Delen via

Aan de slag met verificatie op basis van certificaten in Microsoft Entra-id met federatie

  • Artikel

Met verificatie op basis van certificaten (CBA) met federatie kan Microsoft Entra ID u verifiëren met een clientcertificaat op een Windows-, Android- of iOS-apparaat wanneer u uw Exchange Online-account verbindt met:

  • Mobiele Microsoft-toepassingen zoals Microsoft Outlook en Microsoft Word
  • Exchange ActiveSync-clients (EAS)

Als u deze functie configureert, hoeft u geen combinatie van gebruikersnaam en wachtwoord in bepaalde e-mail- en Microsoft Office-toepassingen op uw mobiele apparaat in te voeren.

Notitie

Als alternatief kunnen organisaties Microsoft Entra CBA implementeren zonder federatie. Voor meer informatie, zie Overzicht van Microsoft Entra-certificaatauthenticatie tegen Microsoft Entra ID.

Dit onderwerp:

  • Biedt stappen voor het configureren en gebruiken van CBA voor gebruikers van tenants in Office 365 Enterprise-, Business-, Education- en Us Government-abonnementen.
  • Hierbij wordt ervan uitgegaan dat u al een PKI- (Public Key Infrastructure) hebt en AD FS- geconfigureerd.

Eisen

Als u CBA wilt configureren met federatie, moeten de volgende instructies waar zijn:

  • CBA met federatie wordt alleen ondersteund voor federatieve omgevingen voor browsertoepassingen, systeemeigen clients met moderne verificatie of MSAL-bibliotheken. De enige uitzondering hierop is Exchange Active Sync (EAS) voor Exchange Online (EXO), dat kan worden gebruikt voor federatieve en beheerde accounts. Als u Microsoft Entra CBA wilt configureren zonder federatie, raadpleegt u Verificatie op basis van Microsoft Entra-certificaten configureren.
  • De basiscertificeringsinstantie en eventuele tussenliggende certificeringsinstanties moeten worden geconfigureerd in Microsoft Entra-id.
  • Elke certificeringsinstantie moet een certificaatintrekkingslijst (CRL) hebben waarnaar kan worden verwezen via een internetgerichte URL.
  • U moet ten minste één certificeringsinstantie hebben geconfigureerd in Microsoft Entra-id. U vindt gerelateerde stappen in de sectie De certificeringsinstanties configureren.
  • Voor Exchange ActiveSync-clients moet het clientcertificaat het routeerbare e-mailadres van de gebruiker in Exchange Online hebben in ofwel de Principal Name of de RFC822 Name waarde van het Subject Alternative Name-veld. Microsoft Entra ID wijst de RFC822-waarde toe aan het kenmerk Proxyadres in de map.
  • Uw clientapparaat moet toegang hebben tot ten minste één certificeringsinstantie die clientcertificaten uitgeeft.
  • Er moet een clientcertificaat voor clientverificatie zijn uitgegeven aan uw client.

Belangrijk

De maximale grootte van een CRL voor Microsoft Entra ID voor het downloaden en opslaan van cache is 20 MB en de tijd die nodig is om de CRL te downloaden mag niet langer zijn dan 10 seconden. Als Microsoft Entra-id een CRL niet kan downloaden, mislukken verificaties op basis van certificaten die zijn uitgegeven door de bijbehorende CA. Best practices om ervoor te zorgen dat CRL-bestanden binnen de groottebeperkingen vallen, zijn om de levensduur van certificaten binnen redelijke grenzen te houden en verlopen certificaten op te schonen.

Stap 1: Selecteer uw apparaatplatform

Als eerste stap moet u voor het apparaatplatform dat u belangrijk vindt het volgende bekijken:

  • De ondersteuning voor Office Mobile-toepassingen
  • De specifieke implementatievereisten

De gerelateerde informatie bestaat voor de volgende apparaatplatforms:

Stap 2: de certificeringsinstanties configureren

Als u uw certificeringsinstanties in Microsoft Entra-id wilt configureren, uploadt u voor elke certificeringsinstantie het volgende:

  • Het openbare gedeelte van het certificaat, in .cer formaat
  • De internetgerichte URL's waar de certificaatintrekkingslijsten (CRL's) zich bevinden

Het schema voor een certificeringsinstantie ziet er als volgt uit:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Voor de configuratie kunt u Microsoft Graph PowerShellgebruiken:

  1. Start Windows PowerShell met beheerdersbevoegdheden.

  2. Installeer Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Als eerste configuratiestap moet u een verbinding maken met uw tenant. Zodra er een verbinding met uw tenant bestaat, kunt u de vertrouwde certificeringsinstanties controleren, toevoegen, verwijderen en wijzigen die zijn gedefinieerd in uw directory.

Verbinden

Als u verbinding wilt maken met uw tenant, gebruikt u Connect-MgGraph:

    Connect-MgGraph

Terugvinden

Gebruik Get-MgOrganizationCertificateBasedAuthConfigurationom de vertrouwde certificeringsinstanties op te halen die zijn gedefinieerd in uw directory.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Als u een CA wilt toevoegen, wijzigen of verwijderen, gebruikt u het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Globalbeheerder.

  2. Blader naar Protection>Meer>Security Center (of Identity Secure Score) weergeven >certificeringsinstanties.

  3. Als u een CA wilt uploaden, selecteert u Uploaden:

    1. Selecteer het CA-bestand.

    2. Selecteer Ja als de CA een basiscertificaat is. Selecteer anders Geen.

    3. Stel voor URL van certificaatintrekkingslijstde extern toegankelijke URL in voor de CA-basis-CRL die alle ingetrokken certificaten bevat. Als de URL niet is ingesteld, mislukt de verificatie met ingetrokken certificaten niet.

    4. Stel voor URL van deltacertificaatintrekkingslijstde internet-URL in voor de CRL die alle ingetrokken certificaten bevat sinds de laatste basis-CRL is gepubliceerd.

    5. Selecteer toevoegen.

      Schermopname van het uploaden van het certificeringsinstantiebestand.

  4. Als u een CA-certificaat wilt verwijderen, selecteert u het certificaat en selecteert u Verwijderen.

  5. Selecteer Kolommen om kolommen toe te voegen of te verwijderen.

Stap 3: Intrekking configureren

Als u een clientcertificaat wilt intrekken, haalt Microsoft Entra-id de certificaatintrekkingslijst (CRL) op uit de URL's die zijn geüpload als onderdeel van informatie over de certificeringsinstantie en slaat deze in de cache op. De laatste publicatietijdstempel (effectieve datum eigenschap) in de CRL wordt gebruikt om ervoor te zorgen dat de CRL nog geldig is. Er wordt regelmatig naar de CRL verwezen om de toegang tot certificaten in te trekken die deel uitmaken van de lijst.

Als een meer onmiddellijke intrekking is vereist (bijvoorbeeld als een gebruiker een apparaat verliest), kan het autorisatietoken van de gebruiker ongeldig worden gemaakt. Als u het autorisatietoken ongeldig wilt maken, stelt u het veld StsRefreshTokenValidFrom in voor deze specifieke gebruiker met Windows PowerShell. U moet het veld StsRefreshTokenValidFrom bijwerken voor elke gebruiker waarvoor u de toegang wilt intrekken.

Om ervoor te zorgen dat de intrekking blijft bestaan, moet u de ingangsdatum van de CRL instellen op een datum na de waarde die is ingesteld door StsRefreshTokenValidFrom en ervoor zorgen dat het betreffende certificaat zich in de CRL bevindt.

Notitie

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdatevoor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell- om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratievoor algemene migratievragen. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

In de volgende stappen wordt het proces voor het bijwerken en ongeldig maken van het autorisatietoken beschreven door het veld StsRefreshTokenValidFrom in te stellen.

  1. Verbinding maken met PowerShell:

    Connect-MgGraph

  2. Haal de huidige waarde StsRefreshTokensValidFrom voor een gebruiker op:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. Configureer een nieuwe stsRefreshTokensValidFrom-waarde voor de gebruiker die gelijk is aan de huidige tijdstempel:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

De datum die u hebt ingesteld, moet in de toekomst zijn. Als de datum zich niet in de toekomst bevindt, is de eigenschap StsRefreshTokensValidFrom niet ingesteld. Als de datum zich in de toekomst bevindt, wordt StsRefreshTokensValidFrom ingesteld op de huidige tijd (niet de datum die wordt aangegeven door Set-MsolUser opdracht).

Stap 4: Uw configuratie testen

Uw certificaat testen

Als eerste configuratietest moet u proberen u aan te melden bij Outlook Web Access- of SharePoint Online met behulp van uw browser op het apparaat.

Als uw aanmelding is geslaagd, weet u dat:

  • Het gebruikerscertificaat is ingericht voor uw testapparaat
  • AD FS is correct geconfigureerd

Office Mobile-toepassingen testen

  1. Installeer op uw testapparaat een mobiele Office-toepassing (bijvoorbeeld OneDrive).
  2. Start de toepassing.
  3. Voer uw gebruikersnaam in en selecteer vervolgens het gebruikerscertificaat dat u wilt gebruiken.

U bent succesvol aangemeld.

Exchange ActiveSync-clienttoepassingen testen

Voor toegang tot Exchange ActiveSync (EAS) via verificatie op basis van certificaten moet een EAS-profiel met het clientcertificaat beschikbaar zijn voor de toepassing.

Het EAS-profiel moet de volgende informatie bevatten:

  • Het gebruikerscertificaat dat moet worden gebruikt voor verificatie

  • Het EAS-eindpunt (bijvoorbeeld outlook.office365.com)

Een EAS-profiel kan worden geconfigureerd en op het apparaat worden geplaatst via het gebruik van Mdm (Mobile Device Management), zoals Microsoft Intune, of door het certificaat handmatig in het EAS-profiel op het apparaat te plaatsen.

EAS-clienttoepassingen testen op Android

  1. Configureer een EAS-profiel in de toepassing die voldoet aan de vereisten in de vorige sectie.
  2. Open de toepassing en controleer of e-mail wordt gesynchroniseerd.

Volgende stappen

Aanvullende informatie over verificatie op basis van certificaten op Android-apparaten.

Aanvullende informatie over verificatie op basis van certificaten op iOS-apparaten.