Partilhar via

Como configurar a autenticação baseada em certificado do Microsoft Entra

  • Artigo

A autenticação baseada em certificado (CBA) do Microsoft Entra permite que as organizações configurem seus locatários do Microsoft Entra para permitir ou exigir que os usuários se autentiquem com certificados X.509 criados pela PKI (Enterprise Public Key Infrastructure) para entrada em aplicativos e navegadores. Esse recurso permite que as organizações adotem autenticação moderna sem senha resistente a phishing usando um certificado x.509.

Durante o início de sessão, os utilizadores também veem uma opção para se autenticarem com um certificado em vez de introduzirem uma palavra-passe. Se vários certificados correspondentes estiverem presentes no dispositivo, o usuário pode escolher qual usar. O certificado é validado em relação à conta de usuário e, se for bem-sucedido, o utilizador inicia sessão.

Siga estas instruções para configurar e usar o Microsoft Entra CBA para locatários nos planos Office 365 Enterprise e US Government. Você já deve ter uma PKI (infraestrutura de chave pública) configurada.

Pré-requisitos

Certifique-se de que os pré-requisitos seguintes estão em vigor:

  • Configure pelo menos uma autoridade de certificação (CA) e quaisquer CAs intermediárias no Microsoft Entra ID.
  • O usuário deve ter acesso a um certificado de usuário (emitido a partir de uma infraestrutura de chave pública confiável configurada no locatário) destinado à autenticação do cliente para autenticação no Microsoft Entra ID.
  • Cada autoridade de certificação deve ter uma lista de revogação de certificados (CRL) que possa ser referenciada a partir de URLs voltadas para a Internet. Se a autoridade de certificação confiável não tiver uma CRL configurada, a ID do Microsoft Entra não executará nenhuma verificação de CRL, a revogação de certificados de usuário não funcionará e a autenticação não será bloqueada.

Importante

Certifique-se de que a PKI é segura e não pode ser facilmente comprometida. No caso de um comprometimento, o invasor pode criar e assinar certificados de cliente e comprometer qualquer utilizador dentro do inquilino, tanto os utilizadores que são sincronizados a partir de servidores locais quanto os que estão apenas na nuvem. No entanto, uma forte estratégia de proteção de chaves, juntamente com outros controles físicos e lógicos, como cartões de ativação HSM ou tokens para o armazenamento seguro de artefatos, pode fornecer defesa em profundidade para evitar que invasores externos ou ameaças internas comprometam a integridade da PKI. Para obter mais informações, consulte Protegendo PKI.

Importante

Visite as recomendações da Microsoft para obter práticas recomendadas para o Microsoft Cryptographic envolvendo escolha de algoritmo, comprimento de chave e proteção de dados. Por favor, certifique-se de usar um dos algoritmos recomendados, comprimento de chave e curvas aprovadas pelo NIST.

Importante

Como parte das melhorias contínuas nas medidas de segurança, os endpoints Azure/M365 estão a adicionar suporte para TLS1.3 e espera-se que esse processo leve alguns meses para abranger os milhares de endpoints de serviço no Azure/M365. Isso inclui o ponto de extremidade do Microsoft Entra usado pela autenticação baseada em certificado (CBA) *.certauth.login.microsoftonline.com e *.certauth.login.microsoftonline.us do Microsoft Entra. O TLS 1.3 é a versão mais recente do protocolo de segurança mais implantado da Internet, que criptografa dados para fornecer um canal de comunicação seguro entre dois terminais. O TLS 1.3 elimina algoritmos criptográficos obsoletos, aumenta a segurança em relação às versões mais antigas e visa criptografar o máximo possível do handshake. É altamente recomendável que os desenvolvedores comecem a testar o TLS 1.3 em seus aplicativos e serviços.

Nota

Ao avaliar uma PKI, é importante rever as políticas de emissão e aplicação de certificados. Como mencionado, adicionar autoridades de certificação (CAs) à configuração do Microsoft Entra permite que certificados emitidos por essas CAs autentiquem qualquer usuário no Microsoft Entra ID. Por esse motivo, é importante considerar como e quando as autoridades de certificação podem emitir certificados e como implementam identificadores reutilizáveis. Quando os administradores precisam garantir que apenas um certificado específico possa ser usado para autenticar um usuário, os administradores devem usar exclusivamente associações de alta afinidade para obter um nível mais alto de garantia de que apenas um certificado específico é capaz de autenticar o usuário. Para obter mais informações, consulte Ligações de alta afinidade.

Etapas para configurar e testar o Microsoft Entra CBA

Algumas etapas de configuração precisam ser feitas antes de habilitar o Microsoft Entra CBA. Primeiro, um administrador deve configurar as CAs confiáveis que emitem certificados de usuário. Como visto no diagrama a seguir, usamos o controle de acesso baseado em função para garantir que apenas administradores com privilégios mínimos sejam necessários para fazer alterações.

Importante

A Microsoft recomenda que utilize funções com o menor número de permissões. Esta prática ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência ou quando você não pode usar uma função existente.

Opcionalmente, você também pode configurar associações de autenticação para mapear certificados para autenticação de fator único ou multifator e configurar associações de nome de usuário para mapear o campo de certificado para um atributo do objeto de usuário. Os administradores de políticas de autenticação podem definir configurações relacionadas ao usuário. Quando todas as configurações estiverem concluídas, habilite o Microsoft Entra CBA no locatário.

Diagrama das etapas necessárias para habilitar a autenticação baseada em certificado do Microsoft Entra.

Etapa 1: Configure as autoridades de certificação com um repositório confiável baseado em PKI (Pré-visualização)

O Entra tem um novo armazenamento confiável de autoridades de certificação (CA) baseado em PKI (infraestrutura de chave pública). O repositório de confiança de CAs baseado em PKI mantém as CAs dentro de um objeto contentor para cada PKI diferente. Os administradores podem gerenciar CAs em um contêiner com base em PKI mais facilmente do que uma lista simples de CAs.

O repositório de confiança baseado em PKI possui limites superiores para o número de autoridades de certificação (CAs) e o tamanho de cada arquivo de CA. Uma loja de confiança baseada em PKI suporta até 250 CAs e um tamanho de 8 KB para cada objeto de CA. É altamente recomendável que você use o novo armazenamento confiável baseado em PKI para armazenar CAs, que é escalável e oferece suporte a novas funcionalidades, como dicas de emissores.

Nota

Se você usar o repositório confiável antigo para configurar CAs, recomendamos configurar um armazenamento confiável baseado em PKI.

Um administrador deve configurar as autoridades de certificação confiáveis que emitem certificados de usuário. Apenas os administradores menos privilegiados são necessários para fazer alterações. Um armazenamento de confiança baseado em PKI tem a função RBAC Administrador de Autenticação de Privilégios.

O recurso de Upload PKI do armazenamento de confiança baseado em PKI está disponível apenas com a licença Microsoft Entra ID P1 ou P2. No entanto, com a licença gratuita também, os administradores podem carregar todas as CAs individualmente em vez do arquivo PKI e configurar o armazenamento confiável baseado em PKI.

Configurar autoridades de certificação usando o centro de administração do Microsoft Entra

Criar um objeto de contêiner PKI

  1. Crie um objeto de contêiner PKI.

  2. Entre no centro de administração do Microsoft Entra como um administrador de autenticação de privilégios .

  3. Navegue até Proteção>Mostrar mais>Centro de Segurança (ou Pontuação de Segurança de Identidade) >Infraestrutura de chave pública (visualização).

  4. Clique em + Criar PKI.

  5. Introduza o Nome a Apresentar.

  6. Clique em Criar.

    Diagrama das etapas necessárias para criar uma PKI.

  7. Selecione Colunas para adicionar ou excluir colunas.

  8. Selecione Atualizar para atualizar a lista de PKIs.

Excluir um objeto de contêiner PKI

  1. Para excluir uma PKI, selecione a PKI e selecione Excluir. Se a PKI tiver CAs, digite o nome da PKI para confirmar a exclusão de todas as CAs dentro dela e selecione Excluir.

    Diagrama das etapas necessárias para excluir uma PKI.

Carregar CAs individuais no objeto de contêiner PKI

  1. Para carregar uma autoridade de certificação no contêiner PKI:

    1. Clique em + Adicionar autoridade de certificação.

    2. Selecione o arquivo CA.

    3. Selecione Sim se a autoridade de certificação for um certificado raiz, caso contrário, selecione Não.

    4. Para a URL da Lista de Revogação de Certificados, defina a URL acessível pela Internet para a CRL base da autoridade de certificação, que contém todos os certificados revogados. Se o URL não estiver definido, a autenticação com certificados revogados não falhará.

    5. Para a URL da Lista de Revogação de Certificados Delta, defina a URL acessível pela Internet para a CRL que contém todos os certificados revogados desde a publicação da última base CRL.

    6. O indicador de Dicas do Emissor está ativado por padrão. Desative as dicas de emissor se a autoridade de certificação não deva ser incluída nessas dicas.

    7. Selecione Guardar.

    8. Para excluir um certificado de autoridade de certificação, selecione o certificado e selecione Excluir.

      Diagrama de como excluir um certificado de autoridade de certificação.

    9. Selecione Colunas para adicionar ou excluir colunas.

    10. Selecione Atualizar para atualizar a lista de autoridades de certificação.

Carregue todas as autoridades de certificação com PKI de upload no objeto de contêiner PKI

  1. Para carregar todas as ACs de uma vez no contentor PKI:

    1. Crie um objeto de contêiner PKI ou abra um.
    2. Selecione Carregar PKI.
    3. Digite o URL http voltado para a Internet onde o arquivo .p7b está disponível.
    4. Insira a soma de verificação SHA256 do arquivo.
    5. Selecione o carregamento.
    6. Carregar PKI é um processo assíncrono. À medida que cada CA é carregada, ela fica disponível na PKI. A conclusão do carregamento PKI pode levar até 30 minutos.
    7. Selecione Atualizar para atualizar os CAs.

    Para gerar a soma de verificação SHA256 do arquivo PKI .p7b, execute este comando:

    Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Editar uma PKI

  1. Para editar PKI, selecione ... na linha PKI e selecione Editar.
  2. Insira um novo nome PKI e selecione Salvar.

Editar uma autoridade de certificação

  1. Para editar a CA, selecione ... na linha da CA e selecione Editar.
  2. Insira novos valores para o tipo de Autoridade de Certificação (raiz/intermediária), URL da CRL, URL da CRL Delta, sinalizador habilitado para Dicas do Emissor conforme necessário e selecione Salvar.

Restaurar uma PKI

  1. Selecione a aba PKIs excluídas.
  2. Selecione a PKI e selecione Restaurar PKI.

Restaurar uma autoridade de certificação

  1. Selecione o separador CAs Eliminadas.
  2. Selecione o arquivo CA e selecione Restaurar autoridade de certificação.

Compreensão do atributo isIssuerHintEnabled na Autoridade de Certificação

As indicações do emissor enviam de volta uma Indicação de CA de Confiança como parte do handshake TLS (Transport Layer Security). A lista de autoridades de certificação confiáveis é configurada com base nas autoridades de certificação carregadas pelo cliente no repositório de confiança Entra. Para obter mais informações sobre dicas de emissor, consulte Noções básicas sobre dicas de emissor.

Por padrão, os nomes de assunto de todas as autoridades de certificação no armazenamento confiável do Microsoft Entra são enviados como dicas. Se você quiser enviar uma dica apenas com CAs específicas, defina o atributo de dica do emissor isIssuerHintEnabled como true.

Há um limite de caracteres de 16 KB para as dicas do emissor (nome do assunto da autoridade de certificação) que o servidor pode enviar de volta para o cliente TLS. Como prática boa, defina o atributo isIssuerHintEnabled como true somente para as autoridades de certificação que emitem certificados de usuário.

Se várias autoridades de certificação intermediárias do mesmo certificado raiz emitirem os certificados de usuário final, todos os certificados aparecerão no seletor de certificados. Mas se você definir isIssuerHintEnabled como true para CAs específicas, somente os certificados de usuário adequados aparecerão no seletor de certificados. Para habilitar isIssuerHintEnabled, edite a autoridade de certificação e atualize o valor para true.

Configurar autoridades de certificação usando as APIs do Microsoft Graph

As APIs do Microsoft Graph podem ser usadas para configurar autoridades de certificação. Os exemplos a seguir mostram como usar o Microsoft Graph para executar operações de criação, leitura, atualização ou exclusão (CRUD) para uma PKI ou CA.

Criar um objeto de contêiner PKI

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Obter todos os objetos PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Obter objeto PKI por PKI-id

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/
ConsistencyLevel: eventual

Fazer upload de autoridades de certificação com um ficheiro .p7b

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
    	"uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
    	"sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Obter todas as autoridades de certificação em uma PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities
ConsistencyLevel: eventual

Obtenha uma autoridade de certificação específica dentro de uma PKI por CA-id

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
ConsistencyLevel: eventual

Atualizar sinalizador de dicas específicas do emissor da autoridade de certificação

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Configurar autoridades de certificação (CA) usando o PowerShell Para essa configuração, você pode usar o [Microsoft Graph PowerShell] (/powershell/microsoftgraph/installation).

  1. Inicie o PowerShell com privilégios de administrador.

  2. Instale e importe o SDK do Microsoft Graph PowerShell.

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Conecte-se ao inquilino e aceite tudo.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Registo de auditoria

Todas as operações CRUD numa PKI ou CA dentro do armazenamento de confiança são registadas nos registos de auditoria do Microsoft Entra.

Diagrama de logs de auditoria.

FAQs

Pergunta: Por que a PKI de upload falha?

Resposta: Verifique se o arquivo PKI é válido e pode ser acessado sem problemas. O tamanho máximo do arquivo PKI deve ser

Pergunta: O que é o contrato de nível de serviço (SLA) para carregamento de PKI?

Resposta: O carregamento PKI é uma operação assíncrona e pode levar até 30 minutos para ser concluído.

Pergunta: Como você gera a soma de verificação SHA256 para o arquivo PKI?

Resposta: Para gerar a soma de verificação SHA256 do arquivo PKI.p7b, execute este comando:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Etapa 2: Habilitar o CBA no locatário

Importante

Um utilizador é considerado habilitado para MFA quando o utilizador está no âmbito para autenticação baseada em certificado na política de métodos de autenticação. Este requisito de política significa que um utilizador não pode utilizar o "proof up" como parte de sua autenticação para registar outros métodos disponíveis. Se os usuários não tiverem acesso a certificados, eles serão bloqueados e não poderão registrar outros métodos para MFA. Os administradores de políticas de autenticação precisam habilitar o CBA apenas para usuários que tenham certificados válidos. Não inclua Todos os utilizadores para CBA. Use apenas grupos de usuários com certificados válidos disponíveis. Para obter mais informações, consulte a autenticação multifatores do Microsoft Entra.

Para habilitar o CBA no centro de administração do Microsoft Entra, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Grupos>Todos os grupos>, selecione Novo grupo e crie um grupo para utilizadores do CBA.

  3. Navegue até Proteção>Métodos de autenticação>Autenticação baseada em certificado.

  4. Em Ativar e Direcionar, selecione Ativare clique em Reconheço.

  5. Clique Selecionar grupos, clique Adicionar grupos.

  6. Escolha grupos específicos como o que você criou e clique em Selecionar. Use grupos específicos em vez de Todos os usuários.

  7. Quando terminar, clique em Salvar.

    Captura de tela de como ativar o CBA.

Depois que a autenticação baseada em certificado estiver habilitada no locatário, todos os usuários no locatário verão a opção para entrar com um certificado. Somente os usuários habilitados para CBA podem se autenticar usando o certificado X.509.

Nota

O administrador de rede deve permitir o acesso ao ponto de extremidade certauth para o ambiente de nuvem do cliente, além do login.microsoftonline.com. Desative a inspeção TLS no endpoint certauth para garantir que o pedido de certificado do cliente seja bem-sucedido como parte do aperto de mão TLS.

Etapa 3: Configurar a política de vinculação de autenticação

A política de vinculação de autenticação ajuda a determinar se a robustez da autenticação será de um único fator ou multifator. O nível de proteção padrão para todos os certificados no locatário é Autenticação de fator único. A vinculação de afinidade padrão ao nível do locatário é Baixa. Um Administrador de Política de Autenticação pode alterar o valor padrão de fator único para multifator e, se forem feitas alterações, todos os certificados na instância serão considerados de força autenticação multifator. Da mesma forma, a associação de afinidade no nível do locatário pode ser definida como High o que significa que todos os certificados serão validados usando apenas atributos de alta afinidade.

Importante

O administrador deve definir o valor predefinido do inquilino para um valor aplicável à maioria dos certificados e criar regras personalizadas somente para certificados específicos que precisam de um nível de proteção diferente e/ou vínculo de afinidade diferente do valor predefinido do inquilino. Todas as configurações de métodos de autenticação vão para o mesmo arquivo de política, portanto, a criação de várias regras redundantes pode atingir o limite do arquivo de política.

As regras de vinculação de autenticação mapeiam atributos de certificado, como Emissor ou ID de Objeto de Política (OID) ou Emissor e OID de Política, para um valor e selecionam o nível de proteção padrão, bem como a vinculação de afinidade para essa regra. Para modificar as configurações padrão do locatário e criar regras personalizadas no centro de administração do Microsoft Entra, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Proteção>Métodos de autenticação>Políticas.

  3. Em Gerenciar, selecione Métodos>de autenticação Autenticação baseada em certificado.

    Captura de ecrã da política de Autenticação.

  4. Selecione Configurar para configurar a vinculação de autenticação e a vinculação de nome de usuário.

  5. O atributo de nível de proteção tem um valor padrão de autenticação de fator único. Selecione Autenticação multifator para alterar o valor padrão para MFA.

    Nota

    O valor do nível de proteção padrão estará em vigor se nenhuma regra personalizada for adicionada. Se forem adicionadas regras personalizadas, o nível de proteção definido no nível da regra será respeitado.

    Captura de tela de como alterar a política padrão para MFA.

  6. Você também pode configurar regras de vinculação de autenticação personalizadas para determinar o nível de proteção para certificados de cliente que precisam de valores diferentes para nível de proteção ou vinculação de afinidade do que o padrão inicial. As regras podem ser configuradas usando o campo "Assunto do Emissor" ou "OID de Política", ou ambos, no certificado.

    As regras de vinculação de autenticação mapeiam os atributos do certificado (emissor ou Policy OID) para um valor e selecionam o nível de proteção padrão para essa regra. Várias regras podem ser criadas. Para a configuração abaixo, vamos supor que o padrão do locatário seja autenticação multifator e vinculação de afinidade baixa.

    Para adicionar regras personalizadas, selecione Adicionar regra.

    Captura de ecrã de como adicionar uma regra.

    Para criar uma regra por emissor de certificado, selecione Emissor de certificado.

    1. Selecione um identificador de emissor de certificado na caixa de listagem.

    2. Selecione de autenticação multifator, mas Vinculação de afinidade de alto e clique em Adicionar. Quando solicitado, clique em Reconheço para concluir a adição da regra.

      Captura de ecrã da política de autenticação multifator.

    Para criar uma regra por Policy OID, selecione Policy OID.

    1. Insira um valor para Policy OID.

    2. Selecione de autenticação de fator único , Ligação de afinidade de baixa e clique em Adicionar. Quando solicitado, clique em Reconheço para concluir a adição da regra.

      Captura de ecrã do mapeamento para Policy OID.

    Para criar uma regra por Emissor e OID de Política:

    1. Selecione Emissor de certificado e OID de política.

    2. Selecione um emissor e insira o OID da política.

    3. Em Força de autenticação, selecione Autenticação multifator.

    4. Para Vinculação de afinidade, selecione High.

      Captura de tela de como selecionar uma associação de baixa afinidade.

    5. Selecione Adicionar.

      Captura de tela de como adicionar uma associação de baixa afinidade.

    6. Autentique-se com um certificado que tenha a política OID de 3.4.5.6 e emitido por CN=CBATestRootProd. A autenticação deve ser bem-sucedida e obter uma solicitação multifator.

Importante

Há um problema conhecido em que um Administrador de Política de Autenticação de Locatário do Microsoft Entra configura uma regra de política de autenticação CBA usando o Emissor e o OID de Política. O problema afeta alguns cenários de registro de dispositivo, incluindo:

  • Inscrição no Windows Hello para Empresas
  • Registo da chave de segurança FIDO2
  • Login de telefone sem senha do Windows

O registo de dispositivos com o serviço de adesão ao Workplace, o ID do Microsoft Entra e os cenários de adesão de dispositivos híbridos do Microsoft Entra não são afetados. As regras da política de autenticação CBA que usam o Emissor ou o OID da Política não são afetadas. Para atenuar, os administradores devem:

  • Edite as regras de política de autenticação baseada em certificado que usam as opções Emissor e OID de Política. Remova o requisito de OID de emissor ou de política e salve. -Ou-
  • Remova a regra de política de autenticação que usa o Emissor e o OID da Política. Crie regras que usem apenas o OID do Emissor ou da Política.

Estamos a trabalhar para corrigir o problema.

Para criar uma regra por Emissor e Número de Série:

  1. Adicione uma política de vinculação de autenticação. A política requer que qualquer certificado emitido por CN=CBATestRootProd com policyOID 1.2.3.4.6 precise apenas de ligação de alta afinidade. O emissor e o número de série são usados.

    A captura de tela do Emissor e do Número de Série foi adicionada ao centro de administração do Microsoft Entra.

  2. Selecione o campo de certificado. Neste exemplo, vamos selecionar Emissor e Número de série.

    Captura de tela de como selecionar Emissor e Número de Série.

  3. O único atributo de usuário suportado é CertificateUserIds. Selecione Adicionar.

    Captura de ecrã de como adicionar o Emissor e o Número de Série.

  4. Selecione Guardar.

    O log de entrada mostra qual associação foi usada para entrar e os detalhes do certificado.

    Captura de ecrã do registo de início de sessão.

  5. Selecione Ok para salvar qualquer regra personalizada.

Importante

Insira o PolicyOID usando o formato de identificador de objeto . Por exemplo, se a política de certificado disser Todas as Políticas de Emissão, insira o OID como 2.5.29.32.0 quando adicionar a regra. A cadeia de caracteres Todas as Políticas de Emissão é inválida para o editor de regras e não entra em vigor.

Etapa 4: Configurar a política de vinculação de nome de usuário

A política de vinculação de nome de usuário ajuda a validar o certificado do usuário. Por padrão, mapeamos Nome Principal no certificado para UserPrincipalName no objeto de usuário para determinar o usuário.

Um administrador de política de autenticação pode substituir o padrão e criar um mapeamento personalizado. Para determinar como configurar a vinculação de nome de usuário, consulte Como funciona a vinculação de nome de usuário.

Para outros cenários que usam o atributo certificateUserIds, consulte IDs de usuário de certificado.

Importante

Se uma política de vinculação de nome de usuário usar atributos sincronizados, como o atributo certificateUserIds, onPremisesUserPrincipalName e userPrincipalName do objeto de usuário, lembre-se de que contas com privilégios administrativos no Ative Directory (como aquelas com direitos delegados em objetos de usuário ou direitos administrativos no Microsoft Entra Connect Server) podem fazer alterações que afetam esses atributos no Microsoft Entra ID.

  1. Crie a associação de nome de usuário selecionando um dos campos de certificado X.509 para vincular a um dos atributos de usuário. A ordem de vinculação do nome de usuário representa o nível de prioridade da vinculação. O primeiro tem a maior prioridade, e assim por diante.

    Captura de ecrã de uma política de associação de nome de utilizador.

    Se o campo de certificado X.509 especificado for encontrado no certificado, mas o Microsoft Entra ID não encontrar um objeto de usuário usando esse valor, a autenticação falhará. Microsoft Entra ID tenta a próxima associação na lista.

  2. Selecione Guardar para guardar as alterações.

A configuração final é semelhante a esta imagem:

Captura de tela da configuração final.

Etapa 5: Testar sua configuração

Esta seção aborda como testar seu certificado e regras de vinculação de autenticação personalizadas.

Teste o seu certificado

Como um primeiro teste de configuração, você deve tentar entrar no portal MyApps usando seu navegador no dispositivo.

  1. Introduza o seu Nome Principal de Utilizador (UPN).

    Captura de ecrã do Nome Principal do Utilizador.

  2. Selecione Seguinte.

    Captura de ecrã do início de sessão com certificado.

    Se tiver ativado outros métodos de autenticação, como o início de sessão por telefone ou FIDO2, os utilizadores poderão ver um ecrã de início de sessão diferente.

    Captura de ecrã do início alternativo de sessão.

  3. Selecione Entrar com um certificado.

  4. Escolha o certificado de usuário correto na interface do usuário do seletor de certificados do cliente e selecione OK.

    Captura de tela da interface do usuário do seletor de certificados.

  5. Os usuários devem estar conectados ao portal MyApps.

Se o seu início de sessão for bem-sucedido, saberá que:

  • O certificado de usuário é provisionado em seu dispositivo de teste.
  • O Microsoft Entra ID está configurado corretamente com CAs confiáveis.
  • A associação de nome de usuário está configurada corretamente e o usuário é encontrado e autenticado.

Testar regras de vinculação de autenticação personalizadas

Vamos percorrer um cenário em que validamos a autenticação forte. Criamos duas regras de política de autenticação, uma usando o sujeito do emissor para satisfazer a autenticação de fator único e outra usando a política OID para satisfazer a autenticação multifator.

  1. Crie uma regra de assunto do emissor com nível de proteção como autenticação de fator único e valor definido para o valor de assunto das autoridades de certificação. Por exemplo:

    CN = WoodgroveCA

  2. Crie uma regra OID de política, com nível de proteção como autenticação multifatorial e valor definido como um dos OIDs de política no seu certificado. Por exemplo, 1.2.3.4.

    Captura de ecrã da regra Policy OID.

  3. Crie uma política de Acesso Condicional para que o usuário exija autenticação multifator seguindo as etapas em Acesso Condicional - Exigir MFA.

  4. Navegue até o portal MyApps. Introduza o seu UPN e selecione Seguinte.

    Captura de ecrã do Nome Principal do Utilizador.

  5. Selecione Entrar com um certificado.

    Captura de ecrã do início de sessão com certificado.

    Se tiver ativado outros métodos de autenticação, como o início de sessão por telefone ou chaves de segurança, os utilizadores poderão ver um ecrã de início de sessão diferente.

    Captura de ecrã da alternativa de início de sessão.

  6. Selecione o certificado do cliente e selecione Informações do certificado.

    Captura de tela do seletor de clientes.

  7. O certificado é exibido e você pode verificar os valores OID do emissor e da política. Captura de ecrã do emissor.

  8. Para ver os valores OID da política, selecione Detalhes.

    Captura de ecrã dos detalhes de autenticação.

  9. Selecione o certificado do cliente e selecione OK.

  10. O OID de política no certificado corresponde ao valor configurado de 1.2.3.4 e satisfaz a autenticação multifator. Da mesma forma, o emissor no certificado corresponde ao valor configurado de CN=WoodgroveCA e satisfaz a autenticação de fator único.

  11. Como a regra OID de política tem precedência sobre a regra do emissor, o certificado satisfaz a autenticação multifator.

  12. A política de Acesso Condicional para o utilizador requer MFA e o certificado satisfaz multifatores, para que o utilizador possa aceder à aplicação.

Testar a política de vinculação de nome de usuário

A política de vinculação de nome de usuário ajuda a validar o certificado do usuário. Há três associações que são suportadas para a política de vinculação de nome de usuário:

  • EmissorESerialNumber>IdsDeUtilizadoresDoCertificado
  • EmissorESujeito>IDsDeUtilizadorDeCertificado
  • Assunto>CertificateUserIds

Por padrão, o ID do Microsoft Entra mapeia Nome Principal no certificado para UserPrincipalName no objeto de usuário para determinar o usuário. Um administrador de política de autenticação pode substituir o padrão e criar um mapeamento personalizado, conforme explicado anteriormente.

Um administrador de política de autenticação precisa habilitar as novas associações. Para se preparar, eles devem certificar-se de que os valores corretos para as associações de nome de usuário correspondentes sejam atualizados no atributo CertificateUserIds do objeto de usuário:

Importante

O formato dos valores de Emitente, Assunto e Número de Série deve estar na ordem inversa do seu formato no certificado. Não adicione espaço no Emissor ou Assunto.

Mapeamento manual do emissor e do número de série

Aqui está um exemplo de mapeamento manual do Emissor e do Número de Série. O valor acrescentado do emitente é:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Captura de ecrã do valor do Emissor.

Para obter o valor correto para o número de série, execute o seguinte comando e armazene o valor mostrado em CertificateUserIds. A sintaxe do comando é:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Por exemplo:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Aqui está um exemplo para o comando certutil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

O valor SerialNumber a ser adicionado em CertificateUserId é:

B24134139F069B49997212A86BA0EF48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Mapeamento manual de problemas e assuntos

Aqui está um exemplo de mapeamento manual do Problema e do Assunto. O valor do emitente é:

Captura de tela do valor Emissor quando usado com várias associações.

O valor de Assunto é:

Captura de ecrã do valor do Assunto.

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Mapeamento manual do assunto

Aqui está um exemplo de mapeamento manual do assunto. O valor do Assunto é:

Captura de ecrã de outro valor de Assunto.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Ensaio de ligação por afinidade

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Proteção>Métodos de autenticação>Políticas.

  3. Em Gerenciar, selecione Métodos>de autenticação Autenticação baseada em certificado.

  4. Selecione Configurar.

  5. Defina a Vinculação de Afinidade Necessária no nível do locatário.

    Importante

    Tenha cuidado com a configuração de afinidade abrangente para todos os arrendatários. Você pode impedir o acesso de todo o locatário se alterar a Vinculação de Afinidade Necessária do locatário e não possuir valores corretos no objeto de usuário. Da mesma forma, se você criar uma regra personalizada que se aplique a todos os usuários e exija uma associação de alta afinidade, os usuários no locatário poderão ser bloqueados.

    Captura de tela de como definir a associação de afinidade necessária.

  6. Para testar, selecione Ligação de afinidade obrigatória para ser Baixa.

  7. Adicione uma ligação de alta afinidade como SKI. Selecione Adicionar regra em Vinculação de nome de utilizador.

  8. Selecione SKI e selecione Adicionar.

    Captura de tela de como adicionar uma associação de afinidade.

    Quando terminar, a regra fica como nesta imagem:

    Captura de tela de uma associação de afinidade concluída.

  9. Atualize o atributo CertificateUserIds de todos os objetos de usuário de forma a ter o valor correto de SKI do certificado de usuário. Para obter mais informações, consulte Padrões suportados para CertificateUserIDs.

  10. Crie uma regra personalizada para vinculação de autenticação.

  11. Selecione Adicionar.

    Captura de ecrã de uma ligação de autenticação personalizada.

    Quando terminar, a regra se parece com esta captura de tela:

    Captura de ecrã de uma regra personalizada.

  12. Atualize o usuário CertificateUserIds com o valor SKI correto do certificado com a política OID 9.8.7.5.

  13. Teste com um certificado com a política OID 9.8.7.5 e o utilizador deve ser autenticado com a associação SKI e obter MFA apenas com o certificado.

Habilitar o CBA usando a API do Microsoft Graph

Para habilitar o CBA e configurar associações de nome de usuário usando a API do Graph, conclua as etapas a seguir.

  1. Vá para Microsoft Graph Explorer.

  2. Selecione Entrar no Graph Explorer e entre no seu locatário.

  3. Siga as etapas para consentir à permissão delegada Policy.ReadWrite.AuthenticationMethod.

  4. OBTER todos os métodos de autenticação:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. OBTENHA a configuração para o método de autenticação de certificado x509:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Por padrão, o método de autenticação de certificado x509 está desabilitado. Para permitir que os usuários entrem com um certificado, você deve habilitar o método de autenticação e configurar as políticas de vinculação de autenticação e nome de usuário por meio de uma operação de atualização. Para atualizar a política, execute uma solicitação PATCH.

    Corpo do pedido:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Você recebe um código de resposta 204 No content. Execute novamente a solicitação GET para garantir que as políticas sejam atualizadas corretamente.

  8. Teste a configuração entrando com um certificado que satisfaça a política.

Habilitar o CBA usando o Microsoft PowerShell

  1. Abra o PowerShell.
  2. Conecte-se ao Microsoft Graph: 
    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
  3. Crie uma variável para definir o grupo para usuários do CBA: 
    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
  4. Defina o corpo da solicitação: 
    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5
  5. Execute a solicitação PATCH: 
    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Próximos passos