Partage via

Introduction à l'authentification basée sur des certificats dans Microsoft Entra ID avec fédération

  • Article

L’authentification basée sur un certificat (CBA) avec fédération permet à Microsoft Entra ID de vous authentifier avec un certificat client sur un appareil Windows, Android ou iOS lors de la connexion de votre compte Exchange online à :

  • Applications mobiles Microsoft telles que Microsoft Outlook et Microsoft Word
  • Des clients Exchange ActiveSync (EAS).

La configuration de cette fonctionnalité élimine la nécessité d’entrer une combinaison de nom d’utilisateur et de mot de passe dans certaines applications courrier et Microsoft Office sur votre appareil mobile.

Remarque

En guise d’alternative, les organisations peuvent déployer Microsoft Entra CBA sans avoir besoin de fédération. Pour plus d’informations, consultez l’article Vue d’ensemble de l’authentification basée sur les certificats Microsoft Entra par rapport à Microsoft Entra ID.

Cette rubrique :

  • Fournit les étapes pour configurer et utiliser l'authentification basée sur les certificats (CBA) pour les utilisateurs de locataires dans les offres Office 365 Entreprise, Business, Éducation et Gouvernement américain.
  • Suppose que vous avez déjà une infrastructure de clé publique (PKI) et AD FS configurés.

Exigences

Pour configurer le CBA avec la fédération, les conditions suivantes doivent être remplies :

  • L’authentification basée sur des certificats avec fédération est prise en charge uniquement pour les environnements fédérés, que ce soit pour les applications web, pour les clients natifs utilisant l’authentification moderne ou pour les bibliothèques MSAL. L’une des exceptions est Exchange Active Sync (EAS) pour Exchange Online (EXO), qui peut être utilisée pour les comptes fédérés et gérés. Pour configurer Microsoft Entra CBA sans avoir besoin de fédération, consultez Comment configurer l’authentification basée sur des certificats Microsoft Entra.
  • L’autorité de certification racine et toutes les autorités de certification intermédiaires doivent être configurées dans l’ID Microsoft Entra.
  • Chaque autorité de certification doit avoir une liste de révocation de certificats (CRL) qui peut être référencée via une URL accessible sur Internet.
  • Vous devez avoir au moins une autorité de certification configurée dans l’ID Microsoft Entra. Vous trouverez les étapes associées dans la section Configurer les autorités de certification section.
  • Pour les clients Exchange ActiveSync, le certificat client doit avoir l’adresse e-mail routable de l'utilisateur dans Exchange Online, soit dans le Nom principal, soit dans la valeur Nom RFC822 du champ Nom alternatif du sujet. Microsoft Entra ID mappe la valeur RFC822 à l’attribut Adresse du proxy dans le répertoire.
  • Votre appareil client doit avoir accès à au moins une autorité de certification qui émet des certificats clients.
  • Un certificat client pour l’authentification du client doit avoir été émis à votre client.

Important

La taille maximale d'une liste de révocation de certificats pour qu'elle puisse être téléchargée et mise en cache par Microsoft Entra ID est de 20 Mo, et le temps requis pour télécharger la liste ne doit pas excéder 10 secondes. Si l’ID Microsoft Entra ne peut pas télécharger une liste de révocation de certificats, les authentifications basées sur des certificats émis par l’autorité de certification correspondante échouent. Les meilleures pratiques pour s'assurer que les fichiers de la liste de révocation de certificats respectent les contraintes de taille consistent à limiter la durée de vie des certificats à des valeurs raisonnables et à supprimer les certificats expirés.

Étape 1 : Sélectionner votre plateforme d’appareils

Pour la plateforme de l'appareil qui vous intéresse, vous devez passer en revue les éléments suivants :

  • La prise en charge des applications mobiles Office
  • Exigences d’implémentation spécifiques

Les informations associées existent pour les plateformes d’appareils suivantes :

Étape 2 : Configurer les autorités de certification

Pour configurer vos autorités de certification dans Microsoft Entra ID, pour chaque autorité de certification, chargez les éléments suivants :

  • Partie publique du certificat, au format .cer
  • URL accessibles sur Internet où résident les listes de révocation de certificats (CRL)

Le schéma d’une autorité de certification se présente comme suit :

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Pour la configuration, vous pouvez utiliser Microsoft Graph PowerShell:

  1. Démarrez Windows PowerShell avec des privilèges d’administrateur.

  2. Installez microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Au cours d’une première étape de configuration, vous devez établir une connexion avec votre locataire. Dès qu’une connexion à votre locataire existe, vous pouvez passer en revue, ajouter, supprimer et modifier les autorités de certification approuvées définies dans votre annuaire.

Se connecter

Pour établir une connexion avec votre locataire, utilisez Connect-MgGraph:

    Connect-MgGraph

Récupération

Pour récupérer les autorités de certification approuvées définies dans votre répertoire, utilisez Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Pour ajouter, modifier ou supprimer une autorité de certification, utilisez le Centre d’administration Microsoft Entra :

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur général .

  2. Accédez à Protection>Afficher plus>Security Center (ou score d'identité sécurisée) >Autorités de certification.

  3. Pour charger une autorité de certification, sélectionnez Charger :

    1. Sélectionnez le fichier d’autorité de certification.

    2. Sélectionnez Oui si l’autorité de certification est un certificat racine, sinon sélectionnez Non.

    3. Pour URL de liste de révocation de certificats, définissez l’URL accessible sur Internet pour la liste de révocation de certificats de base de l’autorité de certification (CRL) qui contient tous les certificats révoqués. Si l’URL n’est pas définie, l’authentification avec des certificats révoqués n’échoue pas.

    4. Pour URL de liste de révocation de certificats Delta, définissez l’URL accessible sur Internet pour la liste de révocation de certificats qui contient tous les certificats révoqués depuis la dernière liste de révocation de certificats de base publiée (CRL).

    5. Sélectionnez Ajouter.

      Capture d’écran montrant comment charger le fichier d’autorité de certification.

  4. Pour supprimer un certificat d’autorité de certification, sélectionnez le certificat et sélectionnez Supprimer.

  5. Sélectionnez colonnes pour ajouter ou supprimer des colonnes.

Étape 3 : Configurer la révocation

Pour révoquer un certificat client, l’ID Microsoft Entra extrait la liste de révocation de certificats (CRL) des URL chargées dans le cadre des informations d’autorité de certification et les met en cache. L’horodateur de la dernière publication (propriétéEffective Date ) dans la liste de révocation de certificat permet de vérifier si la CRL est toujours valide. La CRL est référencée périodiquement pour révoquer l’accès à des certificats qui font partie de la liste.

Si une révocation plus instantanée est requise (par exemple, si un utilisateur perd un appareil), le jeton d’autorisation de l’utilisateur peut être invalidé. Pour invalider le jeton d’autorisation, définissez le champ StsRefreshTokenValidFrom pour cet utilisateur particulier à l’aide de Windows PowerShell. Vous devez mettre à jour le champ StsRefreshTokenValidFrom pour chaque utilisateur pour lequel vous souhaitez révoquer l’accès.

Pour vous assurer que la révocation soit persistante, vous devez définir la Date d’effet de la liste de révocation de certificats (CRL) sur une date postérieure à la valeur définie par StsRefreshTokenValidFrom et vérifier que le certificat en question se trouve dans la CRL.

Remarque

Les modules Azure AD et MSOnline PowerShell sont déconseillés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Après cette date, la prise en charge de ces modules est limitée à l’assistance de migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et les correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec l’ID Microsoft Entra (anciennement Azure AD). Pour connaître les questions courantes sur la migration, reportez-vous au forum aux questions sur la migration . Remarque : versions 1.0.x de MSOnline peut rencontrer une interruption après le 30 juin 2024.

Les étapes suivantes décrivent le processus de mise à jour et d’invalidation du jeton d’autorisation en définissant le champ StsRefreshTokenValidFrom.

  1. Connectez-vous à PowerShell :

    Connect-MgGraph

  2. Récupérez la valeur StsRefreshTokensValidFrom actuelle pour un utilisateur :

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. Configurez une nouvelle valeur StsRefreshTokensValidFrom pour l’utilisateur égal à l’horodatage actuel :

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

La date que vous définissez doit être à l’avenir. Si la date n’est pas dans le futur, la propriété StsRefreshTokensValidFrom n’est pas définie. Si la date est à l’avenir, StsRefreshTokensValidFrom est défini sur l’heure actuelle (et non la date indiquée par Set-MsolUser commande).

Étape 4 : Tester votre configuration

Test de votre certificat

En guise de premier test de configuration, vous devez essayer de vous connecter à Outlook Web Access ou sharePoint Online à l’aide de votre navigateur sur appareil.

Si votre connexion réussit, vous savez que :

  • Le certificat utilisateur a été provisionné sur votre appareil de test
  • AD FS est configuré correctement

Test des applications mobiles Office

  1. Sur votre appareil de test, installez une application mobile Office (par exemple, OneDrive).
  2. Lancez l’application.
  3. Entrez votre nom d’utilisateur, puis sélectionnez le certificat utilisateur que vous souhaitez utiliser.

Vous devez être connecté.

Test des applications clientes Exchange ActiveSync

Pour accéder à Exchange ActiveSync (EAS) via l’authentification basée sur des certificats, un profil EAS contenant le certificat client doit être disponible pour l’application.

Le profil EAS doit contenir les informations suivantes :

  • Certificat utilisateur à utiliser pour l’authentification

  • Point de terminaison EAS (par exemple, outlook.office365.com)

Un profil EAS peut être configuré et placé sur l’appareil via l’utilisation de la gestion des appareils mobiles (GPM) telle que Microsoft Intune ou en plaçant manuellement le certificat dans le profil EAS sur l’appareil.

Test des applications clientes EAS sur Android

  1. Configurez un profil EAS dans l’application qui répond aux exigences de la section précédente.
  2. Ouvrez l’application et vérifiez que le courrier est synchronisé.

Étapes suivantes

Informations supplémentaires sur l’authentification basée sur des certificats sur les appareils Android.

informations supplémentaires sur l’authentification basée sur des certificats sur les appareils iOS.