Udostępnij za pośrednictwem

Rozpocznij korzystanie z uwierzytelniania opartego na certyfikatach w usłudze Microsoft Entra ID z federacją

  • Artykuł

Uwierzytelnianie oparte na certyfikatach (CBA) z federacją umożliwia usłudze Microsoft Entra ID uwierzytelnianie za pomocą certyfikatu klienta na urządzeniu z systemem Windows, Android lub iOS podczas łączenia konta usługi Exchange Online z:

  • Aplikacje mobilne firmy Microsoft, takie jak Microsoft Outlook i Microsoft Word
  • Klienci programu Exchange ActiveSync (EAS)

Skonfigurowanie tej funkcji eliminuje konieczność wprowadzania kombinacji nazwy użytkownika i hasła w niektórych aplikacjach poczty i pakietu Microsoft Office na urządzeniu przenośnym.

Notatka

Alternatywnie organizacje mogą wdrażać usługę Microsoft Entra CBA bez konieczności federacji. Aby uzyskać więcej informacji, zapoznaj się z Przegląd uwierzytelniania opartego na certyfikatach Microsoft Entra w porównaniu z Microsoft Entra ID.

Ten temat:

  • Zawiera kroki konfigurowania i korzystania z CBA dla użytkowników dzierżawców w planach Office 365 Enterprise, Business, Education i US Government.
  • Zakłada się, że masz już skonfigurowaną infrastrukturę kluczy publicznych (PKI) oraz usługi AD FS .

Wymagania

Aby skonfigurować CBA z federacją, następujące warunki muszą być spełnione:

  • CBA z federacją jest obsługiwane tylko w środowiskach federacyjnych dla aplikacji przeglądarkowych, natywnych klientów korzystających z nowoczesnego uwierzytelniania lub bibliotek MSAL. Jednym wyjątkiem jest exchange Active Sync (EAS) dla usługi Exchange Online (EXO), która może być używana dla kont federacyjnych i zarządzanych. Aby skonfigurować usługę Microsoft Entra CBA bez konieczności federacji, zobacz Jak skonfigurować uwierzytelnianie oparte na certyfikatach firmy Microsoft.
  • Główny urząd certyfikacji i wszystkie pośrednie urzędy certyfikacji muszą być skonfigurowane w identyfikatorze Entra firmy Microsoft.
  • Każdy urząd certyfikacji musi mieć listę odwołania certyfikatów (CRL), do których można się odwoływać za pośrednictwem adresu URL dostępnego z Internetu.
  • Musisz mieć co najmniej jeden urząd certyfikacji skonfigurowany w usłudze Microsoft Entra ID. Powiązane kroki można znaleźć w sekcji Konfigurowanie urzędów certyfikacji.
  • W przypadku klientów programu Exchange ActiveSync certyfikat klienta musi mieć routowalny adres e-mail użytkownika w usłudze Exchange Online w wartości Nazwa główna lub Nazwa RFC822 w polu Alternatywna nazwa podmiotu. Microsoft Entra ID mapuje wartość RFC822 na atrybut adresu proxy w katalogu.
  • Urządzenie klienckie musi mieć dostęp do co najmniej jednego urzędu certyfikacji, który wystawia certyfikaty klienta.
  • Certyfikat klienta na potrzeby uwierzytelniania klienta musi zostać wystawiony klientowi.

Ważny

Maksymalny rozmiar listy CRL dla Microsoft Entra ID umożliwiający pomyślne pobranie i zapisanie w pamięci podręcznej wynosi 20 MB, a czas potrzebny na pobranie listy CRL nie może przekraczać 10 sekund. Jeśli Microsoft Entra ID nie może pobrać CRL, uwierzytelnianie oparte na certyfikatach przy użyciu certyfikatów wystawionych przez odpowiedni urząd certyfikacji zakończy się niepowodzeniem. Najlepsze rozwiązania w celu zapewnienia, że pliki listy CRL znajdują się w granicach ograniczeń rozmiaru, to utrzymywanie okresów istnienia certyfikatów w rozsądnych granicach i czyszczenie wygasłych certyfikatów.

Krok 1. Wybieranie platformy urządzeń

W pierwszym kroku, dla platformy urządzenia, którym się interesujesz, należy przejrzeć następujące kwestie:

  • Obsługa aplikacji mobilnych pakietu Office
  • Określone wymagania dotyczące implementacji

Powiązane informacje istnieją dla następujących platform urządzeń:

  • systemu Android
  • systemu iOS

Krok 2. Konfigurowanie urzędów certyfikacji

Aby skonfigurować urzędy certyfikacji w usłudze Microsoft Entra ID, dla każdego urzędu certyfikacji przekaż następujące elementy:

  • Publiczna część certyfikatu w formacie .cer
  • Adresy URL dostępne z Internetu, w których znajdują się listy odwołania certyfikatów (CRL)

Schemat urzędu certyfikacji wygląda następująco:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

W przypadku konfiguracji można użyć Microsoft Graph PowerShell:

  1. Uruchom program Windows PowerShell z uprawnieniami administratora.

  2. Zainstaluj Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Pierwszym krokiem konfiguracji jest nawiązanie połączenia z klientem. Gdy tylko istnieje połączenie do twojego dzierżawcy, możesz przejrzeć, dodać, usunąć i zmodyfikować zaufane urzędy certyfikacji zdefiniowane w twoim katalogu.

Połącz

Aby nawiązać połączenie z dzierżawcą, użyj Connect-MgGraph:

    Connect-MgGraph

Odzyskać

Aby pobrać zaufane urzędy certyfikacji zdefiniowane w katalogu, użyj polecenia Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Aby dodać, zmodyfikować lub usunąć urząd certyfikacji, użyj centrum administracyjnego firmy Microsoft Entra:

  1. Zaloguj się do Centrum Administracyjnego Microsoft Entra jako Globalny Administrator .

  2. Przejdź do Protection>Pokaż więcej>Centrum Bezpieczeństwa (lub Identity Secure Score) >Urzędy certyfikacji.

  3. Aby przesłać urząd certyfikacji, wybierz pozycję Prześlij:

    1. Wybierz plik CA.

    2. Wybierz Tak, jeśli urząd certyfikacji jest certyfikatem głównym, w przeciwnym razie wybierz Nie.

    3. W przypadku adres URL listy odwołania certyfikatówustaw adres URL dostępny z Internetu dla podstawowej listy CRL urzędu certyfikacji zawierającej wszystkie odwołane certyfikaty. Jeśli adres URL nie jest ustawiony, uwierzytelnianie przy użyciu odwołanych certyfikatów nie powiedzie się.

    4. Dla adresu URL listy odwołania certyfikatów typu Delta , ustaw adres URL będący dostępny z internetu dla tej listy CRL, która zawiera wszystkie odwołane certyfikaty od czasu opublikowania ostatniej podstawowej listy CRL.

    5. Wybierz pozycję Dodaj.

      Zrzut ekranu przedstawiający sposób przesyłania pliku organu certyfikacji.

  4. Aby usunąć certyfikat urzędu certyfikacji, wybierz certyfikat i wybierz pozycję Usuń.

  5. Wybierz Kolumny, aby dodać lub usunąć kolumny.

Krok 3. Konfigurowanie odwołania

Aby odwołać certyfikat klienta, identyfikator Entra firmy Microsoft pobiera listę odwołania certyfikatów (CRL) z adresów URL przekazanych w ramach informacji o urzędzie certyfikacji i buforuje go. Ostatni znacznik czasu publikacji (właściwość Data obowiązująca) w CRL jest używany, aby upewnić się, że CRL jest nadal prawidłowy. Lista CRL jest okresowo przeglądana w celu unieważnienia dostępu do certyfikatów, które się na niej znajdują.

Jeśli wymagane jest bardziej natychmiastowe odwołanie (na przykład jeśli użytkownik utraci urządzenie), token autoryzacji użytkownika może zostać unieważniony. Aby unieważnić token autoryzacji, ustaw pole StsRefreshTokenValidFrom dla tego konkretnego użytkownika przy użyciu programu Windows PowerShell. Należy zaktualizować pole StsRefreshTokenValidFrom dla każdego użytkownika, dla którego chcesz odwołać dostęp.

Aby upewnić się, że odwołanie będzie trwałe, należy ustawić datę wejścia w życie CRL na datę po wartości ustawionej przez StsRefreshTokenValidFrom i upewnij się, że odpowiedni certyfikat znajduje się w CRL.

Notatka

Moduły Azure AD i MSOnline PowerShell zostaną wycofane z użycia z dniem 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację dotyczącą wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do Microsoft Graph PowerShell w celu współpracy z Microsoft Entra ID (dawniej Azure AD). Aby uzyskać odpowiedzi na typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji . Uwaga: Wersje 1.0.x usługi MSOnline mogą doświadczyć zakłóceń po 30 czerwca 2024 r.

W poniższych krokach opisano proces aktualizowania i unieważniania tokenu autoryzacji przez ustawienie pola StsRefreshTokenValidFrom.

  1. Nawiązywanie połączenia z programem PowerShell:

    Connect-MgGraph

  2. Pobierz bieżącą wartość StsRefreshTokensValidFrom dla użytkownika:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. Skonfiguruj nową wartość StsRefreshTokensValidFrom dla użytkownika równą bieżącemu znacznikowi czasu:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

Ustawiona data musi być w przyszłości. Jeśli data nie dotyczy przyszłości, pole StsRefreshTokensValidFrom nie jest ustawione. Jeśli data przypada w przyszłości, StsRefreshTokensValidFrom jest ustawiona na bieżącą godzinę (a nie datę wskazaną przez polecenie Set-MsolUser).

Krok 4. Testowanie konfiguracji

Testowanie certyfikatu

W pierwszym teście konfiguracji należy spróbować zalogować się do programu Outlook Web Access lub usługi SharePoint Online przy użyciu przeglądarki na urządzeniu.

Jeśli logowanie zakończyło się pomyślnie, wiesz, że:

  • Certyfikat użytkownika został dostarczony na Twoje urządzenie testowe
  • Usługi AD FS są poprawnie skonfigurowane

Testowanie aplikacji mobilnych pakietu Office

  1. Na urządzeniu testowym zainstaluj aplikację mobilną pakietu Office (na przykład OneDrive).
  2. Uruchom aplikację.
  3. Wprowadź nazwę użytkownika, a następnie wybierz certyfikat użytkownika, którego chcesz użyć.

Powinno nastąpić pomyślne zalogowanie.

Testowanie aplikacji klienckich programu Exchange ActiveSync

Aby uzyskać dostęp do programu Exchange ActiveSync (EAS) za pośrednictwem uwierzytelniania opartego na certyfikatach, profil EAS zawierający certyfikat klienta musi być dostępny dla aplikacji.

Profil EAS musi zawierać następujące informacje:

  • Certyfikat użytkownika do użycia do uwierzytelniania

  • Punkt końcowy EAS (na przykład outlook.office365.com)

Profil EAS można skonfigurować i umieścić na urządzeniu przy użyciu zarządzania urządzeniami przenośnymi (MDM), takiego jak Microsoft Intune, lub ręcznie umieszczając certyfikat w profilu EAS na urządzeniu.

Testowanie aplikacji klienckich EAS w systemie Android

  1. Skonfiguruj profil EAS w aplikacji, który spełnia wymagania w poprzedniej sekcji.
  2. Otwórz aplikację i sprawdź, czy poczta jest synchronizowana.

Następne kroki

dodatkowe informacje na temat uwierzytelniania opartego na certyfikatach na urządzeniach z systemem Android.

Dodatkowe informacje na temat uwierzytelniania opartego na certyfikatach na urządzeniach z systemem iOS.