Обзор проверки подлинности на основе сертификата Microsoft Entra
Проверка подлинности на основе сертификатов (CBA) Microsoft Entra позволяет клиентам разрешать или требовать, чтобы пользователи могли выполнять проверку подлинности непосредственно с помощью сертификатов X.509 в соответствии с идентификатором Microsoft Entra для приложений и входа в браузер. Эта функция позволяет клиентам использовать устойчивую к фишингу аутентификацию и аутентифицироваться с помощью сертификата X.509 в их инфраструктуре открытых ключей (PKI).
Что такое Microsoft Entra CBA?
До появления облачной поддержки CBA в Microsoft Entra ID клиентам приходилось реализовывать федеративную проверку подлинности на основе сертификатов, что требует развертывания служб федерации Active Directory (AD FS) для проверки подлинности с помощью сертификатов X.509 в Microsoft Entra ID. При аутентификации на основе сертификатов Microsoft Entra клиенты могут проходить проверку подлинности непосредственно в Microsoft Entra ID и устранять необходимость федеративного AD FS, что приводит к упрощению среды клиентов и сокращению затрат.
На следующих изображениях показано, как Microsoft Entra CBA упрощает клиентскую среду, устраняя федеративные AD FS.
Проверка подлинности на основе сертификатов с помощью федеративной доменной службы Active Directory (AD FS)
Проверка подлинности на основе сертификата Microsoft Entra
Основные преимущества использования Microsoft Entra CBA
| Льготы | Описание |
|---|---|
| Удобство работы для пользователей | — Пользователи, которым требуется проверка подлинности на основе сертификатов, теперь могут напрямую пройти аутентификацию в Microsoft Entra ID и не нужно инвестировать в федеративную службу AD FS. - Пользовательский интерфейс портала позволяет пользователям легко настраивать способ сопоставления полей сертификата с атрибутом объекта-пользователя для поиска пользователя в арендаторе (привязки имени пользователя сертификата). - Пользовательский интерфейс портала для настройки политик проверки подлинности, чтобы определить, какие сертификаты являются однофакторными и многофакторными. |
| Простота развертывания и администрирования | — Microsoft Entra CBA — это бесплатная функция, и вам не нужны платные выпуски идентификатора Microsoft Entra. - Не требуются сложные локальные развертывания или настройка сети. — напрямую пройти проверку подлинности с Microsoft Entra ID. |
| Безопасный | — Локальные пароли не должны храниться в облаке в любой форме. — защищает учетные записи пользователей благодаря бесшовной интеграции с политиками условного доступа Microsoft Entra, включая многофакторную аутентификацию, устойчивую к фишингу (требуется лицензированная версия MFA), и блокировку устаревшей аутентификации. — Строгой поддержкой проверки подлинности, в которой пользователи могут определять политики проверки подлинности с помощью полей сертификата, таких как издатель или идентификатор политики (идентификаторы объектов), чтобы определить, какие сертификаты определяются как однофакторные и многофакторные. — Эта функция легко работает с функциями условного доступа и возможностями усиления проверки подлинности для применения многофакторной аутентификации, чтобы обеспечить безопасность ваших пользователей. |
Поддерживаемые сценарии
Поддерживаются следующие сценарии:
- Вход пользователей в браузерные приложения на всех платформах.
- Вход пользователей в мобильные приложения Office на платформах iOS и Android, а также собственные приложения Office в Windows, включая Outlook, OneDrive и т. д.
- Авторизация пользователей в встроенных браузерах на мобильных устройствах.
- Поддержка детальных правил проверки подлинности для многофакторной проверки подлинности с помощью субъекта издателя сертификата и идентификаторов OID политики.
- Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из полей сертификата:
- Альтернативное имя субъекта (SAN), PrincipalName и SAN RFC822Name
- Идентификатор ключа субъекта (SKI) и SHA1ПубличныйКлюч
- Издатель + тема, тема и издатель + SerialNumber
- Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из атрибутов объекта пользователя:
- Имя учетной записи пользователя
- Имя пользователя на локальном сервере
- CertificateUserIds
Неподдерживаемые сценарии
Не поддерживаются следующие сценарии:
- Подсказки центрa сертификации не поддерживаются, поэтому список сертификатов в интерфейсе выбора сертификатов для пользователей не фильтруется.
- Поддерживается только одна точка распространения списка отозванных сертификатов (CRL) для доверенного центра сертификации.
- CDP может быть представлена только URL-адресами с протоколом HTTP. Мы не поддерживаем URL-адреса с протоколом Online Certificate Status Protocol (OCSP) или протоколом Lightweight Directory Access Protocol (LDAP).
- Пароль в качестве метода проверки подлинности нельзя отключить, и параметр входа с помощью пароля отображается даже с помощью метода Microsoft Entra CBA, доступного пользователю.
Известные ограничения с сертификатами Windows Hello for Business
- Хотя Windows Hello For Business (WHFB) можно использовать для многофакторной проверки подлинности в идентификаторе Microsoft Entra, WHFB не поддерживается для новой MFA. Клиенты могут зарегистрировать сертификаты для ваших пользователей при помощи пары ключей WHFB. При правильной настройке эти сертификаты WHFB можно использовать для многофакторной проверки подлинности в идентификаторе Microsoft Entra. Сертификаты WHFB совместимы с проверкой подлинности на основе сертификатов Microsoft Entra (CBA) в браузерах Microsoft Edge и Chrome; Однако в настоящее время сертификаты WHFB несовместимы с Microsoft Entra CBA в сценариях, отличных от браузера (таких как приложения Office 365). Обходной путь — использовать параметр входа в Windows Hello или ключ безопасности для входа (если он доступен), так как этот параметр не использует сертификаты для проверки подлинности и избегает проблемы с Microsoft Entra CBA; Однако этот параметр может быть недоступен в некоторых старых приложениях.
Вне границ области применения
Следующие сценарии недоступны для Microsoft Entra CBA.
- Инфраструктура открытых ключей для создания сертификатов клиента. Клиентам требуется настроить инфраструктуру открытых ключей (PKI) и предоставить сертификаты для пользователей и устройств.
Следующие шаги
- Технический разбор для Microsoft Entra CBA
- Настройка Microsoft Entra CBA
- Microsoft Entra CBA на устройствах iOS
- Microsoft Entra CBA на устройствах Android
- вход в Windows с помощью смарт-карты Microsoft Entra CBA
- Идентификаторы пользователей сертификата
- Как переносить федеративных пользователей
- Вопросы и ответы