Delen via

Verificatie op basis van Microsoft Entra-certificaten configureren

  • Artikel

Met Microsoft Entra-verificatie op basis van certificaten (CBA) kunnen organisaties hun Microsoft Entra-tenants zo configureren dat gebruikers zich kunnen verifiëren met X.509-certificaten die zijn gemaakt door hun PKI (Enterprise Public Key Infrastructure) voor aanmelding bij apps en browsers. Met deze functie kunnen organisaties phishingbestendige moderne verificatie zonder wachtwoord gebruiken met behulp van een x.509-certificaat.

Tijdens het aanmelden zien gebruikers ook een optie voor verificatie met een certificaat in plaats van een wachtwoord in te voeren. Als er meerdere overeenkomende certificaten aanwezig zijn op het apparaat, kan de gebruiker kiezen welke certificaten te gebruiken. Het certificaat wordt gevalideerd op basis van het gebruikersaccount en als het lukt, melden ze zich aan.

Volg deze instructies voor het configureren en gebruiken van Microsoft Entra CBA voor tenants in Office 365 Enterprise- en US Government-abonnementen. U moet al een PKI (Public Key Infrastructure) hebben geconfigureerd.

Vereisten

Zorg ervoor dat aan de volgende voorwaarden is voldaan:

  • Configureer ten minste één certificeringsinstantie (CA) en tussenliggende CA's in Microsoft Entra-id.
  • De gebruiker moet toegang hebben tot een gebruikerscertificaat (uitgegeven vanuit een vertrouwde openbare-sleutelinfrastructuur die is geconfigureerd op de tenant) die is bedoeld voor clientverificatie voor verificatie bij Microsoft Entra-id.
  • Elke CA moet een certificaatintrekkingslijst (CRL) hebben waarnaar kan worden verwezen vanuit internetgerichte URL's. Als de vertrouwde CA geen CRL heeft geconfigureerd, voert Microsoft Entra-id geen CRL-controle uit, werkt het intrekken van gebruikerscertificaten niet en wordt verificatie niet geblokkeerd.

Belangrijk

Zorg ervoor dat de PKI veilig is en niet eenvoudig kan worden aangetast. In het geval van een inbreuk kan de aanvaller clientcertificaten maken en ondertekenen en elke gebruiker in de tenant in gevaar brengen, zowel gebruikers die worden gesynchroniseerd vanuit on-premises als alleen-cloudgebruikers. Een sterke strategie voor sleutelbeveiliging, samen met andere fysieke en logische besturingselementen, zoals HSM-activeringskaarten of tokens voor de beveiligde opslag van artefacten, kan echter diepgaande verdediging bieden om te voorkomen dat externe aanvallers of insiderbedreigingen de integriteit van de PKI in gevaar brengen. Zie voor meer informatie PKI beveiligen.

Belangrijk

Ga naar de Aanbevelingen van Microsoft voor aanbevolen procedures voor Microsoft Cryptographic met betrekking tot algoritmekeuze, sleutellengte en gegevensbescherming. Zorg ervoor dat u een van de aanbevolen algoritmen, sleutellengte en goedgekeurde NIST-curven gebruikt.

Belangrijk

Als onderdeel van doorlopende beveiligingsverbeteringen voegen Azure/M365-eindpunten ondersteuning toe voor TLS1.3 en dit proces duurt naar verwachting enkele maanden om de duizenden service-eindpunten in Azure/M365 te dekken. Dit omvat het Microsoft Entra-eindpunt dat wordt gebruikt door verificatie op basis van certificaten (CBA) *.certauth.login.microsoftonline.com van Microsoft Entra en *.certauth.login.microsoftonline.us. TLS 1.3 is de nieuwste versie van het meest geïmplementeerde beveiligingsprotocol van internet, waarmee gegevens worden versleuteld om een beveiligd communicatiekanaal tussen twee eindpunten te bieden. TLS 1.3 elimineert verouderde cryptografische algoritmen, verbetert de beveiliging ten opzichte van oudere versies en streeft ernaar zoveel mogelijk handshake te versleutelen. We raden ontwikkelaars ten zeerste aan om TLS 1.3 te testen in hun toepassingen en services.

Notitie

Bij het evalueren van een PKI is het belangrijk om certificaatuitgiftebeleid en afdwinging te controleren. Zoals vermeld, staat het toevoegen van certificeringsinstanties (CA's) aan Microsoft Entra-configuratie toe dat certificaten die door deze CA's worden uitgegeven, elke gebruiker in Microsoft Entra-id verifiëren. Daarom is het belangrijk om na te denken over hoe en wanneer de CA's certificaten mogen uitgeven en hoe ze herbruikbare id's implementeren. Wanneer beheerders ervoor moeten zorgen dat alleen een specifiek certificaat kan worden gebruikt om een gebruiker te verifiëren, moeten beheerders uitsluitend gebruik maken van bindingen met hoge affiniteit om een hoger niveau van zekerheid te bereiken dat alleen een specifiek certificaat de gebruiker kan verifiëren. Zie bindingen met hoge affiniteit voor meer informatie.

Stappen voor het configureren en testen van Microsoft Entra CBA

Er moeten enkele configuratiestappen worden uitgevoerd voordat u Microsoft Entra CBA inschakelt. Eerst moet een beheerder de vertrouwde CA's configureren die gebruikerscertificaten verlenen. Zoals u in het volgende diagram ziet, gebruiken we op rollen gebaseerd toegangsbeheer om ervoor te zorgen dat alleen beheerders met minimale bevoegdheden wijzigingen moeten aanbrengen.

Er is een globale beheerder nodig om deze functie te beheren.

U kunt ook verificatiebindingen configureren om certificaten toe te wijzen aan verificatie met één factor of meervoudige verificatie en gebruikersnaambindingen configureren om het certificaatveld toe te wijzen aan een kenmerk van het gebruikersobject. Beheerders van verificatiebeleid kunnen instellingen voor gebruikers configureren. Zodra alle configuraties zijn voltooid, schakelt u Microsoft Entra CBA in op de tenant.

Diagram van de stappen die nodig zijn om verificatie op basis van certificaten van Microsoft Entra in te schakelen.

Stap 1: de certificeringsinstanties configureren met een op PKI gebaseerd vertrouwensarchief (preview)

Entra heeft een nieuw op PKI gebaseerde certificeringsinstanties (PUBLIC Key Infrastructure) vertrouwensarchief. Het ca-vertrouwensarchief op basis van PKI bewaart CA's binnen een containerobject voor elke verschillende PKI. Beheerders kunnen CA's in een container beheren op basis van PKI, eenvoudiger dan één platte lijst met CA's.

Het vertrouwensarchief op basis van PKI heeft hogere limieten voor het aantal CA's en de grootte van elk CA-bestand. Een vertrouwensarchief op basis van PKI ondersteunt maximaal 250 CA's en 8 kB-grootte voor elk CA-object. We raden u ten zeerste aan om het nieuwe op PKI gebaseerde vertrouwensarchief te gebruiken voor het opslaan van CA's, wat schaalbaar is en nieuwe functionaliteit ondersteunt, zoals hints voor verleners.

Notitie

Als u het oude vertrouwensarchief gebruikt om CA's te configureren, raden we u aan om een vertrouwensarchief op basis van PKI te configureren.

Een beheerder moet de vertrouwde CA's configureren die gebruikerscertificaten uitgeven. Alleen beheerders met minimale bevoegdheden zijn nodig om wijzigingen aan te brengen. Een op PKI gebaseerd vertrouwensarchief heeft RBAC-rollen Privilege Authentication Administrator en Authentication Administrator.

Upload PKI-functie van het vertrouwensarchief op basis van PKI is alleen beschikbaar met microsoft Entra ID P1- of P2-licentie. Met een gratis licentie kunnen beheerders echter alle CA's afzonderlijk uploaden in plaats van het PKI-bestand en het vertrouwensarchief op basis van PKI configureren.

Certificeringsinstanties configureren met behulp van het Microsoft Entra-beheercentrum

Een PKI-containerobject maken

  1. Maak een PKI-containerobject.

  2. Meld u als verificatiebeleidsbeheerder aan bij het Microsoft Entra-beheercentrum.

  3. Blader naar Beveiliging>: meer>openbare sleutelinfrastructuur van Security Center (of Identiteitsbeveiligingsscore) weergeven (preview). >

  4. Klik op + PKI maken.

  5. Voer de Weergavenaam in.

  6. Klik op Create.

    Diagram van de stappen die nodig zijn om een PKI te maken.

  7. Selecteer Kolommen om kolommen toe te voegen of te verwijderen.

  8. Selecteer Vernieuwen om de lijst met PKI's te vernieuwen.

Een PKI-containerobject verwijderen

  1. Als u een PKI wilt verwijderen, selecteert u de PKI en selecteert u Verwijderen. Als de PKI ca's bevat, voert u de naam van de PKI in om te bevestigen dat alle CA's erin worden verwijderd en selecteert u Verwijderen.

    Diagram van de stappen die nodig zijn om een PKI te verwijderen.

Afzonderlijke CA's uploaden naar PKI-containerobject

  1. Een CA uploaden naar de PKI-container:

    1. Klik op + Certificeringsinstantie toevoegen.

    2. Kies het CA-bestand.

    3. Kies Ja als de CA een basiscertificaat is, kies anders Nee.

    4. Voor de URL van de certificaatintrekkingslijst stelt u de internetgerichte URL in voor de CA-basis-CRL die alle ingetrokken certificaten bevat. Als de URL niet is ingesteld, mislukt de verificatie met ingetrokken certificaten niet.

    5. Stel voor de URL van de Delta-certificaatintrekkingslijst de internet-URL in voor de CRL die alle ingetrokken certificaten bevat sinds de laatste basis-CRL is gepubliceerd.

    6. De vlag Hints voor verleners is standaard ingeschakeld. Schakel hints voor verleners uit als de CA niet moet worden opgenomen in hints voor verleners.

    7. Selecteer Opslaan.

    8. Als u een CA-certificaat wilt verwijderen, selecteert u het certificaat en selecteert u Verwijderen.

      Diagram van het verwijderen van een CA-certificaat.

    9. Selecteer Kolommen om kolommen toe te voegen of te verwijderen.

    10. Selecteer Vernieuwen om de lijst met CA's te vernieuwen.

Alle CA's uploaden met PKI uploaden naar PKI-containerobject

  1. Alle CA's tegelijk uploaden naar de PKI-container:

    1. Maak een PKI-containerobject of open er een.
    2. Selecteer PKI uploaden.
    3. Voer de internetgerichte HTTP-URL in waar het .p7b-bestand beschikbaar is.
    4. Voer de SHA256-controlesom van het bestand in.
    5. Selecteer het uploaden.
    6. Upload PKI is een asynchroon proces. Wanneer elke CA wordt geüpload, is deze beschikbaar in de PKI. Het uploaden van PKI kan tot 30 minuten duren.
    7. Selecteer Vernieuwen om de CA's te vernieuwen.

    Voer deze opdracht uit om de SHA256-controlesom van het PKI .p7b-bestand te genereren:

    Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Een PKI bewerken

  1. Als u PKI wilt bewerken, selecteert u ... in de rij PKI en selecteert u Bewerken.
  2. Voer een nieuwe PKI-naam in en selecteer Opslaan.

Een CA bewerken

  1. Als u CA wilt bewerken, selecteert u ... in de ca-rij en selecteert u Bewerken.
  2. Voer indien nodig nieuwe waarden in voor het type certificeringsinstantie (root/tussenliggend), CRL-URL, Delta CRL-URL, vlag voor hints voor verleners ingeschakeld en selecteer Opslaan.

Een PKI herstellen

  1. Selecteer het tabblad Verwijderde PKI's .
  2. Selecteer de PKI en selecteer PKI herstellen.

Een CA herstellen

  1. Selecteer het tabblad Verwijderde CA's .
  2. Selecteer het CA-bestand en selecteer Certificeringsinstantie herstellen.

Inzicht in het kenmerk isIssuerHintEnabled op CA

Hints voor verleners sturen een vertrouwde CA-indicatie terug als onderdeel van de tls-handshake (Transport Layer Security). De lijst met vertrouwde CA's is ingesteld op het onderwerp van de CA's die door de tenant zijn geüpload in het Vertrouwensarchief van Entra. Zie Hints voor verleners voor meer informatie over hints voor verleners.

Standaard worden de onderwerpnamen van alle CA's in het Vertrouwensarchief van Microsoft Entra verzonden als hints. Als u een hint met alleen specifieke CA's wilt terugsturen, stelt u het kenmerk hint voor verleners in opIssuerHintEnabled.true

Er is een tekenlimiet van 16 kB voor de hints voor verleners (onderwerpnaam van de CA) die de server naar de TLS-client kan verzenden. Als een goede gewoonte stelt u het kenmerk isIssuerHintEnabled alleen in op waar voor de CA's die gebruikerscertificaten uitgeven.

Als meerdere tussenliggende CA's uit hetzelfde basiscertificaat de certificaten van eindgebruikers uitgeven, worden standaard alle certificaten weergegeven in de certificaatkiezer. Maar als u isIssuerHintEnabled instelt op true specifieke CA's, worden alleen de juiste gebruikerscertificaten weergegeven in de certificaatkiezer. Als u isIssuerHintEnabled wilt inschakelen, bewerkt u de CA en werkt u de waarde bij naar true.

Certificeringsinstanties configureren met behulp van de Microsoft Graph-API's

Microsoft Graph API's kunnen worden gebruikt om CA's te configureren. In de volgende voorbeelden ziet u hoe u Met Microsoft Graph CRUD-bewerkingen (Create, Read, Update of Delete) kunt uitvoeren voor een PKI of CA.

Een PKI-containerobject maken

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Alle PKI-objecten ophalen

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

PKI-object ophalen op PKI-id

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/
ConsistencyLevel: eventual

CA's uploaden met een .p7b-bestand

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
    	"uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
    	"sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Alle CA's in een PKI ophalen

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities
ConsistencyLevel: eventual

Een specifieke CA ophalen binnen een PKI per CA-id

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
ConsistencyLevel: eventual

Vlag voor hints voor specifieke CA-verleners bijwerken

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Configureer certificeringsinstanties (CA) met behulp van PowerShell voor deze configuratie. U kunt [Microsoft Graph PowerShell] (/powershell/microsoftgraph/installation) gebruiken.

  1. Start PowerShell met beheerdersbevoegdheden.

  2. Installeer en importeer de Microsoft Graph PowerShell SDK.

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Maak verbinding met de tenant en accepteer alles.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Auditlogboek

CruD-bewerkingen op een PKI of CA in het vertrouwensarchief worden aangemeld bij de Auditlogboeken van Microsoft Entra.

Diagram van auditlogboeken.

Veelgestelde vragen

Vraag: Waarom mislukt het uploaden van PKI?

Antwoord: Controleer of het PKI-bestand geldig is en zonder problemen toegankelijk is. De maximale grootte van het PKI-bestand moet zijn

Vraag: Wat is de SLA (Service Level Agreement) voor PKI-upload?

Antwoord: PKI-upload is een asynchrone bewerking en kan tot 30 minuten duren voordat het is voltooid.

Vraag: Hoe genereert u sha256-controlesom voor PKI-bestand?

Antwoord: Voer deze opdracht uit om de SHA256-controlesom van het PKI.p7b-bestand te genereren:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Stap 2: CBA inschakelen op de tenant

Belangrijk

Een gebruiker wordt beschouwd als geschikt voor MFA wanneer de gebruiker het bereik heeft voor verificatie op basis van certificaten in het beleid voor verificatiemethoden. Deze beleidsvereiste betekent dat een gebruiker geen bewijs kan gebruiken als onderdeel van de verificatie om andere beschikbare methoden te registreren. Als de gebruikers geen toegang hebben tot certificaten, worden ze vergrendeld en kunnen ze geen andere methoden voor MFA registreren. Beheerders van verificatiebeleid moeten alleen CBA inschakelen voor gebruikers die een geldige certificaten hebben. Neem niet alle gebruikers op voor CBA. Gebruik alleen groepen gebruikers met geldige certificaten die beschikbaar zijn. Zie Microsoft Entra multifactor authentication voor meer informatie.

Voer de volgende stappen uit om CBA in te schakelen in het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar Groepen>Alle groepen> selecteer Nieuwe groep en maak een groep voor CBA-gebruikers.

  3. Blader naar verificatiemethoden>op basis van certificaten.>

  4. Selecteer Inschakelen en doel onder Inschakelen.

  5. Selecteer Groepen toevoegen om specifieke groepen te selecteren, zoals de groep die u hebt gemaakt. Gebruik specifieke groepen in plaats van alle gebruikers.

    Schermopname van hoe CBA in te schakelen.

Zodra verificatie op basis van certificaten is ingeschakeld voor de tenant, zien alle gebruikers in de tenant de optie om zich aan te melden met een certificaat. Alleen gebruikers die zijn ingeschakeld voor CBA kunnen zich verifiëren met behulp van het X.509-certificaat.

Notitie

De netwerkbeheerder moet naast login.microsoftonline.comde cloudomgeving van de klant toegang tot het certificaatauth-eindpunt toestaan. Schakel TLS-inspectie uit op het certauth-eindpunt om ervoor te zorgen dat de aanvraag voor het clientcertificaat slaagt als onderdeel van de TLS-handshake.

Stap 3: Verificatiebindingsbeleid configureren

Het verificatiebindingsbeleid helpt bij het bepalen van de sterkte van verificatie voor één factor of meerdere factoren. Het standaardbeveiligingsniveau voor de certificaten op de tenant is verificatie met één factor.

Een verificatiebeleidsbeheerder kan de standaardwaarde wijzigen van één factor in multifactor en aangepaste beleidsregels configureren. Verificatiebindingsregels wijzen certificaatkenmerken, zoals Issuer, of Policy Object ID (OID) of Issuer and Policy OID, toe aan een waarde en selecteer het standaardbeveiligingsniveau voor die regel. U kunt meerdere regels maken.

Voer de volgende stappen uit om de standaardinstellingen voor tenants in het Microsoft Entra-beheercentrum te wijzigen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar >beleid voor beveiligingsverificatiemethoden.>

  3. Kies verificatiemethodenop basis van certificaten> onder Beheren.

    Schermopname van verificatiebeleid.

  4. Selecteer Configureren om verificatiebinding en gebruikersnaambinding in te stellen.

  5. Het kenmerk beveiligingsniveau heeft een standaardwaarde voor verificatie met één factor. Selecteer Meervoudige verificatie om de standaardwaarde te wijzigen in MFA.

    Notitie

    De standaardwaarde voor beveiligingsniveau is van kracht als er geen aangepaste regels worden toegevoegd. Als er aangepaste regels worden toegevoegd, wordt in plaats daarvan het beveiligingsniveau toegepast dat is gedefinieerd op regelniveau.

    Schermopname van hoe het standaardbeleid te veranderen in MFA.

  6. U kunt ook aangepaste regels voor verificatiebinding instellen om het beveiligingsniveau voor clientcertificaten te bepalen. Deze kan worden geconfigureerd met behulp van de velden Onderwerp van verlener of Beleids-OID in het certificaat.

    Verificatiebindingsregels wijzen de certificaatkenmerken (verlener of Beleids-OID) toe aan een waarde en selecteren het standaardbeveiligingsniveau voor die regel. Er kunnen meerdere regels worden gemaakt.

    Als u aangepaste regels wilt toevoegen, selecteert u Regel toevoegen.

    Schermopname van hoe een regel toe te voegen.

    Als u een regel wilt maken per certificaatverlener, selecteert u Certificaatverlener.

    1. Kies een certificaatverlener-id in de keuzelijst.

    2. Selecteer Meervoudige verificatie, Binding met lage affiniteit en klik vervolgens op Toevoegen. Wanneer u hierom wordt gevraagd, klikt u op Ik bevestig dat u klaar bent met het toevoegen van de regel.

      Schermopname van beleid voor meervoudige verificatie.

    Als u een regel wilt maken op beleids-OID, selecteert u Beleids-OID.

    1. Voer een waarde in voor beleids-OID.

    2. Selecteer Meervoudige verificatie, Binding met lage affiniteit en klik vervolgens op Toevoegen. Wanneer u hierom wordt gevraagd, klikt u op Ik bevestig dat u klaar bent met het toevoegen van de regel.

      Schermopname van toewijzen aan beleids-OID.

    Een regel maken op Verlener en Beleids-OID:

    1. Selecteer certificaatverlener en beleids-OID.

    2. Selecteer een verlener en voer de beleids-OID in.

    3. Voor verificatiesterkte selecteert u Meervoudige verificatie of Meervoudige verificatie.

    4. Selecteer Laag voor affiniteitsbinding.

      Schermopname van het selecteren van een binding met lage affiniteit.

    5. Selecteer Toevoegen.

      Schermopname van het toevoegen van een binding met lage affiniteit.

    6. Verifieer met een certificaat met beleids-OID van 3.4.5.6 en uitgegeven door CN=CBATestRootProd. Verificatie moet worden doorgegeven en een claim met meerdere factoren ophalen.

Belangrijk

Er is een bekend probleem waarbij een Microsoft Entra-tenantverificatiebeleidsbeheerder een CBA-verificatiebeleidsregel configureert met behulp van zowel Issuer als Policy OID. Het probleem heeft gevolgen voor sommige scenario's voor apparaatregistratie, waaronder:

  • Windows Hello voor Bedrijven-inschrijving
  • REGISTRATIE van FIDO2-beveiligingssleutels
  • Aanmelden bij Windows-telefoon zonder wachtwoord

Apparaatregistratie met Workplace Join, Microsoft Entra ID en hybride Microsoft Entra-apparaatdeelnamescenario's worden niet beïnvloed. CBA-verificatiebeleidsregels die gebruikmaken van Verlener OF Beleids-OID, worden niet beïnvloed. Beheerders moeten het volgende doen om dit te verhelpen:

  • Bewerk de verificatiebeleidsregels op basis van certificaten die gebruikmaken van de opties Issuer en Policy OID. Verwijder de vereiste Issuer of Policy OID en Save. -Of-
  • Verwijder de verificatiebeleidsregel die gebruikmaakt van zowel Issuer als Policy OID. Regels maken die alleen verlener of beleids-OID gebruiken.

We proberen het probleem op te lossen.

Ga als volgt te werk om een regel te maken op Verlener en Serienummer:

  1. Voeg een verificatiebindingsbeleid toe. Het beleid vereist dat elk certificaat dat is uitgegeven door CN=CBATestRootProd met policyOID 1.2.3.4.6 alleen een hoge affiniteitsbinding nodig heeft. Verlener en serienummer worden gebruikt.

    Schermopname van Issuer and Serial Number added the Microsoft Entra admin center.

  2. Selecteer het certificaatveld. In dit voorbeeld selecteren we Issuer en Serienummer.

    Schermopname van het selecteren van verlener en serienummer.

  3. Het enige ondersteunde gebruikerskenmerk is CertificateUserIds. Selecteer Toevoegen.

    Schermopname van het toevoegen van verleners en serienummers.

  4. Selecteer Opslaan.

    In het aanmeldingslogboek ziet u welke binding is gebruikt voor aanmelding en de details van het certificaat.

    Schermopname van aanmeldingslogboek.

  5. Selecteer OK om een aangepaste regel op te slaan.

Belangrijk

Voer de PolicyOID in met behulp van de object-id-indeling. Als in het certificaatbeleid bijvoorbeeld Alle uitgiftebeleidsregels worden vermeld, voert u de OID in als 2.5.29.32.0 wanneer u de regel toevoegt. De tekenreeks Alle uitgiftebeleidsregels is ongeldig voor de regeleditor en wordt niet van kracht.

Stap 4: bindingsbeleid voor gebruikersnaam configureren

Het bindingsbeleid voor gebruikersnaam helpt het certificaat van de gebruiker te valideren. Standaard wijzen we Principal Name in het certificaat toe aan UserPrincipalName in het gebruikersobject om de gebruiker te bepalen.

Een verificatiebeleidsbeheerder kan de standaardinstelling overschrijven en een aangepaste toewijzing maken. Zie Hoe gebruikersnaambinding werkt om te bepalen hoe de gebruikersnaambinding werkt.

Zie Certificaatgebruikers-id's voor andere scenario's die gebruikmaken van het kenmerk certificateUserIds.

Belangrijk

Als voor een bindingsbeleid voor gebruikersnamen gesynchroniseerde kenmerken worden gebruikt, zoals de certificateUserIds, onPremisesUserPrincipalName en het kenmerk userPrincipalName van het gebruikersobject, moet u er rekening mee houden dat accounts met beheerdersbevoegdheden in Active Directory (zoals die met gedelegeerde rechten voor gebruikersobjecten of beheerdersrechten op de Microsoft Entra Connect-server) wijzigingen kunnen aanbrengen die van invloed zijn op deze kenmerken in Microsoft Entra-id.

  1. Maak de gebruikersnaambinding door een van de X.509-certificaatvelden te kiezen om te verbinden met een van de gebruikerskenmerken. De volgorde van de gebruikersnaambinding vertegenwoordigt het prioriteitsniveau van de binding. De eerste heeft de hoogste prioriteit, enzovoort.

    Schermopname van het beleid voor gebruikersnaambinding.

    Als het opgegeven X.509-certificaatveld op het certificaat wordt gevonden, maar Microsoft Entra-id geen gebruikersobject met deze waarde vindt, mislukt de verificatie. Microsoft Entra ID probeert de volgende binding in de lijst.

  2. Als u de wijzigingen wilt opslaan, selecteert u Opslaan.

De uiteindelijke configuratie ziet er als volgt uit:

Schermopname van de uiteindelijke configuratie.

Stap 5: uw configuratie testen

In deze sectie wordt beschreven hoe u uw certificaat en aangepaste regels voor verificatiebinding kunt testen.

Uw certificaat testen

Als eerste configuratietest moet u zich aanmelden bij het MyApps-portal met behulp van uw browser op het apparaat.

  1. Voer uw UPN (User Principal Name) in.

    Schermopname van de User Principal Name.

  2. Selecteer Volgende.

    Schermopname van aanmelden met certificaat.

    Als u andere verificatiemethoden zoals Telefoon-aanmelding of FIDO2 hebt ingeschakeld, zien gebruikers mogelijk een ander aanmeldingsscherm.

    Schermopname van de alternatieve aanmelding.

  3. Kies Aanmelden met een certificaat.

  4. Kies het juiste gebruikerscertificaat in de gebruikersinterface van de clientcertificaatkiezer en selecteer OK.

    Schermopname van de UI van de certificaatkiezer.

  5. Gebruikers moeten zijn aangemeld bij de MyApps-portal.

Als uw aanmelding is geslaagd, weet u dat:

  • Het gebruikerscertificaat wordt ingericht in uw testapparaat.
  • Microsoft Entra-id is correct geconfigureerd met vertrouwde CA's.
  • De gebruikersnaambinding is correct geconfigureerd en de gebruiker wordt gevonden en geverifieerd.

Aangepaste regels voor verificatiebinding testen

Laten we een scenario doorlopen waarin we sterke verificatie valideren. We maken twee verificatiebeleidsregels, één met behulp van verleners die afhankelijk zijn van verificatie met één factor, en een andere met behulp van beleids-OID om te voldoen aan meervoudige verificatie.

  1. Maak een onderwerpregel voor verleners met beveiligingsniveau als verificatie met één factor en de waarde die is ingesteld op de waarde van uw CA's. Voorbeeld:

    CN = WoodgroveCA

  2. Maak een beleids-OID-regel, met beveiligingsniveau als meervoudige verificatie en waarde ingesteld op een van de beleids-OID's in uw certificaat. Bijvoorbeeld 1.2.3.4.

    Schermopname van de beleids-OID-regel.

  3. Maak een beleid voor voorwaardelijke toegang voor de gebruiker om meervoudige verificatie te vereisen door de volgende stappen uit te voeren bij Voorwaardelijke toegang: MFA vereisen.

  4. Navigeer naar hetMyApps-portal. Voer uw UPN in en selecteer Volgende.

    Schermopname van de User Principal Name.

  5. Kies Aanmelden met een certificaat.

    Schermopname van aanmelden met certificaat.

    Als u andere verificatiemethoden zoals Telefoon-aanmelding of beveiligingssleutels hebt ingeschakeld, zien gebruikers mogelijk een ander aanmeldingsscherm.

    Schermopname van de alternatieve aanmelding.

  6. Selecteer het clientcertificaat en selecteer Certificaatgegevens.

    Schermopname van de clientkiezer.

  7. Het certificaat wordt weergegeven en u kunt de verlener en beleids-OID-waarden controleren. Schermopname van de verlener.

  8. Als u beleids-OID-waarden wilt zien, selecteert u Details.

    Schermopname van de verificatiedetails.

  9. Selecteer het clientcertificaat en selecteer OK.

  10. De beleids-OID in het certificaat komt overeen met de geconfigureerde waarde 1.2.3.4 en voldoet aan meervoudige verificatie. Op dezelfde manier komt de verlener in het certificaat overeen met de geconfigureerde waarde van CN=WoodgroveCA en voldoet deze aan verificatie met één factor.

  11. Omdat de beleids-OID-regel voorrang heeft op de verlenerregel, voldoet het certificaat aan meervoudige verificatie.

  12. Het beleid voor voorwaardelijke toegang voor de gebruiker vereist MFA en het certificaat voldoet aan meerdere factoren, zodat de gebruiker zich kan aanmelden bij de toepassing.

Bindingsbeleid voor gebruikersnaam testen

Het bindingsbeleid voor gebruikersnaam helpt het certificaat van de gebruiker te valideren. Er zijn drie bindingen die worden ondersteund voor het beleid voor de gebruikersnaambinding:

  • IssuerAndSerialNumber>CertificateUserIds
  • IssuerAndSubject>CertificateUserIds
  • Subject>CertificateUserIds

Standaard wijst Microsoft Entra ID Principal Name in het certificaat toe aan UserPrincipalName in het gebruikersobject om de gebruiker te bepalen. Een verificatiebeleidsbeheerder kan de standaardinstelling overschrijven en een aangepaste toewijzing maken, zoals eerder is uitgelegd.

Een verificatiebeleidsbeheerder moet de nieuwe bindingen inschakelen. Ze moeten ervoor zorgen dat de juiste waarden voor de bijbehorende gebruikersnaambindingen worden bijgewerkt in het kenmerk CertificateUserIds van het gebruikersobject:

Belangrijk

De notatie van de waarden van Issuer, Subject en SerialNumber moet in de omgekeerde volgorde van de indeling in het certificaat staan. Voeg geen ruimte toe aan de verlener of het onderwerp.

Handmatige toewijzing van verleners en serienummer

Hier volgt een voorbeeld voor handmatige toewijzing van verleners en serienummers. De waarde van de verlener die moet worden toegevoegd, is:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Schermopname van de waarde Verlener.

Als u de juiste waarde voor serienummer wilt ophalen, voert u de volgende opdracht uit en slaat u de waarde op die wordt weergegeven in CertificateUserIds. De syntaxis van de opdracht is:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Voorbeeld:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Hier volgt een voorbeeld voor de opdracht certutil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

De serialNumber-waarde die moet worden toegevoegd in CertificateUserId is:

b24134139f069b49997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Handmatige toewijzing van probleem en onderwerp

Hier volgt een voorbeeld voor handmatige toewijzing van problemen en onderwerpen. De waarde van de verlener is:

Schermopname van de waarde Verlener wanneer deze wordt gebruikt met meerdere bindingen.

De waarde Onderwerp is:

Schermopname van de waarde Onderwerp.

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Handmatige toewijzing van onderwerp

Hier volgt een voorbeeld voor handmatige toewijzing van onderwerpen. De waarde Onderwerp is:

Schermopname van een andere onderwerpwaarde.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Affiniteitsbinding testen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar >beleid voor beveiligingsverificatiemethoden.>

  3. Kies verificatiemethodenop basis van certificaten> onder Beheren.

  4. Selecteer Configureren.

  5. Stel vereiste affiniteitsbinding in op tenantniveau.

    Belangrijk

    Wees voorzichtig met de instelling voor affiniteit voor de hele tenant. U kunt de hele tenant vergrendelen als u de vereiste affiniteitsbinding voor de tenant wijzigt en u geen juiste waarden in het gebruikersobject hebt. Als u ook een aangepaste regel maakt die van toepassing is op alle gebruikers en een binding met hoge affiniteit vereist, kunnen gebruikers in de tenant worden vergrendeld.

    Schermopname van het instellen van de vereiste affiniteitsbinding.

  6. Als u wilt testen, selecteert u Vereiste affiniteitsbinding als laag.

  7. Voeg een binding met hoge affiniteit toe, zoals SKI. Selecteer Regel toevoegen onder Gebruikersnaambinding.

  8. Selecteer SKI en selecteer Toevoegen.

    Schermopname van het toevoegen van een affiniteitsbinding.

    Wanneer u klaar bent, ziet de regel er als volgt uit:

    Schermopname van een voltooide affiniteitsbinding.

  9. Werk alle gebruikersobjecten CertificateUserIds-kenmerk bij om de juiste waarde van SKI van het gebruikerscertificaat te hebben. Zie Ondersteunde patronen voor CertificateUserIDs voor meer informatie.

  10. Maak een aangepaste regel voor verificatiebinding.

  11. Selecteer Toevoegen.

    Schermopname van een aangepaste verificatiebinding.

    Wanneer u klaar bent, ziet de regel er als volgt uit:

    Schermopname van een aangepaste regel.

  12. Werk de user CertificateUserIds bij met de juiste SKI-waarde van het certificaat met policy OID 9.8.7.5.

  13. Test met een certificaat met policy OID 9.8.7.5 en de gebruiker moet worden geverifieerd met SKI-binding en MFA ophalen met alleen het certificaat.

CBA inschakelen met behulp van Microsoft Graph API

Voer de volgende stappen uit om CBA in te schakelen en gebruikersnaambindingen te configureren met behulp van Graph API.

  1. Ga naar Microsoft Graph Explorer.

  2. Selecteer Aanmelden bij Graph Explorer en meld u aan bij uw tenant.

  3. Volg de stappen om toestemming te geven voor de gedelegeerde toestemming Policy.ReadWrite.AuthenticationMethod.

  4. GET all verificatiemethoden:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. HAAL de configuratie voor de verificatiemethode x509-certificaten op:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Standaard is de verificatiemethode x509-certificaat uitgeschakeld. Als u wilt toestaan dat gebruikers zich met een certificaat kunnen aanmelden, moet u de verificatiemethode inschakelen en het beleid voor verificatie- en gebruikersnaambinding configureren via een updatebewerking. Voer een PATCH-aanvraag uit om het beleid bij te werken.

    Aanvraagtekst:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. U krijgt een 204 No content antwoordcode. Voer de GET-aanvraag opnieuw uit om ervoor te zorgen dat het beleid correct wordt bijgewerkt.

  8. Test de configuratie door u aan te melden met een certificaat dat voldoet aan het beleid.

CBA inschakelen met Microsoft PowerShell

  1. Open PowerShell.
  2. Verbinding maken met Microsoft Graph: 
    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
  3. Maak een variabele voor het definiëren van een groep voor CBA-gebruikers: 
    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
  4. Definieer de aanvraagbody: 
    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5
  5. Voer de PATCH-aanvraag uit: 
    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Volgende stappen