Como configurar a autenticação baseada em certificado do Microsoft Entra

A autenticação baseada em certificado (CBA) do Microsoft Entra permite que as organizações configurem seus locatários do Microsoft Entra para permitir ou exigir que os usuários se autentiquem com certificados X.509 criados pela sua Infraestrutura de Chave Pública (PKI) Enterprise para entrada no aplicativo e no navegador. Esse recurso permite que as organizações adotem a autenticação sem senha moderna resistente a phishing usando um certificado x.509.

Durante o login, os usuários verão uma opção para se autenticar com um certificado, em vez de inserir uma senha. Se vários certificados correspondentes estiverem presentes no dispositivo, o usuário poderá escolher qual deles usar. O certificado será validado na conta do usuário e, se for bem-sucedido, entrarão.

Siga estas instruções para configurar e utilizar a CBA do Microsoft Entra para locatários nos planos Office 365 Enterprise e Governamental dos EUA. Você já deve ter uma PKI (infraestrutura de chave pública) configurada.

Pré-requisitos

Verifique se os seguintes pré-requisitos estão presentes:

• Configure pelo menos uma autoridade certificadora (AC) e quaisquer ACs intermediárias no Microsoft Entra ID.
• O usuário deve ter acesso a um certificado de usuário (emitido a partir de uma infraestrutura de chave pública confiável configurada no locatário) destinado à autenticação de cliente para autenticar no Microsoft Entra ID.
• Cada AC deve ter uma CRL (lista de certificados revogados) que pode ser referenciada de URLs para a Internet. Se a AC confiável não tiver uma CRL configurada, o Microsoft Entra ID não verificará nenhuma CRL, a revogação de certificados de usuário não funcionará e a autenticação não será bloqueada.

Importante

Verifique se a PKI está segura e não pode ser facilmente comprometida. No caso de um comprometimento, o invasor poderá criar e assinar certificados de cliente e comprometer os usuários no locatário, tanto os usuários sincronizados de usuários locais como os usuários somente de nuvem. No entanto, uma estratégia de proteção de chave forte em conjunto com outros controles físicos e lógicos, como cartões de ativação HSM ou tokens para o armazenamento seguro de artefatos, poderá fornecer defesa em profundidade para evitar que os invasores externos ou as ameaças internas comprometam a integridade da PKI. Para obter mais informações, consulte Protegendo a PKI.

Importante

Visite as Recomendações da Microsoft para conhecer as melhores práticas para a criptografia da Microsoft envolvendo a escolha do algoritmo, o comprimento da chave e a proteção de dados. Verifique se está utilizando um dos algoritmos recomendados, o comprimento da chave e as curvas aprovadas pelo NIST.

Importante

Como parte das melhorias contínuas de segurança, os pontos de extremidade do Azure/M365 estão adicionando suporte ao TLS1.3 e espera-se que esse processo leve alguns meses para abranger os milhares de pontos de extremidade de serviço no Azure/M365. Isso inclui o ponto de extremidade do Microsoft Entra usado pela autenticação baseada em certificado (CBA) do Microsoft Entra *.certauth.login.microsoftonline.com e *.certauth.login.microsoftonline.us. O TLS 1.3 é a versão mais recente do protocolo de segurança mais implantado na Internet, que criptografa dados para fornecer um canal de comunicação seguro entre dois pontos de extremidade. O TLS 1.3 elimina algoritmos criptográficos obsoletos, aprimora a segurança em relação às versões anteriores e visa criptografar o máximo possível do handshake. É altamente recomendável que os desenvolvedores comecem a testar o TLS 1.3 em seus aplicativos e serviços.

Observação

Ao avaliar uma PKI, é importante examinar as políticas e a aplicação das políticas de emissão de certificados. Conforme mencionado, adicionar autoridades de certificação (CAs) à configuração do Microsoft Entra ID permite que os certificados emitidos por essas CAs autentiquem qualquer usuário no Microsoft Entra ID. Por esse motivo, é importante considerar como e quando as ACs poderão emitir certificados e como implementarão os identificadores reutilizáveis. Quando houver necessidade dos administradores garantirem que apenas um certificado específico poderá ser usado para autenticar um usuário, os administradores deverão usar exclusivamente associações de alta afinidade para obter um nível de garantia mais alto de que apenas um certificado específico poderá autenticar o usuário. Para obter mais informações, consulte associações de alta afinidade.

Etapas para configurar e testar a CBA do Microsoft Entra

Algumas etapas da configuração precisam ser realizadas antes de você habilitar a CBA do Microsoft Entra. Primeiro, um administrador deve configurar as ACs confiáveis que emitem certificados de usuário. Conforme observado no diagrama a seguir, usamos o controle de acesso baseado em função para garantir que apenas administradores de privilégios mínimos sejam necessários para fazer alterações.

Um Administrador Global é necessário para gerenciar esse recurso.

Opcionalmente, também é possível configurar as associações de autenticação para mapear os certificados para a autenticação multifator ou de fator único e configurar as associações de nome de usuário para mapear o campo de certificado de um atributo do objeto de usuário. Os Administradores de Política de Autenticação podem definir as configurações relacionadas ao usuário. Uma vez concluídas todas as configurações, habilite a CBA do Microsoft Entra no locatário.

Etapa 1: Configurar as autoridades certificadoras com o repositório confiável baseado em PKI (Versão Prévia)

O Entra tem um novo repositório confiável de autoridades certificadoras (AC) baseado em infraestrutura de chave pública (PKI). O repositório confiável de AC baseado em PKI mantém as ACs dentro de um objeto de contêiner para cada PKI. Os administradores podem gerenciar ACs em um contêiner baseado em PKI com mais facilidade do que em uma lista plana de ACs.

O repositório confiável baseado em PKI tem limites mais altos para o número de ACs e o tamanho de cada arquivo de AC. Um repositório confiável baseado em PKI é compatível com até 250 ACs e um tamanho de 8 KB para cada objeto de AC. Recomendamos fortemente que você use para armazenar ACs o novo repositório confiável baseado em PKI, que é escalonável e compatível com novas funcionalidades, como as dicas de emissor.

Observação

Se estiver usando o repositório confiável antigo para configurar ACs, recomendamos que você configure um repositório confiável baseado em PKI.

As ACs confiáveis que emitem certificados de usuário precisam ser configuradas por um administrador. Somente administradores com privilégios mínimos são necessários para fazer alterações. Um repositório confiável baseado em PKI tem funções RBAC de Administrador de Autenticação de Privilégios e Administrador de Autenticação.

O recurso de upload da PKI do repositório confiável baseado em PKI está disponível apenas com as licenças P1 ou P2 do Microsoft Entra ID. No entanto, com a licença gratuita os administradores também podem carregar todas as ACs individualmente, em vez do arquivo da PKI, e configurar o repositório confiável baseado em PKI.

Configurar autoridades certificadoras usando o centro de administração do Microsoft Entra

Criar um objeto de contêiner de PKI

1. Criar um objeto de contêiner de PKI.

2. Entre no centro de administração do Microsoft Entra como um Administrador de Política de Autenticação.

3. Navegue até Proteção>Mostrar mais>Central de Segurança (ou Classificação de Segurança de Identidade) >Infraestrutura de Chave Pública (Versão Prévia).

4. Clique em + Criar PKI.

5. Insira o Nome de exibição.

6. Clique em Criar.

   

7. Selecione Colunas para adicionar ou excluir colunas.

8. Selecione Atualizar para atualizar a lista de PKIs.

Excluir um objeto de contêiner de PKI

1. Para excluir uma PKI, selecione a PKI e selecione Excluir. Se a PKI tiver ACs, insira o nome da PKI para reconhecer a exclusão de todas as ACs dentro dela e selecione Excluir.

   

Carregar ACs individuais no objeto de contêiner da PKI

1. Para carregar uma AC no contêiner da PKI:

   1. Clique em + Adicionar autoridade certificadora.

   2. Selecione o arquivo da AC.

   3. Selecione Sim se a AC for um certificado raiz, caso contrário, selecione Não.

   4. Em URL da lista de certificados revogados, defina a URL para a Internet para a CRL base da AC que contém todos os certificados revogados. Se a URL não estiver definida, a autenticação com certificados revogados não irá falhar.

   5. Em URL da lista de certificados revogados Delta, defina a URL para a Internet para a CRL que contém todos os certificados revogados desde que a última CRL base foi publicada.

   6. O sinalizador de Dicas do Emissor é habilitado por padrão. Desative as Dicas do Emissor caso a AC não deva ser incluída nas dicas do emissor.

   7. Selecione Salvar.

   8. Para excluir um Certificado de Autoridade de Certificação, selecione o certificado e clique em Excluir.

      

   9. Selecione Colunas para adicionar ou excluir colunas.

   10. Selecione Atualizar para atualizar a lista de ACs.

Carregar todas as ACs com o upload da PKI no objeto de contêiner da PKI

1. Para carregar todas as ACs de uma só vez no contêiner da PKI:

   1. Crie um objeto de contêiner de PKI ou abra um.
   2. Selecione Carregar PKI.
   3. Insira a URL http voltada para a internet na qual o arquivo .p7b está disponível.
   4. Insira a soma de verificação SHA256 do arquivo.
   5. Selecione o upload.
   6. Carregar a PKI é um processo assíncrono. À medida que as ACs são carregadas, cada AC fica disponível na PKI. A conclusão do upload da PKI pode levar até 30 minutos.
   7. Selecione Atualizar para atualizar as ACs.

   Para gerar a soma de verificação SHA256 do arquivo PKI.p7b, execute esse comando:

   Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256
   

Editar uma PKI

1. Para editar a PKI, selecione ... na linha da PKI e selecione Editar.
2. Insira um novo nome de PKI e selecione Salvar.

Editar uma AC

1. Para editar a AC, selecione ... na linha da AC e selecione Editar.
2. Insira novos valores para o tipo de certificado da Autoridade Certificadora (raiz/intermediário), a URL da CRL, a URL da CRL Delta e o sinalizador habilitado para Dicas do Emissor conforme necessário e selecione Salvar.

Restaurar uma PKI

1. Selecione a guia PKIs excluídas.
2. Selecione a PKI e selecione Restaurar PKI.

Restaurar uma AC

1. Selecione a guia ACs excluídas.
2. Selecione o arquivo da AC e selecione Restaurar autoridade certificadora.

Noções básicas sobre o atributo isIssuerHintEnabled na AC

As dicas do emissor retornam uma Indicação de AC Confiável como parte do handshake de TLS (Transport Layer Security). A lista de ACs confiáveis é definida para as entidades das ACs carregadas pelo locatário no repositório confiável do Entra. Para obter mais informações sobre dicas do emissor, confira Noções básicas sobre Dicas do Emissor.

Por padrão, os nomes das entidades de todas as ACs no repositório confiável do Microsoft Entra são enviados na forma de dicas. Se quiser retornar uma dica contendo apenas ACs específicas, defina o atributo da dica do emissor isIssuerHintEnabled como true.

Há um limite de caracteres de 16 KB para as dicas do emissor (nome da entidade da AC) que o servidor pode retornar para o cliente TLS. Como uma boa prática, defina o atributo isIssuerHintEnabled como true apenas para as ACs que emitem certificados de usuário.

Se várias ACs intermediárias do mesmo certificado raiz emitirem os certificados do usuário final, todos os certificados aparecerão por padrão no seletor de certificados. Mas se você definir isIssuerHintEnabled como true para ACs específicas, somente os certificados de usuário adequados irão aparecer no seletor de certificados. Para habilitar isIssuerHintEnabled, edite a AC e atualize o valor para true.

Configurar autoridades certificadoras usando as APIs do Microsoft Graph

As APIs do Microsoft Graph podem ser usadas para configurar ACs. Os exemplos a seguir mostram como usar o Microsoft Graph para executar operações de Criar, Ler, Atualizar ou Excluir (CRUD) para uma PKI ou AC.

Criar um objeto de contêiner de PKI

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Obter todos os objetos de PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Obter um objeto de PKI por ID de PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/
ConsistencyLevel: eventual

Carregar ACs com um arquivo .p7b

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
    	"uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
    	"sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Obter todas as ACs em uma PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities
ConsistencyLevel: eventual

Obter uma AC específica dentro de uma PKI por ID de AC

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
ConsistencyLevel: eventual

Atualizar o sinalizador de dicas de emissor de uma AC específica

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Configurar autoridades certificadoras (AC) usando o PowerShell. Para essa configuração, você pode usar o [PowerShell do Microsoft Graph] (/powershell/microsoftgraph/installation).

1. Inicie o PowerShell com privilégios de administrador.

2. Instale e importe o SDK do Microsoft Graph PowerShell.

   Install-Module Microsoft.Graph -Scope AllUsers
   Import-Module Microsoft.Graph.Authentication
   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
   

3. Conecte-se ao locatário e aceite tudo.

      Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>
   

Log de auditoria

Todas as operações CRUD em uma PKI ou AC dentro do repositório confiável são registradas em logs de auditoria do Microsoft Entra.

Perguntas Frequentes

Pergunta: Por que o upload de PKIs falha?

Resposta: Verifique se o arquivo da PKI é válido e pode ser acessado sem nenhum problema. O tamanho máximo do arquivo da PKI deve ser

Pergunta: O que é o acordo de nível de serviço (SLA) para uploads de PKI?

Resposta: O upload da PKI é uma operação assíncrona e pode levar até 30 minutos para ser concluído.

Pergunta: O que você deve fazer para gerar a soma de verificação SHA256 para o arquivo de PKI?

Resposta: Para gerar a soma de verificação SHA256 do arquivo PKI.p7b, execute esse comando:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Etapa 2: habilitar a CBA no locatário

Importante

Um usuário é considerado capaz para MFA quando está no escopo da Autenticação baseada em certificado na política de métodos de autenticação. Esse requisito de política significa que um usuário não pode usar a prova como parte de sua autenticação para registrar outros métodos disponíveis. Se não tiverem acesso aos certificados, os usuários serão bloqueados e não poderão registrar outros métodos para MFA. Os Administradores de Política de Autenticação só precisam habilitar a CBA para usuários que têm certificados válidos. Não inclua Todos os usuários para a CBA. Use apenas grupos de usuários com certificados válidos disponíveis. Para obter mais informações, confira Autenticação multifator do Microsoft Entra.

Para habilitar a CBA no centro de administração do Microsoft Entra, execute as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Política de Autenticação.

2. Navegue até Grupos>Todos os grupos>, selecione Novo grupo e crie um grupo para os usuários da CBA.

3. Navegue até Proteção>Métodos de autenticação>Autenticação baseada em certificado.

4. Em Habilitar e direcionar, clique em Habilitar.

5. Selecione Adicionar grupos para selecionar grupos específicos como o que você criou. Use grupos específicos em vez de Todos os usuários.

   

Após a autenticação baseada em certificado ser habilitada no locatário, todos os usuários no locatário verão a opção de entrar com um certificado. Somente os usuários habilitados para CBA podem se autenticar usando o certificado X.509.

Observação

O administrador de rede deve permitir o acesso ao ponto de extremidade do certauth para o ambiente de nuvem do cliente, além de login.microsoftonline.com. Desabilite a inspeção de TLS no ponto de extremidade de certauth para verificar se a solicitação de certificado do cliente é bem-sucedida como parte do handshake TLS.

Etapa 3: configurar a política de associação de autenticação

A política de associação de autenticação ajuda a determinar a força da autenticação para um fator único ou multifator. O nível de proteção padrão para os certificados no locatário é de autenticação de fator único.

Um Administrador de Política de Autenticação pode alterar o valor padrão de fator único para multifator e configurar regras de política personalizadas. As regras de vinculação de autenticação mapeiam os atributos do certificado — como Emissor, ID do Objeto da Política (OID) ou Emissor e OID da Política — para um valor e selecionam o nível de proteção padrão para essa regra. Você pode criar várias regras.

Para modificar as configurações padrão do locatário no centro de administração do Microsoft Entra, conclua as etapas a seguir:

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

2. Navegue até Proteção>Métodos de autenticação>Políticas.

3. Em Gerenciar, selecione Métodos de autenticação>Autenticação baseada em certificado.

   

4. Selecione Configurar para configurar a associação de autenticação e a associação de nome de usuário.

5. O atributo nível de proteção tem um valor padrão de Autenticação de fator único. Selecione Autenticação multifator para alterar o valor padrão para MFA.

   Observação

   O valor do nível de proteção padrão estará em vigor se nenhuma regra personalizada for adicionada. Se forem adicionadas regras personalizadas, o nível de proteção definido no nível da regra será respeitado.

   

6. Você também pode configurar as regras de associação de autenticação personalizada para ajudar a determinar o nível de proteção para os certificados do cliente. Elas podem ser configuradas usando os campos Entidade do emissor ou OID da política no certificado.

   As regras de vinculação de autenticação mapeiam os atributos do certificado (Emissor ou OID da Política) para um valor e selecionam o nível de proteção padrão para essa regra. Várias regras podem ser criadas.

   Para adicionar regras personalizadas, selecione Adicionar regra.

   

   Para criar uma regra por emissor do certificado, selecione Emissor do certificado.

   1. Selecione um Identificador de emissor do certificado na caixa de listagem.

   2. Selecione Autenticação multifator, associação de afinidade Baixa e clique em Adicionar. Quando solicitado, selecione Confirmo para concluir a adição da regra.

      

   Para criar uma regra por OID da Política, selecione OID da Política.

   1. Insira um valor para OID da Política.

   2. Selecione Autenticação multifator, associação de afinidade Baixa e clique em Adicionar. Quando solicitado, selecione Confirmo para concluir a adição da regra.

      

   Para criar uma regra por Emissor e OID da Política:

   1. Selecione Emissor de Certificado e OID da Política.

   2. Selecione um emissor e insira o OID da política.

   3. Em Força de autenticação, selecione Autenticação de fator único ou Autenticação multifator.

   4. Para associação de afinidade, selecione Baixa.

      

   5. Selecione Adicionar.

      

   6. Autentique com um certificado que tenha a OID de política 3.4.5.6 e que seja emitido por CN=CBATestRootProd. A autenticação deve passar e obter uma declaração multifator.

Importante

Há um problema conhecido em que um Administrador de Política de Autenticação de um locatário do Microsoft Entra configura uma regra de política de autenticação da CBA usando tanto o Emissor quanto o OID da Política. O problema afeta alguns cenários de registro de dispositivo, incluindo:

• Registro no Windows Hello para Empresas
• Registro da chave de segurança FIDO2
• Login por telefone sem senha no Windows

O registro de dispositivos com Workplace Join, Microsoft Entra ID e cenários de ingresso Híbrido de dispositivos no Microsoft Entra não são afetados. As regras de política de autenticação da CBA usando o Emissor OU a OID da Política não são afetadas. Para mitigar o problema, os administradores devem:

• Editar as regras de política de autenticação baseada em certificado que usam tanto as opções de Emissor quanto de OID da Política. Remover o requisito de Emissor ou de OID da Política e Salvar. -Ou-
• Remover a regra de política de autenticação que usa tanto o Emissor quanto a OID de Política. Criar regras que usam apenas o Emissor ou a OID de Política.

Estamos trabalhando para solucionar o problema.

Para criar uma regra por Emissor e Número de série:

1. Adicionar uma política de vinculação de autenticação. A política requer que qualquer certificado emitido por CN=CBATestRootProd com policyOID 1.2.3.4.6 precise apenas de uma vinculação de alta afinidade. O Emissor e o número de série são usados.

   

2. Selecione o campo do certificado. Nesse exemplo, vamos selecionar Emissor e Número de Série.

   

3. O único atributo de usuário com suporte é CertificateUserIds. Selecione Adicionar.

   

4. Selecione Salvar.

   O log de entradas mostra qual vinculação foi usada para entrar e os detalhes do certificado.

   

5. Selecione OK para salvar qualquer regra personalizada.

Importante

Insira o PolicyOID usando o formato do identificador de objeto. Por exemplo, se a política de certificação diz Todas as políticas de emissão, insira a OID como 2.5.29.32.0 ao adicionar a regra. A cadeia de caracteres Todas as Políticas de Emissão é inválida para o editor de regras e não entra em vigor.

Etapa 4: configurar a política de associação de nome de usuário

A política de associação de nome de usuário ajuda a validar o certificado do usuário. Por padrão, mapeamos a Entidade de Segurança no certificado para UserPrincipalName no objeto de usuário para determinar o usuário.

Um Administrador de Política de Autenticação pode substituir o padrão e criar um mapeamento personalizado. Para determinar como configurar a associação de nome de usuário, confira Como funciona a associação de nome de usuário.

Para outros cenários que usam o atributo certificateUserIds, confira IDs de usuário de certificado.

Importante

Se uma política de associação de nome de usuário usar atributos sincronizados, como o atributo certificateUserIds, onPremisesUserPrincipalName e userPrincipalName do objeto do usuário, esteja ciente de que as contas com privilégios administrativos no Active Directory (como aquelas com direitos delegados em objetos de usuário ou direitos administrativos no Microsoft Entra Connect Server) podem fazer alterações que afetam esses atributos no certificado Microsoft Entra ID.from.

1. Crie a associação de nome de usuário selecionando um dos campos de certificado X.509 para associá-la a um dos atributos de usuário. A ordem de associação de nome de usuário representa o nível de prioridade da associação. A primeira tem a prioridade mais alta e assim por diante.

   

   Se o campo do certificado X.509 especificado for encontrado no certificado, mas o Microsoft Entra ID não encontrar um objeto de usuário utilizando esse valor, a autenticação falhou. O Microsoft Entra ID tenta a próxima associação na lista.

2. Selecione Salvar para salvar as alterações.

A configuração final se parece com essa imagem:

Etapa 5: teste da configuração

Esta seção aborda como testar o certificado e as regras de associação de autenticação personalizadas.

Testar seu certificado

Como primeiro teste de configuração, você deve tentar entrar no portal MyApps usando o navegador no dispositivo.

1. Insira seu UPN (Nome UPN).

   

2. Selecione Avançar.

   

   Se você ativou outros métodos de autenticação, como entrada por telefone ou FIDO2, os usuários poderão ver uma tela de entrada diferente.

   

3. Selecione Entrar com um certificado.

4. Escolha o certificado de usuário correto na interface do usuário do seletor de certificados do cliente e selecione OK.

   

5. Os usuários devem ser entrar no portal MyApps.

Se a entrada for bem-sucedida, você saberá que:

• O certificado de usuário é provisionado no seu dispositivo de teste.
• O Microsoft Entra ID está configurado corretamente com ACs confiáveis.
• A associação de nome de usuário está configurada corretamente e o usuário é encontrado e autenticado.

Testar regras de associação de autenticação personalizada

Percorreremos um cenário para validar uma autenticação forte. Vamos criar duas regras de política de autenticação, uma usando a entidade do emissor para satisfazer a autenticação de fator único e outra usando a OID da Política para satisfazer a autenticação multifator.

1. Crie uma regra de entidade do emissor com nível de proteção como autenticação de fator único e valor definido para o valor do assunto das ACs. Por exemplo:

   CN = WoodgroveCA

2. Crie uma regra de OID da política, com nível de proteção como autenticação multifator e valor definido para uma das OIDs de política no certificado. Por exemplo: 1.2.3.4.

   

3. Crie uma política de acesso condicional para o usuário exigir a autenticação multifator seguindo as etapas em Acesso Condicional – Exigir MFA.

4. Navegue até o portal MyApps. Insira o UPN e selecione Avançar.

   

5. Selecione Entrar com um certificado.

   

   Se você habilitou outros métodos de autenticação, como a Entrada por telefone ou as Chaves de segurança, os usuários podem ver uma tela de entrada diferente.

   

6. Selecione o certificado do cliente e selecione Informações do Certificado.

   

7. O certificado será exibido e você poderá verificar os valores OID da política e do emissor.

8. Para ver os valores de OID de política, selecione Detalhes.

   

9. Selecione o certificado do cliente e selecione OK.

10. A OID de política no certificado corresponde ao valor configurado de 1.2.3.4 e atende à autenticação multifator. Da mesma forma, o emissor no certificado corresponde ao valor configurado de CN=WoodgroveCA e atende à autenticação de fator único.

11. Como a regra OID de política tem precedência sobre a regra do emissor, o certificado atende à autenticação multifator.

12. A política de Acesso Condicional para o usuário exige MFA e o certificado atende ao multifator. Portanto, o usuário pode entrar no aplicativo.

Testar política de associação de nome de usuário

A política de associação de nome de usuário ajuda a validar o certificado do usuário. Há três associações com suporte para a política de associação de nome de usuário:

• IssuerAndSerialNumber>CertificateUserIds
• IssuerAndSubject>CertificateUserIds
• Entidade>CertificateUserIds

Por padrão, o Microsoft Entra ID mapeia o Nome da Entidade de Segurança no certificado para o UserPrincipalName no objeto de usuário para determinar o usuário. Um Administrador de Política de Autenticação pode substituir o padrão e criar um mapeamento personalizado, conforme explicamos anteriormente.

Os Administradores de Política de Autenticação precisam habilitar as novas vinculações. Para se preparar, devem garantir que os valores corretos para as vinculações de nome de usuário correspondentes sejam atualizados no atributo CertificateUserIds do objeto de usuário:

• Para usuários somente na nuvem, use o centro de administração do Microsoft Entra ou as APIs do Microsoft Graph para atualizar o valor em CertificateUserIds.
• Para usuários sincronizados locais, use o Microsoft Entra Connect para sincronizar os valores do local seguindo as Regras do Microsoft Entra Connect ou sincronizando o valor AltSecId.

Importante

O formato dos valores de Emissor, Entidade e SerialNumber deve estar na ordem inversa do formato no certificado. Não adicione espaços a Emissor ou Entidade.

Mapeamento manual de número de série e emissor

Veja abaixo um exemplo de mapeamento manual de número de série e emissor. O valor do Emissor a ser adicionado é:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Para obter o valor correto para o número de série, execute o comando a seguir e armazene o valor mostrado em CertificateUserIds. A sintaxe do comando é:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~] 

Por exemplo:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Aqui temos um exemplo para o comando certutil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48 

O valor SerialNumber a ser adicionado em CertificateUserId é:

b24134139f069b49997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48 

Mapeamento manual de Emissor e Entidade

Veja abaixo um exemplo de mapeamento manual de Emissor e Entidade. O valor do Emissor é:

O valor da Entidade é:

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Mapeamento manual de Entidade

Veja abaixo um exemplo de mapeamento manual de Entidade. O valor da Entidade é:

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testar associação de afinidade

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

2. Navegue até Proteção>Métodos de autenticação>Políticas.

3. Em Gerenciar, selecione Métodos de autenticação>Autenticação baseada em certificado.

4. Selecione Configurar.

5. Defina a Associação de Afinidade Necessária no nível do locatário.

   Importante

   Tenha cuidado com a configuração de afinidade em todo o locatário. Você pode bloquear todo o locatário se alterar a Associação de Afinidade Necessária para o locatário e não tiver os valores adequados no objeto de usuário. Da mesma forma, se você criar uma regra personalizada que se aplique a todos os usuários e exigir associação de alta afinidade, os usuários no locatário poderão ser bloqueados.

   

6. Para testar, selecione Associação de Afinidade Necessária como Baixa.

7. Adicione uma associação de alta afinidade como SKI. Selecione Adicionar regra em Associação de nome de usuário.

8. Selecione SKI e Adicionar.

   

   Quando concluída, a regra se parecerá com esta captura de tela:

   

9. Atualize todos os objetos de usuário do atributo CertificateUserIds para ter o valor correto de SKI do certificado de usuário. Para obter mais informações, confira Padrões com suporte para CertificateUserIDs.

10. Crie uma regra personalizada para Associação de autenticação.

11. Selecione Adicionar.

    

    Quando concluída, a regra se parecerá com esta captura de tela:

    

12. Atualize o CertificateUserIds do usuário com o valor SKI correto do certificado com a política OID 9.8.7.5.

13. Teste com um certificado com a política OID 9.8.7.5 e o usuário deve ser autenticado com a associação de SKI e obter a MFA apenas com o certificado.

Habilitar CBA usando a API do Microsoft Graph

Para habilitar a CBA e configurar as associações de nome de usuário usando a API do Graph, conclua as etapas a seguir.

1. Inicie o Microsoft Graph Explorer.

2. Selecione Entrar no Explorador do Graph e entre no locatário.

3. Siga as etapas para consentir com a permissão delegada Policy.ReadWrite.AuthenticationMethod.

4. OBTENHA todos os métodos de autenticação:

   GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
   

5. Execute GET na configuração para o método de autenticação do certificado x509:

   GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate
   

6. Por padrão, o método de autenticação do certificado x509 está desabilitado. Para permitir que os usuários entrem com um certificado, você deve habilitar o método de autenticação e configurar as políticas de autenticação e associação de nome de usuário por meio de uma operação de atualização. Para atualizar a política, execute uma solicitação PATCH.

   Corpo da solicitação:

   PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
   Content-Type: application/json
   
   {
       "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
       "id": "X509Certificate",
       "state": "enabled",
       "certificateUserBindings": [
           {
               "x509CertificateField": "PrincipalName",
               "userProperty": "onPremisesUserPrincipalName",
               "priority": 1
           },
           {
               "x509CertificateField": "RFC822Name",
               "userProperty": "userPrincipalName",
               "priority": 2
           }, 
           {
               "x509CertificateField": "PrincipalName",
               "userProperty": "certificateUserIds",
               "priority": 3
           }
       ],
       "authenticationModeConfiguration": {
           "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
           "rules": [
               {
                   "x509CertificateRuleType": "issuerSubject",
                   "identifier": "CN=WoodgroveCA ",
                   "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
               },
               {
                   "x509CertificateRuleType": "policyOID",
                   "identifier": "1.2.3.4",
                   "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
               }
           ]
       },
       "includeTargets": [
           {
               "targetType": "group",
               "id": "all_users",
               "isRegistrationRequired": false
           }
       ]
   }
   

7. Você receberá um código de resposta 204 No content. Execute novamente a solicitação GET para garantir que as políticas sejam atualizadas corretamente.

8. Teste a configuração ao entrar com um certificado que atenda à política.

Habilitar a CBA usando o Microsoft PowerShell

1. Abra o PowerShell.
2. Conecte-se ao Microsoft Graph:

   Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
   

3. Crie uma variável para definir o grupo para usuários da CBA:

   $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
   

4. Defina o corpo da solicitação:

   $body = @{
   "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
   "id" = "X509Certificate"
   "state" = "enabled"
   "certificateUserBindings" = @(
       @{
           "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
           "x509CertificateField" = "SubjectKeyIdentifier"
           "userProperty" = "certificateUserIds"
           "priority" = 1
       },
       @{
           "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
           "x509CertificateField" = "PrincipalName"
           "userProperty" = "UserPrincipalName"
           "priority" = 2
       },
       @{
           "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
           "x509CertificateField" = "RFC822Name"
           "userProperty" = "userPrincipalName"
           "priority" = 3
       }
   )
   "authenticationModeConfiguration" = @{
       "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
       "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
       "rules" = @(
           @{
               "@odata.type" = "#microsoft.graph.x509CertificateRule"
               "x509CertificateRuleType" = "policyOID"
               "identifier" = "1.3.6.1.4.1.311.21.1"
               "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
           }
       )
   }
   "includeTargets" = @(
       @{
           "targetType" = "group"
           "id" = $group.Id
           "isRegistrationRequired" = $false
       }
   ) } | ConvertTo-Json -Depth 5
   

5. Execute a solicitação de PATCH:

   Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"
   

Próximas etapas

• Visão geral da CBA do Microsoft Entra
• Aprofundamento técnico para a CBA do Microsoft Entra
• Limitações com a CBA do Microsoft Entra
• Logon do Windows SmartCard utilizando a CBA do Microsoft Entra
• CBA do Microsoft Entra nos dispositivos móveis (Android e iOS)
• IDs de usuário de certificado
• Como migrar usuários federados
• perguntas frequentes