovat z internetových adres URL. Pokud důvěryhodná certifikační autorita nemá nakonfigurovaný CRL, Microsoft Entra ID neprovádí žádnou kontrolu CRL, odvolání uživatelských certifikátů nefunguje a ověřování není blokováno.

Důležité

Ujistěte se, že je infrastruktura veřejných klíčů zabezpečená a není možné ji snadno ohrozit. V případě narušení mohou útočníci vytvářet a podepisovat klientské certifikáty a ohrozit jakéhokoli uživatele v tenantovi, ať už jde o uživatele synchronizované z místního prostředí, nebo pouze cloudové uživatele. Avšak strategie silné ochrany klíčů spolu s dalšími fyzickými a logickými ovládacími prvky, jako jsou aktivační karty HSM nebo tokeny pro zabezpečené úložiště artefaktů, může poskytovat vícevrstvou ochranu, aby zabránila externím útočníkům nebo vnitřním hrozbám v narušení integrity PKI. Další informace naleznete v tématu Zabezpečení infrastruktury veřejných klíčů.

Důležité

Navštivte doporučení Microsoftu pro osvědčené postupy pro kryptografickou službu Microsoftu, která zahrnuje volbu algoritmu, délku klíče a ochranu dat. Ujistěte se, že používáte jeden z doporučených algoritmů, délku klíče a křivky schválené nistou.

Důležité

V rámci průběžných vylepšení zabezpečení koncových bodů Azure/M365 přidáváme podporu protokolu TLS1.3 a očekává se, že tento proces bude trvat několik měsíců, než pokryje tisíce koncových bodů služby v Azure nebo M365. To zahrnuje koncový bod Microsoft Entra, který je používán pro ověřování na základě certifikátů Microsoft Entra (CBA) *.certauth.login.microsoftonline.com a *.certauth.login.microsoftonline.us. TLS 1.3 je nejnovější verze internetového nejčastěji nasazeného protokolu zabezpečení, která šifruje data a poskytuje zabezpečený komunikační kanál mezi dvěma koncovými body. Protokol TLS 1.3 eliminuje zastaralé kryptografické algoritmy, vylepšuje zabezpečení oproti starším verzím a má zašifrovat co největší část metody handshake. Důrazně doporučujeme, aby vývojáři začali testovat protokol TLS 1.3 ve svých aplikacích a službách.

Poznámka:

Při vyhodnocování infrastruktury veřejných klíčů je důležité zkontrolovat zásady vystavování certifikátů a vynucování. Jak už bylo zmíněno, přidání certifikačních autorit (CA) do konfigurace Microsoft Entra umožňuje certifikátům vydaným těmito certifikačními autoritami ověřit libovolného uživatele v Microsoft Entra ID. Z tohoto důvodu je důležité zvážit, jak a kdy mají certifikační autority povolené vydávat certifikáty a jak implementují opakovaně použitelné identifikátory. Pokud správci potřebují zajistit, aby k ověření uživatele bylo možné použít jenom konkrétní certifikát, měli by výhradně používat vazby s vysokou afinitou, aby dosáhli vyšší úrovně jistoty, že pouze tento konkrétní certifikát může ověřit uživatele. Další informace najdete v tématu vazby s vysokou afinitou.

Konfigurace a testování Microsoft Entra CBA

Je potřeba provést některé kroky konfigurace před povolením Microsoft Entra CBA. Nejprve musí správce nakonfigurovat důvěryhodné certifikační autority, které vydávají uživatelské certifikáty. Jak je vidět na následujícím diagramu, používáme řízení přístupu na základě role, abychom měli jistotu, že k provádění změn jsou potřeba jenom správci s nejnižšími oprávněními.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Tento postup pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání nebo v případě, že nemůžete použít existující roli.

Volitelně můžete také nakonfigurovat ověřovací vazby pro mapování certifikátů na jednofaktorové nebo vícefaktorové ověřování a nakonfigurovat vazby uživatelského jména pro mapování pole certifikátu na atribut objektu uživatele. Správci zásad ověřování můžou konfigurovat nastavení související s uživatelem. Po dokončení všech konfigurací povolte Microsoft Entra CBA pro tenant.

Krok 1: Konfigurace certifikačních autorit s úložištěm důvěryhodnosti založeným na infrastruktuře veřejných klíčů (Preview)

Entra má nové úložiště důvěryhodných certifikátů založených na infrastruktuře veřejných klíčů (PKI). Úložiště důvěryhodnosti CA založené na PKI uchovává certifikační autority jako objekt kontejneru pro každou jednotlivou PKI. Správci můžou spravovat certifikační autority v kontejneru na základě infrastruktury veřejných klíčů snadněji než jeden plochý seznam certifikačních autorit.

Úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů má vyšší limity pro počet certifikačních autorit a velikost jednotlivých souborů certifikační autority. Úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů podporuje až 250 certifikačních autorit a velikost 8 kB pro každý objekt certifikační autority. Důrazně doporučujeme použít nové úložiště důvěry založené na infrastruktuře veřejných klíčů pro ukládání certifikačních autorit, které je škálovatelné a podporuje nové funkce, jako jsou nápovědy vydavatele.

Poznámka:

Pokud ke konfiguraci certifikačních autorit používáte staré úložiště důvěryhodnosti, doporučujeme nakonfigurovat úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů.

Správce musí nakonfigurovat důvěryhodné certifikační autority, které vydávají uživatelské certifikáty. K provedení změn jsou potřeba jenom správci s nejnižšími oprávněními. Úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů má roli RBAC administrátor autentizace oprávnění.

Funkce nahrání PKI v úložišti důvěryhodnosti na bázi PKI je k dispozici pouze s licencí Microsoft Entra ID P1 nebo P2. S bezplatnou licencí ale můžou správci nahrát všechny certifikační autority jednotlivě místo souboru PKI a nakonfigurovat úložiště důvěryhodnosti na základě infrastruktury veřejných klíčů.

Konfigurace certifikačních autorit pomocí Centra pro správu Microsoft Entra

Vytvoření objektu kontejneru PKI

1. Vytvořte objekt kontejneru PKI.

2. Přihlaste se do Centra pro správu Microsoft Entra jako správce ověřování oprávnění .

3. Přejděte do Protection>Zobrazit více>Security Center (nebo Identity Secure Score) >Infrastruktura veřejných klíčů (Náhled).

4. Klikněte na + Vytvořit PKI.

5. Zadejte zobrazovaný název.

6. Klikněte na Vytvořit.

   

7. Vyberte Sloupce , které chcete přidat nebo odstranit.

8. Vyberte Aktualizovat pro obnovení seznamu PKI.

Odstranění objektu kontejneru PKI

1. Pokud chcete odstranit pkI, vyberte pkI a vyberte Odstranit. Pokud infrastruktura veřejných klíčů obsahuje certifikační autority, zadejte název infrastruktury veřejných klíčů, abyste potvrdili odstranění všech certifikačních autorit v něm, a vyberte Odstranit.

   

Nahrání jednotlivých certifikačních autorit do objektu kontejneru PKI

1. Načtení certifikační autority do kontejneru PKI:

   1. Klikněte na + Přidat certifikační autoritu.

   2. Vyberte soubor certifikační autority.

   3. Pokud je certifikační autorita kořenovým certifikátem, vyberte ano. V opačném případě vyberte Ne.

   4. Pro URL seznamu odvolaných certifikátů nastavte veřejnou internetovou adresu základního seznamu CRL certifikační autority, zahrnující všechny odvolané certifikáty. Pokud adresa URL není nastavená, ověřování s odvolanými certifikáty se nezdaří.

   5. Pro adresu URL seznamu odvolaných certifikátů Delta nastavte internetovou adresu URL pro CRL, která obsahuje všechny odvolané certifikáty od posledního publikování základního CRL.

   6. Příznak Rady vystavitele je ve výchozím nastavení povolený. Vypněte nápovědy vystavitele, pokud by certifikační autorita neměla být zahrnutá do nápovědy vystavitele.

   7. Zvolte Uložit.

   8. Pokud chcete odstranit certifikát certifikační autority, vyberte certifikát a vyberte Odstranit.

      

   9. Vyberte Sloupce , které chcete přidat nebo odstranit.

   10. Výběrem možnosti Aktualizovat aktualizujte seznam certifikačních autorit.

Nahrání všech certifikačních autorit s nahráním infrastruktury veřejných klíčů do objektu kontejneru PKI

1. Nahrát všechny CA najednou do kontejneru PKI:

   1. Vytvořte objekt kontejneru PKI nebo ho otevřete.
   2. Vyberte Nahrát PKI.
   3. Zadejte internetovou adresu URL http, kde je k dispozici soubor .p7b.
   4. Zadejte kontrolní součet SHA256 souboru.
   5. Vyberte nahrávání.
   6. Nahrání PKI je asynchronní proces. Jakmile je každá certifikační autorita nahrána, je dostupná v PKI. Dokončení nahrávání infrastruktury veřejných klíčů může trvat až 30 minut.
   7. Chcete-li aktualizovat certifikační autority, vyberte možnost Aktualizovat.

   Pokud chcete vygenerovat kontrolní součet SHA256 souboru PKI .p7b, spusťte tento příkaz:

   Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256
   

Úprava PKI

1. Chcete-li upravit PKI, vyberte ... na řádku PKI a vyberte Upravit.
2. Zadejte nový název PKI a vyberte Uložit.

Úprava certifikační autority (CA)

1. Pokud chcete upravit certifikační autoritu, vyberte ... na řádku certifikační autority a vyberte Upravit.
2. Zadejte nové hodnoty pro typ certifikační autority (kořenový/zprostředkující), URL seznamu CRL, URL seznamu Delta CRL, příznak povolení nápovědy vydavatele podle potřeby a vyberte Uložit.

Obnovení infrastruktury veřejných klíčů

1. Vyberte kartu Odstraněné PKI.
2. Vyberte PKI a vyberte Obnovit PKI.

Obnovení certifikační autority

1. Vyberte kartu Odstraněné CA.
2. Vyberte soubor certifikační autority a vyberte Obnovit certifikační autoritu.

Porozumění atributu isIssuerHintEnabled v kontextu certifikační autority

Nápovědy vydavatele vracejí indikaci důvěryhodné certifikační autority jako součást TLS handshake (Transport Layer Security). Seznam důvěryhodných certifikačních autorit je sestaven z certifikačních autorit nahraných tenantem do úložiště důvěryhodnosti Entra. Další informace o indiciím vystavitelů naleznete v části Pochopení indicií vystavitelů.

Ve výchozím nastavení se názvy všech certifikačních autorit v úložišti důvěryhodnosti Microsoft Entra odesílají jako nápovědy. Pokud chcete odeslat tip pouze se specifickými CAs, nastavte atribut isIssuerHintEnabled na true.

Limit pro nápovědy vystavitele (název subjektu certifikační autority), které může server odeslat zpět klientovi TLS, je 16 kB. Jako dobrý postup nastavte atribut isIssuerHintEnabled na true pouze pro certifikační autority, které vydávají uživatelské certifikáty.

Pokud několik zprostředkujících certifikačních autorit ze stejného kořenového certifikátu vydává certifikáty koncových uživatelů, ve výchozím nastavení se všechny certifikáty zobrazí v nástroji pro výběr certifikátu. Pokud ale nastavíte isIssuerHintEnabled pro true konkrétní certifikační autority, zobrazí se v nástroji pro výběr certifikátu pouze správné uživatelské certifikáty. Chcete-li povolit isIssuerHintEnabled, upravte certifikační autoritu a aktualizujte hodnotu na true.

Konfigurace certifikačních autorit pomocí rozhraní Microsoft Graph API

Rozhraní Microsoft Graph API je možné použít ke konfiguraci certifikačních autorit. Následující příklady ukazují, jak pomocí Microsoft Graphu spouštět operace Vytvoření, Čtení, Aktualizace nebo Odstranění (CRUD) pro PKI nebo CA.

Vytvoření objektu kontejneru PKI

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Získání všech objektů PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Získání objektu PKI podle ID PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/
ConsistencyLevel: eventual

Nahrajte CA pomocí souboru .p7b

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
    	"uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
    	"sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Získejte všechny certifikační autority v PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities
ConsistencyLevel: eventual

Získání konkrétní certifikační autority v rámci PKI podle ID certifikační autority

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
ConsistencyLevel: eventual

Aktualizace indikátoru pro konkrétního vystavitele certifikační autority

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Pro tuto konfiguraci můžete nakonfigurovat certifikační autority (CA) pomocí PowerShellu. Můžete použít [Microsoft Graph PowerShell] (/powershell/microsoftgraph/installation).

1. Spusťte PowerShell s oprávněními správce.

2. Nainstalujte a naimportujte sadu Microsoft Graph PowerShell SDK.

   Install-Module Microsoft.Graph -Scope AllUsers
   Import-Module Microsoft.Graph.Authentication
   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
   

3. Připojte se k tenantovi a přijměte vše.

      Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>
   

Protokol auditu

Jakékoli CRUD operace na PKI nebo CA v rámci úložiště důvěryhodnosti se protokolují do protokolů auditu Microsoft Entra.

Nejčastější dotazy

Otázka: Proč nahrávání infrastruktury veřejných klíčů selže?

Odpověď: Zkontrolujte, jestli je soubor PKI platný a je přístupný bez jakýchkoli problémů. Maximální velikost souboru PKI by měla být

Otázka: Jaká je smlouva o úrovni služeb (SLA) pro nahrání PKI?

Odpověď: Nahrání PKI je asynchronní operace a dokončení může trvat až 30 minut.

Otázka: Jak vygenerujete kontrolní součet SHA256 pro soubor PKI?

Odpověď: Pokud chcete vygenerovat kontrolní součet SHA256 souboru PKI.p7b, spusťte tento příkaz:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Krok 2: Povolení CBA pro tenanta

Důležité

Uživatel je považován za schopného vícefaktorového MFA ověřování, pokud je uživatel v rozsahu pro ověřování založené na certifikátu v zásadách ověřovacích metod. Tento požadavek zásad znamená, že uživatel nemůže použít prokázání identity jako součást svého ověřovacího procesu k registraci dalších dostupných metod. Pokud uživatelé nemají přístup k certifikátům, zamknou se a nemůžou pro vícefaktorové ověřování zaregistrovat jiné metody. Správci zásad ověřování musí povolit CBA jenom pro uživatele, kteří mají platné certifikáty. Nezahrnujte Všechny uživatele pro CBA. Používejte jenom skupiny uživatelů s platnými dostupnými certifikáty. Další informace naleznete v tématu Vícefaktorové ověřování Microsoft Entra.

Pokud chcete povolit CBA v Centru pro správu Microsoft Entra, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

2. Přejděte na Skupiny>Veškeré skupiny>, vyberte Nová skupina a vytvořte skupinu pro uživatele CBA.

3. Přejděte k ochraně>metodám ověřování>ověřování pomocí certifikátů.

4. V části Povolit a cílvyberte Povolita klikněte na Přijmout.

5. Klikněte na Vybrat skupiny, klikněte na Přidat skupiny.

6. Zvolte konkrétní skupiny, jako je ten, který jste vytvořili, a klikněte na Vybrat. Místo všech uživatelů používejte konkrétní skupiny.

7. Až budete hotovi, klikněte na Uložit.

   

Jakmile je v tenantovi povolené ověřování na základě certifikátů, uvidí všichni uživatelé v tenantovi možnost přihlásit se pomocí certifikátu. Jenom uživatelé, kteří mají povolený přístup k CBA, se mohou ověřit pomocí certifikátu X.509.

Poznámka:

Správce sítě by měl povolit přístup k certauth koncovému bodu pro cloudové prostředí zákazníka kromě login.microsoftonline.com. Zakažte inspekci TLS na koncovém bodu certauth, abyste zajistili úspěšnost žádosti o klientský certifikát jako součást TLS handshake.

Krok 3: Konfigurace zásad vazby ověřování

Zásady vázání ověřování pomáhají určit sílu autentizace buď na jeden faktor, nebo na více faktorů. Výchozí úroveň ochrany pro všechny certifikáty tenanta je jednofaktorové ověřování. Výchozí vazba affinity na úrovni nájemce je Nízká. Správce zásad ověřování může změnit výchozí hodnotu z jednofaktorového na vícefaktorové a pokud se změní, budou všechny certifikáty v tenantovi považovány za silné vícefaktorové ověřování. Podobně lze na úrovni tenanta nastavit afinitu na Vysoká, což znamená, že všechny certifikáty budou ověřeny pouze pomocí atributů s vysokou afinitou.

Důležité

Správce by měl nastavit výchozí hodnotu tenanta pro většinu certifikátů a vytvořit vlastní pravidla pouze pro konkrétní certifikáty, které potřebují jinou úroveň ochrany nebo vazbu spřažení než výchozí nastavení tenanta. Všechny konfigurace metod ověřování se dostanou do stejného souboru zásad, takže vytvoření více redundantních pravidel může dojít k dosažení limitu souboru zásad.

Pravidla vazby ověřování mapují atributy certifikátu, jako je Vystavitel, ID objektu zásad (OID) či kombinace Vystavitele a OID zásad, na hodnotu a určují výchozí úroveň ochrany i vazbu spřažení pro toto pravidlo. Pokud chcete upravit výchozí nastavení tenanta a vytvořit vlastní pravidla v Centru pro správu Microsoft Entra, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

2. Přejděte na ochranu>metody ověřování>zásady.

3. V části Spravovat vyberte Metody ověřování>Ověřování založené na certifikátech.

   

4. Výběrem možnosti Konfigurovat nastavíte ověřovací vazbu a vazbu uživatelského jména.

5. Atribut úrovně ochrany má výchozí hodnotu jednofaktorového ověřování. Vyberte Vícefaktorové ověřování a změňte výchozí hodnotu na vícefaktorové ověřování .

   Poznámka:

   Výchozí hodnota na úrovni ochrany platí, pokud nejsou přidána žádná vlastní pravidla. Pokud se přidají vlastní pravidla, je místo toho dodržena úroveň ochrany definovaná na úrovni pravidla.

   

6. Můžete také nastavit vlastní pravidla vazby autentizace, která pomáhají určit úroveň ochrany pro klientské certifikáty, u kterých je třeba odlišných hodnot pro úroveň ochrany nebo vazby afinity než těch, které jsou výchozí pro tenanta. Pravidla je možné nakonfigurovat pomocí subjektu vydavatele nebo identifikátoru zásad OID, nebo obou polí v certifikátu.

   Ověřovací pravidla vazby mapují atributy certifikátu (vystavitel nebo Policy OID) na hodnotu a vybírají výchozí úroveň ochrany pro toto pravidlo. Lze vytvořit více pravidel. Pro konfiguraci níže předpokládejme, že výchozí nastavení tenanta je multifaktorové ověřování a nízká vazba spojení.

   Pokud chcete přidat vlastní pravidla, vyberte Přidat pravidlo.

   

   Pokud chcete vytvořit pravidlo podle vystavitele certifikátu, vyberte Vystavitel certifikátu.

   1. V seznamu vyberte identifikátor vystavitele certifikátu.

   2. Vyberte vícefaktorové ověřování a vysokou afinitní vazbu a poté klikněte na Přidat. Po zobrazení výzvy klikněte na potvrzení a dokončete přidání pravidla.

      

   Pokud chcete vytvořit pravidlo podle identifikátoru zásad, vyberte OID zásad.

   1. Zadejte hodnotu pro identifikátor zásad.

   2. Vyberte jednofaktorové ověřování, nízkoafinitní vazbu a klikněte na Přidat. Po zobrazení výzvy klikněte na potvrzení a dokončete přidání pravidla.

      

   Jak vytvořit pravidlo podle identifikátoru vystavitele a identifikátoru zásady (OID):

   1. Vyberte vystavitele certifikátu a identifikátor zásad.

   2. Vyberte vystavitele a zadejte OID zásady.

   3. Pro sílu ověřování vyberte vícefaktorové ověřování.

   4. Pro afinitní připojení vyberte Vysoká.

      Snímek obrazovky znázorňuje, jak vybrat vazbu s nízkou afinitou.

   5. Vyberte Přidat.

      

   6. Ověřte se pomocí certifikátu, který má identifikátor zásad 3.4.5.6 a je vydán vydavatelem CN=CBATestRootProd. Ověřování by mělo projít a získat vícefaktorové přístupové oprávnění.

Důležité

Existuje známý problém, kdy správce zásad ověřování tenanta Microsoft Entra konfiguruje pravidlo zásad ověřování CBA pomocí vystavitele a identifikátoru zásad. Problém se týká některých scénářů registrace zařízení, mezi které patří:

• Registrace Windows Hello pro firmy
• Registrace klíče zabezpečení FIDO2
• Přihlášení k telefonu bez hesla Ve Windows

Registrace zařízení ve scénářích Připojení k pracovišti, Microsoft Entra ID a Hybridní připojení zařízení Microsoft Entra nejsou ovlivněné. Pravidla zásad ověřování CBA používající identifikátory vystavitele NEBO zásady identifikátorů objektů nejsou ovlivněna. Pokud chcete tento problém zmírnit, měli by správci:

• Upravte pravidla zásad ověřování na základě certifikátů, která používají možnosti Vystavitel i Identifikátor zásad. Odeberte požadavek pro vystavitele nebo Policy OID a uložte. -nebo-
• Odeberte pravidlo zásad ověřování, které využívá jak vystavitele, tak i identifikátor OID zásad. Vytvořte pravidla, která používají pouze identifikátor vystavitele nebo identifikátor objektu zásady.

Pracujeme na opravě problému.

Vytvořit pravidlo podle vystavitele a sériového čísla:

1. Přidejte zásadu vazby autentizace. Tato zásada vyžaduje, aby jakýkoli certifikát vydaný CN=CBATestRootProd s policyOID 1.2.3.4.6 vyžadoval pouze vysokou afinitní vazbu. Používají se vystavitel a sériové číslo.

   

2. Vyberte pole certifikátu. V tomto příkladu vybereme Vystavitel a Sériové číslo.

   

3. Jediný podporovaný atribut uživatele je CertificateUserIds. Vyberte Přidat.

   

4. Zvolte Uložit.

   Záznam přihlašování ukazuje, jaký mechanismus byl použit pro přihlášení, a podrobnosti z certifikátu.

   

5. Vyberte ok a uložte jakékoli vlastní pravidlo.

Důležité

Zadejte objekt PolicyOID pomocí formátu identifikátoru objektu. Pokud například zásada certifikátu říká Všechny zásady vystavování, při přidání pravidla zadejte identifikátor OID jako 2.5.29.32.0 . Řetězec Všechny zásady vydávání je pro editor pravidel neplatný a neprojeví se.

Krok 4: Konfigurace zásad vazby uživatelského jména

Zásady vazby uživatelského jména pomáhají ověřit certifikát uživatele. Ve výchozím nastavení mapujeme hlavní název v certifikátu na UserPrincipalName v objektu uživatele k určení uživatele.

Správce zásad ověřování může přepsat výchozí nastavení a vytvořit vlastní mapování. Informace o konfiguraci vazby uživatelského jména najdete v tématu Jak funguje vazba uživatelského jména.

Další scénáře, které používají atribut certificateUserIds, najdete v tématu ID uživatele certifikátu.

Důležité

Pokud zásada vazby uživatelského jména používá synchronizované atributy, jako jsou certificateUserIds, onPremisesUserPrincipalName a atribut userPrincipalName objektu uživatele, mějte na paměti, že účty s oprávněními správce ve službě Active Directory (například účty s delegovanými právy k uživatelským objektům nebo právy správce na serveru Microsoft Entra Connect) mohou provádět změny, které mají vliv na tyto atributy v Microsoft Entra ID.

1. Vytvořte vazbu uživatelského jména výběrem jednoho z polí certifikátu X.509 pro spojení s jedním z atributů uživatele. Pořadí vazeb uživatelských jmen představuje úroveň priority vazby. První z nich má nejvyšší prioritu a tak dále.

   

   Pokud je v certifikátu nalezeno zadané pole certifikátu X.509, ale ID Microsoft Entra nenajde objekt uživatele používající tuto hodnotu, ověření selže. Microsoft Entra ID vyzkouší další vazbu v seznamu.

2. Změny uložíte tlačítkem Uložit.

Konečná konfigurace vypadá takto:

Krok 5: Otestování konfigurace

Tato část popisuje, jak testovat svůj certifikát a vlastní pravidla vazby pro ověřování.

Otestování certifikátu

Jako první test konfigurace byste se měli pokusit přihlásit k portálu MyApps pomocí prohlížeče na zařízení.

1. Zadejte hlavní název uživatele (UPN).

   

2. Vyberte Další.

   

   Pokud jste povolili jiné metody ověřování, jako je přihlášení k telefonu nebo FIDO2, můžou se uživatelům zobrazit jiná přihlašovací obrazovka.

   

3. Vyberte Přihlásit se pomocí certifikátu.

4. V uživatelském rozhraní pro výběr klientského certifikátu vyberte správný uživatelský certifikát a vyberte OK.

   

5. Uživatelé by měli být přihlášení k portálu MyApps.

Pokud je přihlášení úspěšné, pak víte, že:

• Uživatelský certifikát je přidělen do vašeho testovacího zařízení.
• ID Microsoft Entra je správně nakonfigurované s důvěryhodnými certifikačními autoritami.
• Vazba uživatelského jména je správně nakonfigurována, uživatel byl nalezen a ověřen.

Testování vlastních pravidel vazeb ověřování

Podívejme se na scénář, ve kterém ověřujeme silnou autentizaci. Vytvoříme dvě pravidla zásad ověřování: jedno s využitím subjektu vystavitele pro splnění jednofaktorového ověřování a druhé s využitím OID zásad pro splnění vícefaktorového ověřování.

1. Vytvořte pravidlo subjektu vydavatele s úrovní ochrany nastavenou na jednofaktorové ověřování a hodnotou nastavenou na hodnotu subjektu vaší certifikační autority. Příklad:

   CN = WoodgroveCA

2. Vytvořte pravidlo OID zásad s úrovní ochrany jako ověřování pomocí více faktorů a hodnotou nastavenou na jeden z OID zásad ve vašem certifikátu. Například 1.2.3.4.

   

3. Vytvořte zásadu podmíněného přístupu, aby uživatel vyžadoval vícefaktorové ověřování pomocí následujícího postupu v části Podmíněný přístup – Vyžaduje vícefaktorové ověřování.

4. Přejděte na portál MyApps. Zadejte uživatelské jméno (UPN) a vyberte Další.

   

5. Vyberte Přihlásit se pomocí certifikátu.

   

   Pokud jste povolili jiné metody ověřování, jako je přihlášení k telefonu nebo bezpečnostní klíče, můžou se uživatelům zobrazit jiná přihlašovací obrazovka.

   

6. Vyberte klientský certifikát a vyberte Informace o certifikátu.

   

7. Zobrazí se certifikát a můžete ověřit hodnoty vystavitele a hodnoty OID pravidel.

8. Chcete-li zobrazit hodnoty OID zásad, vyberte Podrobnosti.

   

9. Vyberte klientský certifikát a vyberte OK.

10. Identifikátor zásady v certifikátu odpovídá nakonfigurované hodnotě 1.2.3.4 a splňuje vícefaktorové ověřování. Podobně v certifikátu vystavitel odpovídá nakonfigurované hodnotě CN=WoodgroveCA a splňuje požadavky jednofaktorového ověřování.

11. Vzhledem k tomu, že pravidlo OID zásady má přednost před pravidlem vystavitele, certifikát splňuje vícefaktorové ověřování.

12. Zásady podmíněného přístupu pro uživatele vyžadují vícefaktorové ověřování a certifikát splňuje vícefaktorové ověřování, aby se uživatel mohl přihlásit k aplikaci.

Testovací politika vazby uživatelského jména

Zásady vazby uživatelského jména pomáhají ověřit certifikát uživatele. Existují tři vazby, které jsou podporovány pro zásady vazby uživatelského jména:

• VydavatelASériovéČíslo>UživatelskáIDCertifikátu
• VydavatelASubjekt>CertifikátovéUživatelskéID
• Předmět>IdentifikátoryUživatelůCertifikátu

Ve výchozím nastavení Microsoft Entra ID mapuje hlavní název v certifikátu na UserPrincipalName v objektu uživatele k určení uživatele. Správce zásad ověřování může přepsat výchozí nastavení a vytvořit vlastní mapování, jak je vysvětleno výše.

Správce zásad ověřování musí povolit nové vazby. Aby se mohli připravit, musí se ujistit, že v atributu uživatelského objektu CertificateUserIds jsou aktualizovány správné hodnoty pro odpovídající vazby uživatelského jména.

• Pro uživatele pouze cloudu použijte Centrum pro správu Microsoft Entra nebo rozhraní Microsoft Graph API k aktualizaci hodnoty v CertificateUserIds.
• Pro synchronizaci hodnot z místního prostředí pro místní uživatele použijte Microsoft Entra Connect podle pravidel Microsoft Entra Connect nebo synchronizace hodnoty AltSecId.

Důležité

Formát hodnot Vystavitel, Subjekt a Sériové číslo by měl být v obráceném pořadí oproti jejich formátu v certifikátu. Nepřidávejte žádné mezery v údajích vystavitele nebo subjektu.

Ruční mapování vystavitele a sériového čísla

Tady je příklad manuálního mapování emitenta a sériového čísla. Hodnota vystavitele, která má být přidána, je:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Pokud chcete získat správnou hodnotu sériového čísla, spusťte následující příkaz a uložte hodnotu uvedenou v CertificateUserIds. Syntaxe příkazu je:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~] 

Příklad:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Tady je příklad příkazu certutil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48 

Hodnota SerialNumber, která má být přidána v CertificateUserId je:

b24134139f069b49997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48 

Ruční mapování problému a předmětu

Tady je příklad ručního mapování problému a předmětu. Hodnota Vystavitele je:

Hodnota předmětu je:

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Ruční mapování předmětu

Tady je příklad ručního mapování předmětu. Hodnota předmětu je:

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testovací afinitní vazba

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

2. Přejděte na ochranu>metody ověřování>zásady.

3. V části Spravovat vyberte Metody ověřování>Ověřování založené na certifikátech.

4. Vyberte Konfigurovat.

5. Nastavte požadované vázání affinity na úrovni nájemce.

   Důležité

   Dávejte pozor na nastavení spřažení pro celý tenant. Pokud změníte požadovanou vazbu affinity pro nájemce a nemáte správné hodnoty v objektu uživatele, můžete uzamknout celého nájemce. Podobně pokud vytvoříte vlastní pravidlo, které platí pro všechny uživatele a vyžaduje vysokou afinitní vazbu, mohou se uživatelé v tenantu uzamknout.

   

6. Pro testování vyberte Požadovanou vazbu afinity na nízkou.

7. Přidejte vázání s vysokou afinitou, jako je SKI. V části Vazba uživatelského jména vyberte Přidat pravidlo.

8. Vyberte SKI a vyberte Přidat.

   

   Po dokončení vypadá pravidlo jako tento snímek obrazovky:

   

9. Aktualizujte všechny objekty uživatele CertificateUserIds atribut, aby měly správnou hodnotu SKI z uživatelského certifikátu. Další informace naleznete v tématu Podporované vzory pro CertificateUserID.

10. Vytvořte vlastní pravidlo pro vazbu ověřování.

11. Vyberte Přidat.

    

    Po dokončení vypadá pravidlo jako tento snímek obrazovky:

    

12. Aktualizujte CertificateUserIds správnou hodnotou SKI z certifikátu s politikou OID 9.8.7.5.

13. Otestujte certifikát s politikou OID 9.8.7.5 a zajistěte, aby byl uživatel ověřen prostřednictvím vazby SKI a získal vícefaktorové ověřování pouze pomocí certifikátu.

Povolit službu CBA pomocí rozhraní Microsoft Graph API

Pokud chcete povolit CBA a nakonfigurovat vazby uživatelského jména pomocí rozhraní Graph API, proveďte následující kroky.

1. Přejděte do Microsoft Graph Exploreru.

2. Vyberte Přihlásit se k Graph Exploreru a přihlaste se ke svému tenantovi.

3. Postupujte podle pokynů pro vyjádření souhlasu s delegovaným oprávněním Policy.ReadWrite.AuthenticationMethod.

4. GET všechny metody autentizace:

   GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
   

5. ZÍSKEJTE konfiguraci pro metodu ověřování certifikátu x509:

   GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate
   

6. Ve výchozím nastavení je metoda ověřování certifikátu x509 zakázaná. Pokud chcete uživatelům umožnit přihlášení pomocí certifikátu, musíte povolit metodu ověřování a nakonfigurovat zásady ověřování a vazby uživatelského jména prostřednictvím operace aktualizace. Pokud chcete aktualizovat zásady, spusťte požadavek PATCH.

   Text požadavku:

   PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
   Content-Type: application/json
   
   {
       "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
       "id": "X509Certificate",
       "state": "enabled",
       "certificateUserBindings": [
           {
               "x509CertificateField": "PrincipalName",
               "userProperty": "onPremisesUserPrincipalName",
               "priority": 1
           },
           {
               "x509CertificateField": "RFC822Name",
               "userProperty": "userPrincipalName",
               "priority": 2
           }, 
           {
               "x509CertificateField": "PrincipalName",
               "userProperty": "certificateUserIds",
               "priority": 3
           }
       ],
       "authenticationModeConfiguration": {
           "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
           "rules": [
               {
                   "x509CertificateRuleType": "issuerSubject",
                   "identifier": "CN=WoodgroveCA ",
                   "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
               },
               {
                   "x509CertificateRuleType": "policyOID",
                   "identifier": "1.2.3.4",
                   "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
               }
           ]
       },
       "includeTargets": [
           {
               "targetType": "group",
               "id": "all_users",
               "isRegistrationRequired": false
           }
       ]
   }
   

7. Získáte 204 No content kód odpovědi. Znovu spusťte požadavek GET, abyste měli jistotu, že jsou zásady správně aktualizované.

8. Otestujte konfiguraci přihlášením pomocí certifikátu, který splňuje zásady.

Povolení CBA pomocí Microsoft PowerShellu

1. Otevřete PowerShell.
2. Připojení k Microsoft Graphu:

   Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
   

3. Vytvořte proměnnou pro definování skupiny pro uživatele CBA:

   $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
   

4. Definujte text požadavku:

   $body = @{
   "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
   "id" = "X509Certificate"
   "state" = "enabled"
   "certificateUserBindings" = @(
       @{
           "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
           "x509CertificateField" = "SubjectKeyIdentifier"
           "userProperty" = "certificateUserIds"
           "priority" = 1
       },
       @{
           "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
           "x509CertificateField" = "PrincipalName"
           "userProperty" = "UserPrincipalName"
           "priority" = 2
       },
       @{
           "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
           "x509CertificateField" = "RFC822Name"
           "userProperty" = "userPrincipalName"
           "priority" = 3
       }
   )
   "authenticationModeConfiguration" = @{
       "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
       "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
       "rules" = @(
           @{
               "@odata.type" = "#microsoft.graph.x509CertificateRule"
               "x509CertificateRuleType" = "policyOID"
               "identifier" = "1.3.6.1.4.1.311.21.1"
               "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
           }
       )
   }
   "includeTargets" = @(
       @{
           "targetType" = "group"
           "id" = $group.Id
           "isRegistrationRequired" = $false
       }
   ) } | ConvertTo-Json -Depth 5
   

5. Spusťte požadavek PATCH:

   Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"
   

Další kroky

• Přehled Microsoft Entra CBA
• Podrobné technické informace pro Microsoft Entra CBA
• Omezení Microsoft Entra CBA
• Přihlášení pomocí čipové karty Windows pomocí Microsoft Entra CBA
• Microsoft Entra CBA na mobilních zařízeních (Android a iOS)
• ID uživatele certifikátu
• Migrace federovaných uživatelů
• Nejčastější dotazy