Introduzione all'autenticazione basata su certificati in Microsoft Entra ID con federazione
L'autenticazione basata su certificati (CBA) con la federazione consente a Microsoft Entra ID di autenticare l'utente con un certificato client in un dispositivo Windows, Android o iOS quando si connette l'account exchange online a:
- Applicazioni per dispositivi mobili Microsoft, ad esempio Microsoft Outlook e Microsoft Word
- Client Exchange ActiveSync (EAS)
La configurazione di questa funzionalità elimina la necessità di immettere una combinazione di nome utente e password in determinate applicazioni di posta elettronica e Microsoft Office nel dispositivo mobile.
Nota
In alternativa, le organizzazioni possono distribuire Microsoft Entra CBA senza bisogno di federazione. Per ulteriori informazioni, vedere Panoramica dell'autenticazione di Microsoft Entra basata su certificati per Microsoft Entra ID.
Questo argomento:
- Vengono forniti i passaggi per configurare e utilizzare CBA per gli utenti dei tenant nei piani Office 365 Enterprise, Business, Education e US Government.
- Si presume che tu abbia già un'infrastruttura a chiave pubblica (PKI) e AD FS configurati.
Requisiti
Per configurare CBA con la federazione, è necessario che le seguenti affermazioni siano vere:
- CBA con federazione è supportato solo per gli ambienti federati per applicazioni browser, client nativi che usano l'autenticazione moderna o librerie MSAL. L'unica eccezione è Exchange Active Sync (EAS) per Exchange Online (EXO), che può essere usata per gli account federati e gestiti. Per configurare microsoft Entra CBA senza bisogno di federazione, vedere Come configurare l'autenticazione basata su certificati Microsoft Entra.
- L'autorità di certificazione radice e le autorità di certificazione intermedie devono essere configurate in Microsoft Entra ID.
- Ogni autorità di certificazione deve avere un elenco di revoche di certificati (CRL) a cui è possibile fare riferimento tramite un URL con connessione Internet.
- È necessario avere almeno un'autorità di certificazione configurata in Microsoft Entra ID. È possibile trovare i passaggi correlati nella sezione Configurare le autorità di certificazione.
- Per i client Exchange ActiveSync, il certificato client deve avere l'indirizzo di posta elettronica instradabile dell'utente in Exchange Online nel Nome Principale o nel valore RFC822 Name del campo Nome Alternativo del Soggetto. Microsoft Entra ID mappa il valore "RFC822" all'attributo Indirizzo Proxy nella directory.
- Il dispositivo client deve avere accesso ad almeno un'autorità di certificazione che rilascia certificati client.
- Un certificato del cliente per l'autenticazione del cliente deve essere stato rilasciato al tuo cliente.
Importante
La dimensione massima di un CRL per Microsoft Entra ID per scaricare e memorizzare nella cache correttamente è 20 MB e il tempo necessario per scaricare il CRL non deve superare 10 secondi. Se Microsoft Entra ID non riesce a scaricare un CRL, le autenticazioni basate su certificati che usano certificati rilasciati dalla CA corrispondente avranno esito negativo. Le procedure consigliate per garantire che i file CRL siano entro i vincoli di dimensione devono mantenere la durata dei certificati entro limiti ragionevoli e pulire i certificati scaduti.
Passaggio 1: Selezionare la piattaforma del dispositivo
Come primo passaggio, per la piattaforma del dispositivo a cui ti interessa, devi esaminare quanto segue:
- Supporto delle applicazioni office per dispositivi mobili
- Requisiti di implementazione specifici
Le informazioni correlate sono disponibili per le piattaforme del dispositivo seguenti:
Passaggio 2: Configurare le autorità di certificazione
Per configurare le autorità di certificazione in Microsoft Entra ID, caricare quanto segue per ogni autorità di certificazione:
- Parte pubblica del certificato, in formato .cer
- URL con connessione Internet in cui risiedono gli elenchi di revoche di certificati (CRL)
Lo schema per un'autorità di certificazione è simile al seguente:
class TrustedCAsForPasswordlessAuth
{
CertificateAuthorityInformation[] certificateAuthorities;
}
class CertificateAuthorityInformation
{
CertAuthorityType authorityType;
X509Certificate trustedCertificate;
string crlDistributionPoint;
string deltaCrlDistributionPoint;
string trustedIssuer;
string trustedIssuerSKI;
}
enum CertAuthorityType
{
RootAuthority = 0,
IntermediateAuthority = 1
}
Per la configurazione, è possibile usare Microsoft Graph PowerShell:
Avviare Windows PowerShell con privilegi di amministratore.
Installare Microsoft Graph PowerShell:
Install-Module Microsoft.Graph
Come primo passaggio di configurazione, è necessario stabilire una connessione con il tenant. Non appena esiste una connessione al tenant, è possibile esaminare, aggiungere, eliminare e modificare le autorità di certificazione attendibili definite nella directory.
Connettersi
Per stabilire una connessione con il tenant, usare Connect-MgGraph:
Connect-MgGraph
Recuperare
Per recuperare le autorità di certificazione attendibili definite nella directory, utilizzare Get-MgOrganizationCertificateBasedAuthConfiguration.
Get-MgOrganizationCertificateBasedAuthConfiguration
Importante
Microsoft consiglia di usare i ruoli con le autorizzazioni più poche. Questa procedura consente di migliorare la sicurezza per l'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza o quando non è possibile usare un ruolo esistente.
Per aggiungere, modificare o rimuovere una CA, usare l'interfaccia di amministrazione di Microsoft Entra:
Accedi al centro di amministrazione di Microsoft Entra come amministratore globale .
Passare a Protection>Mostra altro>Centro Sicurezza (o Identity Secure Score) >Autorità di Certificazione.
Per caricare una CA, selezionare Carica:
Selezionare il file CA.
Selezionare Sì se la CA è un certificato radice; in caso contrario, selezionare No.
Per URL dell'elenco di revoche di certificati, impostare l'URL accessibile da Internet per la CRL base dell'Autorità di Certificazione che contiene tutti i certificati revocati. Se l'URL non è impostato, l'autenticazione con certificati revocati non fallirà.
Per URL dell'elenco di revoche di certificati delta, impostare l'URL con connessione Internet per il CRL che contiene tutti i certificati revocati dopo la pubblicazione dell'ultima CRL di base.
Selezionare Aggiungi.
Per eliminare un certificato ca, selezionare il certificato e selezionare Elimina.
Selezionare Colonne per aggiungere o eliminare colonne.
Passaggio 3: Configurare la revoca
Per revocare un certificato client, Microsoft Entra ID recupera l'elenco di revoche di certificati (CRL) dagli URL caricati come parte delle informazioni dell'autorità di certificazione e lo memorizza nella cache. L'ultimo timestamp di pubblicazione (proprietà Data di entrata in vigore) nel CRL viene usato per garantire che il CRL sia ancora valido. Viene fatto riferimento periodicamente al CRL per revocare l'accesso ai certificati che fanno parte dell'elenco.
Se è necessaria una revoca più immediata (ad esempio, se un utente perde un dispositivo), il token di autorizzazione dell'utente può essere invalidato. Per invalidare il token di autorizzazione, impostare il campo StsRefreshTokensValidFrom per questo particolare utente che usa Windows PowerShell. È necessario aggiornare il campo StsRefreshTokensValidFrom per ogni utente per cui si vuole revocare l'accesso.
Per assicurarsi che la revoca venga mantenuta, è necessario impostare la Data effettiva dell'elenco di revoche di certificati (CRL) su una data successiva al valore impostato da StsRefreshTokensValidFrom e assicurarsi che il certificato in questione sia presente nel CRL.
I passaggi seguenti illustrano il processo di aggiornamento e invalidazione del token di autorizzazione impostando il campo StsRefreshTokensValidFrom.
# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"
# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"
# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom
La data impostata deve essere in futuro. Se la data non è futura, la proprietà StsRefreshTokensValidFrom non è impostata. Se la data è futura, StsRefreshTokensValidFrom è impostata sull'ora corrente (non la data indicata dal comando Set-MsolUser).
Passaggio 4: Testare la configurazione
Verifica del tuo certificato
Come primo test di configurazione, è consigliabile provare ad accedere a di Outlook Web Access o sharePoint Online usando il browser nel dispositivo.
Se accedi con successo, saprai che:
- Il certificato utente è stato fornito al tuo dispositivo di test.
- AD FS è configurato correttamente
Test delle applicazioni office per dispositivi mobili
- Nel dispositivo di test installare un'applicazione office per dispositivi mobili ( ad esempio OneDrive).
- Avviare l'applicazione.
- Immettere il nome utente e quindi selezionare il certificato utente da usare.
Dovresti aver eseguito l'accesso con successo.
Test delle applicazioni client di Exchange ActiveSync
Per accedere a Exchange ActiveSync (EAS) tramite l'autenticazione basata su certificati, è necessario che sia disponibile un profilo EAS contenente il certificato client per l'applicazione.
Il profilo EAS deve contenere le informazioni seguenti:
Certificato utente da usare per l'autenticazione
Endpoint EAS (ad esempio, outlook.office365.com)
Un profilo EAS può essere configurato e inserito nel dispositivo tramite l'utilizzo della gestione di dispositivi mobili (MDM) come Microsoft Intune o inserendo manualmente il certificato nel profilo EAS nel dispositivo.
Test delle applicazioni client EAS in Android
- Configurare un profilo EAS nell'applicazione che soddisfa i requisiti nella sezione precedente.
- Aprire l'applicazione e verificare che la posta sia sincronizzata.
Passaggi successivi
Informazioni aggiuntive sull'autenticazione basata su certificati nei dispositivi Android.
Informazioni aggiuntive sull'autenticazione basata su certificati nei dispositivi iOS.