Compartir a través de

Introducción a la autenticación basada en certificados en Microsoft Entra ID con federación

  • Artículo

La autenticación basada en certificados (CBA) con federación permite a Microsoft Entra ID autenticarse con un certificado de cliente en un dispositivo Windows, Android o iOS al conectar su cuenta de Exchange Online a:

  • Aplicaciones móviles de Microsoft, como Microsoft Outlook y Microsoft Word
  • Clientes de Exchange ActiveSync (EAS)

La configuración de esta característica elimina la necesidad de escribir una combinación de nombre de usuario y contraseña en determinados correos y aplicaciones de Microsoft Office en el dispositivo móvil.

Nota

Como alternativa, las organizaciones pueden implementar Microsoft Entra CBA sin necesidad de federación. Para obtener más información, consulte Introducción a la autenticación basada en certificados de Microsoft Entra con Microsoft Entra ID.

En este tema:

  • Se indican los pasos para configurar y utilizar CBA para usuarios de los inquilinos de los planes de Office 365 Enterprise, Empresa, Educación y US Government.
  • Se supone que ya tiene una infraestructura de clave pública (PKI) y AD FS configurados.

Requisitos

Para configurar CBA con federación, deben cumplirse las siguientes instrucciones:

  • CBA con federación solo se admite para entornos federados para aplicaciones de explorador, clientes nativos que usan la autenticación moderna o bibliotecas MSAL. La única excepción es Exchange Active Sync (EAS) para Exchange Online (EXO), que se puede usar para cuentas federadas y administradas. Para configurar Microsoft Entra CBA sin necesidad de federación, consulte Configuración de la autenticación basada en certificados de Microsoft Entra.
  • La entidad de certificación raíz y las entidades de certificación intermedias deben configurarse en el identificador de Entra de Microsoft.
  • Cada entidad de certificación debe tener una lista de revocación de certificados (CRL) a la que se pueda hacer referencia a través de una dirección URL accesible desde Internet.
  • Debe tener al menos una entidad de certificación configurada en Microsoft Entra ID. Puede encontrar los pasos relacionados en la sección Configuración de las entidades de certificación.
  • Si se trata de clientes de Exchange ActiveSync, en Exchange Online, el certificado de cliente debe tener la dirección de correo electrónico enrutable del usuario en el valor de Nombre de la entidad de seguridad o Nombre RFC822 del campo Nombre alternativo del titular. Microsoft Entra ID asigna el valor RFC822 al atributo Proxy Address del directorio.
  • El dispositivo cliente debe tener acceso al menos a una entidad de certificación que emite certificados de cliente.
  • Se debe haber emitido un certificado de cliente para la autenticación del cliente.

Importante

El tamaño máximo de una CRL para el id. de Microsoft Entra para descargar y almacenar en caché correctamente es de 20 MB y el tiempo necesario para descargar la CRL no debe superar los 10 segundos. Si Microsoft Entra ID no puede descargar una CRL, fallarán las autenticaciones basadas en certificados emitidos por la CA correspondiente. Los procedimientos recomendados para asegurarse de que los archivos CRL están dentro de las restricciones de tamaño son mantener la vigencia del certificado dentro de los límites razonables y limpiar los certificados expirados.

Paso 1: Seleccionar la plataforma del dispositivo

Como primer paso, para la plataforma de dispositivos que le interesa, debe revisar lo siguiente:

  • Compatibilidad con aplicaciones móviles de Office
  • Requisitos de implementación específicos

La información relacionada existe para las siguientes plataformas de dispositivos:

Paso 2: Configurar las entidades de certificación

Para configurar las entidades de certificación en el identificador de Microsoft Entra, para cada entidad de certificación, cargue lo siguiente:

  • Parte pública del certificado, en formato .cer
  • Las direcciones URL accesibles desde Internet donde residen las listas de revocación de certificados (CRL)

El esquema de una entidad de certificación tiene el siguiente aspecto:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Para la configuración, puede usar Microsoft Graph PowerShell:

  1. Inicie Windows PowerShell con privilegios de administrador.

  2. Instale Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Como primer paso de configuración, debe establecer una conexión con el inquilino. En cuanto exista una conexión con el inquilino, puede revisar, agregar, eliminar y modificar las entidades de certificación de confianza definidas en el directorio.

Conectar

Para establecer una conexión con el inquilino, use el Connect-MgGraph:

    Connect-MgGraph

Recuperar

Para recuperar las entidades de certificación de confianza definidas en el directorio, use Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Para agregar, modificar o quitar una ENTIDAD de certificación, use el Centro de administración de Microsoft Entra:

  1. Inicie sesión en Centro de administración de Microsoft Entra como Administrador global.

  2. Vaya a Protección>Mostrar más>Security Center (o puntuación de seguridad de la identidad) >autoridades del certificado.

  3. Para cargar una CA, seleccione Cargar:

    1. Seleccione el archivo de CA.

    2. Seleccione si la AC es un certificado raíz; de lo contrario, seleccione No.

    3. Para dirección URL de lista de revocación de certificados, establezca la dirección URL accesible desde Internet para la CRL base de CA que contiene todos los certificados revocados. Si no se establece la dirección URL, no se producirá un error en la autenticación con certificados revocados.

    4. Para la URL de la Lista de Revocación de Certificados Delta , establezca la dirección URL accesible desde Internet que contenga todos los certificados revocados desde que se publicó la última Lista de Revocación de Certificados base.

    5. Seleccione Agregar.

      Captura de pantalla de cómo cargar el archivo de entidad de certificación.

  4. Para eliminar un certificado de CA, seleccione el certificado y seleccione Eliminar.

  5. Seleccione columnas para agregar o eliminar columnas.

Paso 3: Configurar la revocación

Para revocar un certificado de cliente, Microsoft Entra ID captura la lista de revocación de certificados (CRL) de las direcciones URL cargadas como parte de la información de la entidad de certificación y la almacena en caché. La última marca de tiempo de publicación (propiedadEffective Date ) de la CRL se utiliza para garantizar que esta es aún es válida. De forma periódica, se hace referencia a la CRL para revocar el acceso a los certificados que forman parte de la lista.

Si se requiere una revocación más instantánea (por ejemplo, si un usuario pierde un dispositivo), se puede invalidar el token de autorización del usuario. Para invalidar el token de autorización, establezca el campo StsRefreshTokenValidFrom para este usuario en particular mediante Windows PowerShell. Debe actualizar el campo StsRefreshTokenValidFrom para cada usuario para el que quiera revocar el acceso.

Para asegurarse de que la revocación persista, debe establecer la Fecha efectiva de la CRL en una fecha posterior al valor establecido por StsRefreshTokenValidFrom y confirmar que el certificado en cuestión esté incluido en la CRL.

Nota

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a microsoft Graph PowerShell para interactuar con el identificador de Entra de Microsoft (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulte las preguntas más frecuentes sobre la migración de . Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

En los pasos siguientes se describe el proceso para actualizar e invalidar el token de autorización estableciendo el campo StsRefreshTokenValidFrom.

  1. Conexión a PowerShell:

    Connect-MgGraph

  2. Recupere el valor actual de StsRefreshTokensValidFrom para un usuario:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. Configure un nuevo valor StsRefreshTokensValidFrom para el usuario igual a la marca de tiempo actual:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

La fecha que establezca debe estar en el futuro. De lo contrario, no se establece la propiedad StsRefreshTokensValidFrom. Si la fecha está en el futuro, StsRefreshTokensValidFrom se establece en el momento actual (no en la fecha indicada por el comando Set-MsolUser).

Paso 4: Probar la configuración

Prueba del certificado

Como primera prueba de configuración, debe intentar iniciar sesión en Outlook Web Access o sharePoint Online con el explorador en el dispositivo.

Si el inicio de sesión se realiza correctamente, sabe que:

  • El certificado de usuario ha sido provisionado en tu dispositivo de prueba.
  • AD FS está configurado correctamente

Probar aplicaciones móviles de Office

  1. En el dispositivo de prueba, instale una aplicación móvil de Office (por ejemplo, OneDrive).
  2. Inicie la aplicación.
  3. Escriba el nombre de usuario y, a continuación, seleccione el certificado de usuario que desea usar.

Debe haber iniciado sesión correctamente.

Prueba de aplicaciones cliente de Exchange ActiveSync

Para acceder a Exchange ActiveSync (EAS) a través de la autenticación basada en certificados, un perfil de EAS que contenga el certificado de cliente debe estar disponible para la aplicación.

El perfil de EAS debe contener la siguiente información:

  • Certificado de usuario que se va a usar para la autenticación

  • Punto de conexión de EAS (por ejemplo, outlook.office365.com)

Un perfil de EAS se puede configurar y colocar en el dispositivo a través del uso de la administración de dispositivos móviles (MDM), como Microsoft Intune o colocando manualmente el certificado en el perfil de EAS en el dispositivo.

Probar aplicaciones cliente de EAS en Android

  1. Configure un perfil de EAS en la aplicación que cumpla los requisitos de la sección anterior.
  2. Abra la aplicación y compruebe que el correo está sincronizando.

Pasos siguientes

Información adicional sobre la autenticación basada en certificados en dispositivos Android.

Información adicional sobre la autenticación basada en certificados en dispositivos iOS.