Sdílet prostřednictvím

Silné stránky ověřování pomocí vlastního podmíněného přístupu

  • Článek

Správa istrátory mohou také vytvořit až 15 vlastních silných stránek ověřování tak, aby přesně vyhovovaly jejich požadavkům. Síla vlastního ověřování může obsahovat libovolnou z podporovaných kombinací v předchozí tabulce.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako Správa istrator.

  2. Přejděte na silné stránky ověřování metod>ochrany>.

  3. Vyberte Novou sílu ověřování.

  4. Zadejte popisný název nové síly ověřování.

  5. Volitelně zadejte popis.

  6. Vyberte některou z dostupných metod, které chcete povolit.

  7. Zvolte Další a zkontrolujte konfiguraci zásad.

    Screenshot showing the creation of a custom authentication strength.

Aktualizace a odstranění vlastních silných stránek ověřování

Můžete upravit vlastní sílu ověřování. Pokud na ni odkazuje zásada podmíněného přístupu, nedá se odstranit a musíte potvrdit úpravy. Pokud chcete zkontrolovat, jestli zásady podmíněného přístupu odkazují na sílu ověřování, klikněte na sloupec Zásady podmíněného přístupu.

Pokročilé možnosti klíče zabezpečení FIDO2

Použití klíčů zabezpečení FIDO2 můžete omezit na základě identifikátorů GUID ověření identity authenticatoru (AAGUIDs). Tato funkce umožňuje správcům vyžadovat klíč zabezpečení FIDO2 od konkrétního výrobce pro přístup k prostředku. Pokud chcete vyžadovat konkrétní klíč zabezpečení FIDO2, vytvořte nejprve vlastní sílu ověřování. Potom vyberte klíč zabezpečení FIDO2 a klepněte na tlačítko Upřesnit možnosti.

Screenshot showing Advanced options for FIDO2 security key.

Vedle položky Povolené klíče FIDO2 klepněte na tlačítko +, zkopírujte hodnotu AAGUID a klepněte na tlačítko Uložit.

Screenshot showing how to add an Authenticator Attestation GUID.

Rozšířené možnosti ověřování na základě certifikátů

V zásadách metod ověřování můžete nakonfigurovat, jestli jsou certifikáty vázané v systému na úrovně ochrany jednofaktorového nebo vícefaktorového ověřování na základě vystavitele certifikátu nebo identifikátoru zásady. Pro konkrétní prostředky můžete také vyžadovat jednofaktorové nebo vícefaktorové ověřovací certifikáty na základě zásad síly ověřování podmíněného přístupu.

Pomocí upřesňujících možností ověřování můžete k dalšímu omezení přihlašování na aplikaci vyžadovat konkrétní vystavitele certifikátu nebo identifikátor OID zásad.

Společnost Contoso například vydává zaměstnancům čipové karty se třemi různými typy vícefaktorových certifikátů. Jeden certifikát je určený pro tajnou prověrku, druhý pro tajnou prověrku a třetí je určen pro nejvyšší tajnou prověrku. Každá z nich je odlišena vlastnostmi certifikátu, jako je identifikátor zásady nebo vystavitel. Společnost Contoso chce zajistit, aby k datům pro každou klasifikaci měli přístup jenom uživatelé s příslušným vícefaktorovým certifikátem.

Další části ukazují, jak nakonfigurovat pokročilé možnosti pro CBA pomocí Centra pro správu Microsoft Entra a Microsoft Graphu.

Centrum pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra jako Správa istrator.

  2. Přejděte na silné stránky ověřování metod>ochrany>.

  3. Vyberte Novou sílu ověřování.

  4. Zadejte popisný název nové síly ověřování.

  5. Volitelně zadejte popis.

  6. Pod ověřováním na základě certifikátu (jednofaktorové nebo vícefaktorové) klikněte na Upřesnit možnosti.

    Screenshot showing Advanced options for certificate-based authentication.

  7. V rozevírací nabídce můžete vybrat vystavitele certifikátů, zadat vystavitele certifikátů a zadat identifikátory OID povolených zásad. V rozevírací nabídce jsou uvedeny všechny certifikační autority z tenanta bez ohledu na to, jestli se jedná o jednofaktorové nebo vícefaktorové.

    Screenshot showing the configuration options - certificate issuers from the drop-down menu, type the certificate issuers and type the allowed policy OIDs .

    • Pokud jsou nakonfigurované oba povolené vystavitele certifikátů A identifikátory povolených zásad, existuje vztah AND. Uživatel musí použít certifikát, který splňuje obě podmínky.
    • Mezi seznamem povolených vystavitelů certifikátů a seznamem povolených identifikátorů zásad existuje vztah OR. Uživatel musí použít certifikát, který splnil některého z vystavitelů nebo identifikátorů OID zásad.
    • Pokud se certifikát, který chcete použít, nenahraje do certifikačních autorit ve vašem tenantovi, použijte jiného vystavitele certifikátu subjektkeyIdentifier. Toto nastavení se dá použít pro scénáře externích uživatelů, pokud se uživatel ověřuje ve svém domovském tenantovi.

  8. Kliknutím na Tlačítko Další zkontrolujte konfiguraci a potom klikněte na vytvořit.

Microsoft Graph

Vytvoření nové zásady síly ověřování podmíněného přístupu pomocí kombinace certifikátů:

POST  /beta/identity/conditionalAccess/authenticationStrength/policies
{
    "displayName": "CBA Restriction",
    "description": "CBA Restriction with both IssuerSki and OIDs",
    "allowedCombinations": [
        " x509CertificateMultiFactor "
    ],
    "combinationConfigurations": [
        {
            "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
            "appliesToCombinations": [
                "x509CertificateMultiFactor"
            ],
            "allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
            "allowedPolicyOIDs": [
                "1.2.3.4.6",
                "1.2.3.4.5.6"
            ]
        }
    ]
}

Přidání nové kombinaceKonfigurace do existující zásady:

POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations

{
    "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
    "allowedIssuerSkis": [
        "9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
    ],
    "allowedPolicyOIDs": [],
    "appliesToCombinations": [
        "x509CertificateSingleFactor "
    ]
}

Omezení

Pokročilé možnosti klíče zabezpečení FIDO2

  • Rozšířené možnosti klíče zabezpečení FIDO2 – Rozšířené možnosti nejsou podporovány pro externí uživatele s domácím tenantem, který se nachází v jiném cloudu Microsoftu než v tenantovi prostředků.

Rozšířené možnosti ověřování na základě certifikátů

  • V každé relaci prohlížeče je možné použít pouze jeden certifikát. Po přihlášení pomocí certifikátu se uloží do mezipaměti v prohlížeči po dobu trvání relace. Pokud nesplňuje požadavky na sílu ověřování, nezobrazí se výzva k výběru jiného certifikátu. Abyste mohli relaci restartovat, musíte se odhlásit a znovu se přihlásit. Pak zvolte příslušný certifikát.

  • Certifikační autority a uživatelské certifikáty by měly odpovídat standardu X.509 v3. Konkrétně k vynucení omezení ski CBA vystavitele vyžadují certifikáty platné AKI:

    Screenshot showing an authority key identifier.

    Poznámka:

    Pokud certifikát nevyhovuje, ověření uživatele může být úspěšné, ale nesplňuje omezení vystavitelSki pro zásady síly ověřování.

  • Při přihlašování se považovají za prvních 5 identifikátorů OID zásad z certifikátu koncového uživatele a v porovnání s identifikátory OID zásad nakonfigurovanými v zásadách síly ověřování. Pokud má certifikát koncového uživatele více než 5 identifikátorů OID zásad, zohlední se prvních 5 identifikátorů OID zásad v lexikálním pořadí, které odpovídají požadavkům na sílu ověřování.

  • Pro uživatele B2B si vezměme příklad, ve kterém společnost Contoso pozvala uživatele z Fabrikam do svého tenanta. V tomto případě je contoso tenantem prostředku a Fabrikam je domovský tenant.

    • Pokud je nastavení přístupu mezi tenanty vypnuté (Společnost Contoso nepřijímá vícefaktorové ověřování, které provedl domácí tenant) – Použití ověřování na základě certifikátu v tenantovi prostředku se nepodporuje.
    • Pokud je nastavení přístupu mezi tenanty zapnuté, jsou Fabrikam a Contoso ve stejném cloudu Microsoftu– to znamená, že tenanti Fabrikam i Contoso jsou v komerčním cloudu Azure nebo v cloudu Azure for US Government. Společnost Contoso navíc důvěřuje vícefaktorové ověřování prováděné v domovském tenantovi. V tomto případě:
      • Přístup ke konkrétnímu prostředku je možné omezit pomocí identifikátorů OID zásad nebo "jiného vystavitele certifikátu podle SubjectkeyIdentifier" ve vlastních zásadách síly ověřování.
      • Přístup ke konkrétním prostředkům je možné omezit pomocí nastavení "Jiný vystavitel certifikátu podle SubjectkeyIdentifier" v zásadách síly vlastního ověřování.
    • Pokud je nastavení přístupu mezi tenanty zapnuté, Fabrikam a Contoso nejsou ve stejném cloudu Microsoftu – například tenant Fabrikam je v komerčním cloudu Azure a tenant Contoso je v cloudu Azure for US Government – přístup k určitým prostředkům nejde omezit pomocí ID vystavitele nebo identifikátorů OID zásad ve vlastních zásadách síly ověřování.

Řešení potíží s pokročilými možnostmi síly ověřování

Uživatelé nemůžou k přihlášení použít svůj klíč zabezpečení FIDO2

Podmíněný přístup Správa istrator může omezit přístup ke konkrétním klíčům zabezpečení. Když se uživatel pokusí přihlásit pomocí klíče, který nemůže použít, zobrazí se tato zpráva. Uživatel musí relaci restartovat a přihlásit se pomocí jiného klíče zabezpečení FIDO2.

Screenshot of a sign-in error when using a restricted FIDO2 security key.

Postup kontroly identifikátorů A vystavitelů zásad certifikátů

Můžete potvrdit, že vlastnosti osobního certifikátu odpovídají konfiguraci v rozšířených možnostech síly ověřování. Na zařízení uživatele se přihlaste jako Správa istrator. Klikněte na Spustit, zadejte certmgr.msca stiskněte Enter. Pokud chcete zkontrolovat identifikátory OID zásad, klikněte na osobní, klikněte pravým tlačítkem myši na certifikát a klikněte na Podrobnosti.

Screenshot showing how to check certificate policy OIDs and issuer.

Další kroky