Настраиваемые уровни проверки подлинности условного доступа
Администраторы также могут создавать до 15 собственных возможностей проверки подлинности, чтобы точно соответствовать их требованиям. Настраиваемая сила проверки подлинности может содержать любые поддерживаемые сочетания в предыдущей таблице.
Войдите в Центр администрирования Microsoft Entra с правами администратора.
Перейдите к защите>методам проверки подлинности>уровням надежности проверки.
Выберите новую степень надежности проверки подлинности.
Укажите описательное имя для нового уровня проверки подлинности.
При необходимости укажите описание.
Выберите любой из доступных методов, которые вы хотите разрешить.
Выберите Next и просмотрите конфигурацию политики.
Обновление и удаление настраиваемых методов аутентификации
Можно изменить настраиваемую силу проверки подлинности. Если она ссылается на политику условного доступа, ее нельзя удалить, и необходимо подтвердить любое изменение. Чтобы проверить, ссылается ли политика условного доступа на силу проверки подлинности, щелкните в столбце политики условного доступа.
Дополнительные параметры ключа безопасности FIDO2
Вы можете ограничить использование ключей безопасности FIDO2 на основе идентификаторов аттестации аутентификаторов (AAGUID). Эта возможность позволяет администраторам требовать ключ безопасности FIDO2 от конкретного производителя для доступа к ресурсу. Чтобы требовать определенный ключ безопасности FIDO2, сначала создайте настраиваемую силу проверки подлинности. Затем выберите ключ безопасности FIDO2и щелкните дополнительные параметры.
Рядом с Разрешенные ключи FIDO2 щелкните по +, скопируйте значение AAGUID и нажмите кнопку Сохранить.
Дополнительные параметры проверки подлинности на основе сертификатов
В политике методов проверки подлинности можно настроить, привязаны ли сертификаты в системе к уровням защиты однофакторной или многофакторной проверки подлинности на основе издателя сертификата или идентификатора политики. Для определенных ресурсов также можно требовать однофакторные или многофакторные сертификаты проверки подлинности, основанные на политике надежности проверки подлинности условного доступа.
С помощью расширенных параметров надежности проверки подлинности можно требовать определенного издателя сертификата или идентификатора политики для дальнейшего ограничения входа в приложение.
Например, Компания Contoso выдает смарт-карты сотрудникам с тремя различными типами многофакторных сертификатов. Один сертификат предназначен для конфиденциального разрешения, другого для секретного разрешения, а третий — для разрешения верхнего секрета. Каждый из них отличается свойствами сертификата, такими как издатель или идентификатор политики. Компания Contoso хочет убедиться, что только пользователи с соответствующим многофакторным сертификатом могут получить доступ к данным для каждой классификации.
В следующих разделах показано, как настроить дополнительные параметры для CBA с помощью Центра администрирования Microsoft Entra и Microsoft Graph.
Центр администрирования Microsoft Entra
Войдите в Центр администрирования Microsoft Entra с правами администратора.
Перейдите к защите>методам проверки подлинности>уровням надежности проверки.
Выберите новую степень надежности проверки подлинности.
Укажите описательное имя для нового уровня проверки подлинности.
При необходимости укажите описание.
Под проверкой подлинности на основе сертификатов (однофакторной или многофакторной) нажмите дополнительные параметры.
Вы можете выбрать издателей сертификатов в раскрывающемся меню, ввести издателей сертификатов и ввести допустимые OID политики. В раскрывающемся меню перечислены все центры сертификации клиента независимо от того, является ли они однофакторными или многофакторными. Издателей сертификатов можно настроить, используя раскрывающийся список издателей сертификатов из центров сертификации в вашем клиенте или используя другого издателя сертификатов по идентификатору ключа субъекта (SubjectkeyIdentifier) для сценариев, когда сертификат, который вы хотите использовать, не загружен в центры сертификации вашего клиента. Один из таких примеров — это сценарии внешних пользователей, где пользователь может выполнять проверку подлинности в своем домашнем клиенте, а сила проверки подлинности применяется к клиенту ресурсов.
- Если настроены оба атрибута издателей сертификатов и OID политики, существует логическая связь "И", и пользователь должен использовать сертификат, который имеет по крайней мере одного из издателей и один из OID политики из списка, чтобы удовлетворить требуемую силу аутентификации.
- Если настроен только атрибут издателей сертификатов, пользователь должен использовать сертификат, имеющий atleast одного из издателей, чтобы обеспечить надежность проверки подлинности.
- Если настроен только атрибут идентификаторов OID политики, пользователь должен использовать сертификат, который содержит по крайней мере один из этих идентификаторов, чтобы соответствовать требованиям надежности аутентификации.
Заметка
Мы разрешаем настройку максимум 5 эмитентов и 5 OID в конфигурации уровней надежности аутентификации.
- Щелкните Далее, чтобы просмотреть конфигурацию, а затем щелкните Создать.
Microsoft Graph
Чтобы создать новую политику надежности проверки подлинности условного доступа с помощью сочетания сертификатовConfiguration:
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
Чтобы добавить новую конфигурацию комбинаций в существующую политику:
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
Ограничения
Дополнительные параметры ключа безопасности FIDO2
- Дополнительные параметры ключа безопасности FIDO2. Дополнительные параметры не поддерживаются для внешних пользователей с домашним клиентом, расположенным в другом облаке Майкрософт, чем клиент ресурсов.
Дополнительные параметры проверки подлинности на основе сертификатов
В каждом сеансе браузера можно использовать только один сертификат. После входа с помощью сертификата он кэширован в браузере в течение сеанса. Вам не будет предложено выбрать другой сертификат, если он не соответствует требованиям к надежности проверки подлинности. Для перезапуска сеанса выйдите из системы и выполните вход заново. Затем выберите соответствующий сертификат.
Центры сертификации и сертификаты пользователей должны соответствовать стандарту X.509 версии 3. В частности, для принудительного применения ограничений SKI CBA издателя, сертификаты требуют действительных AKIs:
Заметка
Если сертификат не соответствует, проверка подлинности пользователя может пройти успешно, но при этом не удовлетворять ограничениям, установленным эмитентом для политики силы проверки подлинности.
Во время входа рассматриваются первые 5 идентификаторов политик из сертификата конечного пользователя и сравниваются с идентификаторами политики, настроенными в политике надежности проверки подлинности. Если сертификат конечного пользователя имеет более 5 OID политики, первые 5 OID политики в лексическом порядке, соответствующие требованиям к надежности проверки подлинности, учитываются.
Для пользователей B2B давайте рассмотрим пример, в котором Contoso пригласила пользователей из Fabrikam в свой тенант. В этом случае Contoso является арендатором ресурсов, а Fabrikam — основным арендатором.
- Если параметр доступа между клиентами off (Contoso не принимает MFA, выполняемую домашним клиентом), использование проверки подлинности на основе сертификатов в клиенте ресурсов не поддерживается.
- Если параметр доступа между клиентами On, Fabrikam и Contoso находятся в одном облаке Майкрософт, то есть клиенты Fabrikam и Contoso находятся в коммерческом облаке Azure или в облаке Azure для государственных организаций США. Кроме того, Компания Contoso доверяет MFA, которая была выполнена в домашнем клиенте. В этом случае:
- Доступ к конкретному ресурсу можно ограничить с помощью OID политики или другого издателя сертификатов по идентификатору SubjectkeyIdentifier в пользовательской политике степени надежности аутентификации.
- Доступ к определенным ресурсам можно ограничить с помощью параметра "Другие издатели сертификатов по SubjectkeyIdentifier" в пользовательской политике уровня надежности аутентификации.
- Когда параметр доступа между клиентами установлен в положение On, и Fabrikam, и Contoso не подключены к одному облаку Майкрософт — например, клиент Fabrikam находится в коммерческом облаке Azure, а клиент Contoso находится в облаке Azure для государственных организаций США, — доступ к определённым ресурсам нельзя ограничить с помощью идентификатора издателя или OID в пользовательской политике проверки подлинности.
Устранение неполадок с расширенными параметрами силы аутентификации.
Пользователи не могут использовать ключ безопасности FIDO2 для входа
Администратор условного доступа может ограничить доступ к определенным ключам безопасности. Когда пользователь пытается войти с помощью ключа, который он не может использовать, появляется сообщение Вы не можете попасть туда отсюда. Пользователь должен перезапустить сеанс и войти с помощью другого ключа безопасности FIDO2.
Как проверить идентификаторы политики сертификатов и издателя
Вы можете подтвердить, что свойства личного сертификата соответствуют конфигурации в расширенных параметрах проверки подлинности.
На устройстве пользователя войдите от имени администратора. Щелкните Выполнить, введите certmgr.msc, и нажмите клавишу ВВОД. Чтобы проверить идентификаторы политики OID, щелкните Личные, щелкните правой кнопкой мыши сертификат и выберите Подробности.
