Поделиться через


Обзор проверки подлинности на основе сертификата Microsoft Entra

Проверка подлинности на основе сертификатов (CBA) Microsoft Entra позволяет клиентам разрешать или требовать, чтобы пользователи могли выполнять проверку подлинности непосредственно с помощью сертификатов X.509 в соответствии с идентификатором Microsoft Entra для приложений и входа в браузер. Эта функция позволяет клиентам принимать фишинговую проверку подлинности и проходить проверку подлинности с помощью сертификата X.509 в инфраструктуре открытых ключей (PKI).

Что такое Microsoft Entra CBA?

Прежде чем поддержку CBA в Microsoft Entra ID, клиентам пришлось реализовать федеративную проверку подлинности на основе сертификатов, которая требует развертывания службы федерации Active Directory (AD FS) (AD FS) для проверки подлинности с помощью сертификатов X.509 в идентификаторе Microsoft Entra ID. При проверке подлинности на основе сертификатов Microsoft Entra клиенты могут проходить проверку подлинности непосредственно в идентификаторе Microsoft Entra и устранять необходимость федеративных ad FS с упрощенной средой клиентов и сокращением затрат.

На следующих изображениях показано, как Microsoft Entra CBA упрощает клиентскую среду, устраняя федеративные ad FS.

Проверка подлинности на основе сертификатов с помощью федеративных AD FS

Схема проверки подлинности на основе сертификатов с федерацией.

Проверка подлинности на основе сертификата Microsoft Entra

Схема проверки подлинности на основе сертификата Microsoft Entra.

Основные преимущества использования Microsoft Entra CBA

Льготы Description
Удобство работы для пользователей — Пользователи, которым требуется проверка подлинности на основе сертификатов, теперь могут напрямую пройти проверку подлинности в идентификаторе Microsoft Entra ИД, а не инвестировать в федеративные ad FS.
- Пользовательский интерфейс портала позволяет пользователям легко настраивать способ сопоставления полей сертификата с атрибутом объекта-пользователя для поиска пользователя в арендаторе (привязки имени пользователя сертификата).
- Пользовательский интерфейс портала для настройки политик проверки подлинности, чтобы определить, какие сертификаты являются однофакторными и многофакторными.
Простота развертывания и администрирования — Microsoft Entra CBA — это бесплатная функция, и вам не нужны платные выпуски идентификатора Microsoft Entra.
- Не требуются сложные локальные развертывания или настройка сети.
— непосредственно пройти проверку подлинности в идентификаторе Microsoft Entra.
Защита — Локальные пароли не должны храниться в облаке в любой форме.
— защищает учетные записи пользователей, легко работая с политиками условного доступа Microsoft Entra, включая многофакторную проверку подлинности с поддержкой фишинга (MFA требуется лицензированная версия) и блокируя устаревшую проверку подлинности.
— Строгой поддержкой проверки подлинности, в которой пользователи могут определять политики проверки подлинности с помощью полей сертификата, таких как издатель или идентификатор политики (идентификаторы объектов), чтобы определить, какие сертификаты определяются как однофакторные и многофакторные.
— Эта функция легко работает с функциями условного доступа и возможностями проверки подлинности для обеспечения безопасности пользователей.

Поддерживаемые сценарии

Поддерживаются следующие сценарии:

  • Вход пользователей в браузерные приложения на всех платформах.
  • Вход пользователей в мобильные приложения Office на платформах iOS и Android, а также собственные приложения Office в Windows, включая Outlook, OneDrive и т. д.
  • Вход пользователей в собственные браузеры для мобильных устройств.
  • Поддержка детальных правил проверки подлинности для многофакторной проверки подлинности с помощью субъекта издателя сертификата и идентификаторов OID политики.
  • Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из полей сертификата:
    • Альтернативное имя субъекта (SAN) и SAN RFC822Name
    • Идентификатор ключа субъекта (SKI) и SHA1PublicKey
    • Издатель + тема, тема и издатель + SerialNumber
  • Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из атрибутов объекта пользователя:
    • Имя субъекта-пользователя
    • onPremisesUserPrincipalName
    • CertificateUserIds

Неподдерживаемые сценарии

Не поддерживаются следующие сценарии:

  • Указания центра сертификации не поддерживаются, поэтому список сертификатов, отображаемых для пользователей в пользовательском интерфейсе средства выбора сертификатов, не ограничен.
  • Поддерживается только одна точка распространения из списка отзыва сертификатов (CDP) для доверенного центра сертификации.
  • CDP может быть представлена только URL-адресами с протоколом HTTP. URL-адреса с протоколом Online Certificate Status Protocol (OCSP) или протоколом LDAP не поддерживаются.
  • Пароль в качестве метода проверки подлинности нельзя отключить, и параметр входа с помощью пароля отображается даже с помощью метода Microsoft Entra CBA, доступного пользователю.

Известные ограничения с сертификатами Windows Hello for Business

  • Хотя Windows Hello For Business (WHFB) можно использовать для многофакторной проверки подлинности в идентификаторе Microsoft Entra, WHFB не поддерживается для новой MFA. Клиенты могут зарегистрировать сертификаты для пользователей с помощью пары ключей WHFB. При правильной настройке эти сертификаты WHFB можно использовать для многофакторной проверки подлинности в идентификаторе Microsoft Entra. Сертификаты WHFB совместимы с проверкой подлинности на основе сертификатов Microsoft Entra (CBA) в браузерах Edge и Chrome; Однако в настоящее время сертификаты WHFB несовместимы с Microsoft Entra CBA в сценариях, отличных от браузера (таких как приложения Office 365). Решением является использование параметра "Вход в Windows Hello или ключ безопасности" для входа (при наличии), так как этот параметр не использует сертификаты для проверки подлинности и избегает проблемы с Microsoft Entra CBA; Однако этот параметр может быть недоступен в некоторых старых приложениях.

Out of Scope (Вывод за область)

Следующие сценарии недоступны для Microsoft Entra CBA.

  • Инфраструктура открытых ключей для создания сертификатов клиента. Клиентам требуется настроить инфраструктуру открытых ключей (PKI) и предоставить сертификаты для пользователей и устройств.

Следующие шаги