Comece com a autenticação baseada em certificado no Microsoft Entra ID através de federação.

A autenticação baseada em certificado (CBA) com federação permite que o Microsoft Entra ID autentique você com um certificado de cliente em um dispositivo Windows, Android ou iOS ao conectar sua conta online do Exchange a:

• Aplicações móveis da Microsoft, como o Microsoft Outlook e o Microsoft Word
• Clientes do Exchange ActiveSync (EAS)

A configuração desse recurso elimina a necessidade de inserir uma combinação de nome de usuário e senha em determinados aplicativos de email e do Microsoft Office em seu dispositivo móvel.

Observação

Como alternativa, as organizações podem implantar o Microsoft Entra CBA sem precisar de federação. Para obter mais informações, consulte a Visão geral sobre a autenticação baseada em certificado contra o Microsoft Entra ID.

Este tópico:

• Fornece etapas para configurar e utilizar o CBA para usuários de locatários nos planos do Office 365 Enterprise, Business, Education e US Government.
• Pressupõe que você já tenha um PKI (infraestrutura de chave pública) e AD FS configurado.

Requerimentos

Para configurar o CBA com federação, as seguintes afirmações devem ser verdadeiras:

• O CBA com federação só é suportado para ambientes federados para aplicativos de navegador, clientes nativos usando autenticação moderna ou bibliotecas MSAL. A única exceção é o Exchange Ative Sync (EAS) para Exchange Online (EXO), que pode ser usado para contas federadas e gerenciadas. Para configurar o Microsoft Entra CBA sem precisar de federação, consulte Como configurar a autenticação baseada em certificado do Microsoft Entra.
• A autoridade de certificação raiz e quaisquer autoridades de certificação intermediárias devem ser configuradas no Microsoft Entra ID.
• Cada autoridade de certificação deve ter uma lista de revogação de certificados (CRL) que possa ser referenciada por meio de uma URL voltada para a Internet.
• Você deve ter pelo menos uma autoridade de certificação configurada no Microsoft Entra ID. Você pode encontrar etapas relacionadas na seção Configurar as autoridades de certificação.
• Para clientes do Exchange ActiveSync, o certificado do cliente deve ter o endereço de email roteável do usuário no Exchange online no valor Nome Principal ou Nome RFC822 do campo Nome Alternativo da Entidade. Microsoft Entra ID mapeia o valor RFC822 para o atributo Proxy Address no diretório.
• Seu dispositivo cliente deve ter acesso a pelo menos uma autoridade de certificação que emite certificados de cliente.
• Um certificado de cliente para autenticação de cliente deve ter sido emitido para o seu cliente.

Importante

O tamanho máximo de uma CRL para que o Microsoft Entra ID seja baixado e armazenado em cache com êxito é de 20 MB, e o tempo necessário para baixar a CRL não deve exceder 10 segundos. Se o Microsoft Entra ID não puder baixar uma CRL, as autenticações baseadas em certificados que usam certificados emitidos pela autoridade de certificação correspondente falharão. As práticas recomendadas para garantir que os arquivos CRL estejam dentro das restrições de tamanho são manter o tempo de vida do certificado dentro de limites razoáveis e limpar certificados expirados.

Passo 1: Selecione a plataforma do seu dispositivo

Como primeiro passo, para a plataforma de dispositivo que lhe interessa, tem de rever o seguinte:

• O suporte a aplicativos móveis do Office
• Requisitos específicos de execução

As informações relacionadas existem para as seguintes plataformas de dispositivos:

• Android
• iOS

Etapa 2: Configurar as autoridades de certificação

Para configurar suas autoridades de certificação no Microsoft Entra ID, para cada autoridade de certificação, carregue o seguinte:

• A parte pública do certificado, em formato .cer
• As URLs voltadas para a Internet onde residem as Listas de Revogação de Certificados (CRLs)

O esquema para uma autoridade de certificação tem a seguinte aparência:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Para a configuração, você pode usar Microsoft Graph PowerShell:

1. Inicie o Windows PowerShell com privilégios de administrador.

2. Instale Microsoft Graph PowerShell:

       Install-Module Microsoft.Graph
   

Como primeira etapa de configuração, você precisa estabelecer uma conexão com seu locatário. Assim que existir uma conexão com seu locatário, você poderá revisar, adicionar, excluir e modificar as autoridades de certificação confiáveis definidas em seu diretório.

Conectar

Para estabelecer uma conexão com o seu locatário, use Connect-MgGraph:

    Connect-MgGraph

Recuperar

Para recuperar as autoridades de certificação confiáveis definidas em seu diretório, use Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Importante

A Microsoft recomenda que utilize funções com o menor número de permissões. Esta prática ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência ou quando você não pode usar uma função existente.

Para adicionar, modificar ou remover uma autoridade de certificação, use o Centro de administração do Microsoft Entra:

1. Entre no Centro de Administração Microsoft Entra como Administrador Global.

2. Navegue até Proteção>Mostrar mais>Central de Segurança (ou Identity Secure Score) >Autoridades de certificação.

3. Para carregar uma Autoridade Certificadora (AC), selecione Carregar:

   1. Selecione o arquivo CA.

   2. Selecione Sim se a autoridade de certificação for um certificado raiz, caso contrário, selecione Não.

   3. Para URL da Lista de Revogação de Certificados, defina a URL acessível pela Internet para a CRL base da autoridade de certificação que contém todos os certificados revogados. Se o URL não estiver definido, a autenticação com certificados revogados não falhará.

   4. Para URL da Lista de Revogação de Certificados Delta, defina a URL voltada para a Internet para a CRL que contém todos os certificados revogados desde que a última CRL base foi publicada.

   5. Selecione Adicionar.

      

4. Para excluir um certificado de autoridade de certificação, selecione-o e selecione Excluir.

5. Selecione Colunas para adicionar ou excluir colunas.

Etapa 3: Configurar a revogação

Para revogar um certificado de cliente, o Microsoft Entra ID busca a lista de revogação de certificados (CRL) das URLs carregadas como parte das informações da autoridade de certificação e a armazena em cache. O último carimbo de data/hora de publicação (propriedade Effective Date) no CRL é usado para garantir que o CRL ainda seja válido. A CRL é referenciada periodicamente para revogar o acesso aos certificados incluídos na lista.

Se for necessária uma revogação mais instantânea (por exemplo, se um usuário perder um dispositivo), o token de autorização do usuário pode ser invalidado. Para invalidar o token de autorização, defina o campo StsRefreshTokensValidFrom para esse usuário específico usando o Windows PowerShell. Você deve atualizar o campo StsRefreshTokensValidFrom para cada usuário para o qual deseja revogar o acesso.

Para garantir que a revogação persista, você deve definir o Data efetiva da CRL para uma data após o valor definido por StsRefreshTokensValidFrom e garantir que o certificado em questão esteja na CRL.

As etapas a seguir descrevem o processo para atualizar e invalidar o token de autorização definindo o campo StsRefreshTokensValidFrom.

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

A data que você definiu deve ser no futuro. Se a data não estiver no futuro, a propriedade StsRefreshTokensValidFrom não é definida. Se a data estiver no futuro, StsRefreshTokensValidFrom será definido como a hora atual (não a data indicada pelo comando Set-MsolUser).

Etapa 4: Testar sua configuração

Testando seu certificado

Como primeiro teste de configuração, você deve tentar entrar no Outlook Web Access ou SharePoint Online usando o navegador no dispositivo.

Se o seu início de sessão for bem-sucedido, saberá que:

• O certificado de usuário foi provisionado para seu dispositivo de teste
• O AD FS está configurado corretamente

Testando aplicativos móveis do Office

1. No seu dispositivo de teste, instale uma aplicação móvel do Office (por exemplo, OneDrive).
2. Inicie o aplicativo.
3. Introduza o seu nome de utilizador e, em seguida, selecione o certificado de utilizador que pretende utilizar.

Você deve estar conectado com êxito.

Testando aplicativos cliente do Exchange ActiveSync

Para acessar o Exchange ActiveSync (EAS) por meio da autenticação baseada em certificado, um perfil EAS contendo o certificado do cliente deve estar disponível para o aplicativo.

O perfil EAS deve conter as seguintes informações:

• O certificado de usuário a ser usado para autenticação

• O endpoint EAS (por exemplo, outlook.office365.com)

Um perfil EAS pode ser configurado e colocado no dispositivo através da utilização do gerenciamento de dispositivos móveis (MDM), como o Microsoft Intune, ou colocando manualmente o certificado no perfil EAS no dispositivo.

Testando aplicativos cliente EAS no Android

1. Configure um perfil EAS no aplicativo que satisfaça os requisitos da seção anterior.
2. Abra o aplicativo e verifique se o email está sincronizando.

Próximos passos

Informações adicionais sobre autenticação baseada em certificado em dispositivos Android.

Informações adicionais sobre autenticação baseada em certificado em dispositivos iOS.