Autentiseringsstyrkor för anpassad villkorlig åtkomst

Administratörer kan också skapa upp till 15 av sina egna anpassade autentiseringsstyrkor för att exakt passa deras krav. En anpassad autentiseringsstyrka kan innehålla någon av de kombinationer som stöds i föregående tabell.

1. Logga in på administrationscentret för Microsoft Entra som administratör.

2. Bläddra till Skyddsautentiseringsmetoder>>Autentiseringsstyrkor.

3. Välj Ny autentiseringsstyrka.

4. Ange ett beskrivande namn för din nya autentiseringsstyrka.

5. Du kan också ange en beskrivning.

6. Välj någon av de tillgängliga metoder som du vill tillåta.

7. Välj Nästa och granska principkonfigurationen.

   

Uppdatera och ta bort anpassade autentiseringsstyrkor

Du kan redigera en anpassad autentiseringsstyrka. Om den refereras till av en princip för villkorsstyrd åtkomst kan den inte tas bort och du måste bekräfta eventuella ändringar. Om du vill kontrollera om en autentiseringsstyrka refereras till av en princip för villkorsstyrd åtkomst klickar du på kolumnen Principer för villkorsstyrd åtkomst .

Avancerade alternativ för FIDO2-säkerhetsnyckel

Du kan begränsa användningen av FIDO2-säkerhetsnycklar baserat på deras Authenticator Attestation GUID (AAGUIDs). Med den här funktionen kan administratörer kräva en FIDO2-säkerhetsnyckel från en specifik tillverkare för att få åtkomst till resursen. Om du vill kräva en specifik FIDO2-säkerhetsnyckel skapar du först en anpassad autentiseringsstyrka. Välj sedan FIDO2-säkerhetsnyckel och klicka på Avancerade alternativ.

Bredvid Tillåtna FIDO2-nycklar klickar du på +, kopierar AAGUID-värdet och klickar på Spara.

Avancerade alternativ för certifikatbaserad autentisering

I principen Autentiseringsmetoder kan du konfigurera om certifikat i systemet är bundna till skyddsnivåer för enfaktors- eller multifaktorautentisering, baserat på certifikatutfärdaren eller princip-OID. Du kan också kräva autentiseringscertifikat med en faktor eller flera faktorer för specifika resurser, baserat på principen för autentisering med villkorsstyrd åtkomst.

Genom att använda avancerade alternativ för autentiseringsstyrka kan du kräva en specifik certifikatutfärdare eller princip-OID för att ytterligare begränsa inloggningar till ett program.

Contoso utfärdar till exempel smartkort till anställda med tre olika typer av multifaktorcertifikat. Ett certifikat är för konfidentiellt godkännande, ett annat för hemligt godkännande, och ett tredje är för topphemlig klarering. Var och en särskiljs av certifikatets egenskaper, till exempel princip-OID eller utfärdare. Contoso vill se till att endast användare med rätt multifaktorcertifikat kan komma åt data för varje klassificering.

I nästa avsnitt visas hur du konfigurerar avancerade alternativ för CBA med hjälp av administrationscentret för Microsoft Entra och Microsoft Graph.

Microsoft Entra administrationscenter

1. Logga in på administrationscentret för Microsoft Entra som administratör.

2. Bläddra till Skyddsautentiseringsmetoder>>Autentiseringsstyrkor.

3. Välj Ny autentiseringsstyrka.

4. Ange ett beskrivande namn för din nya autentiseringsstyrka.

5. Du kan också ange en beskrivning.

6. Under Certifikatbaserad autentisering (antingen en faktor eller multifaktor) klickar du på Avancerade alternativ.

   

7. Du kan välja certifikatutfärdare från den nedrullningsbara menyn, skriva certifikatutfärdarna och skriva de tillåtna princip-OID:erna. I den nedrullningsbara menyn visas alla certifikatutfärdare från klientorganisationen oavsett om de är enfaktor eller multifaktor.

   

   • Om både Tillåten certifikatutfärdare och tillåten princip-OID har konfigurerats finns det en AND-relation. Användaren måste använda ett certifikat som uppfyller båda villkoren.
   • Mellan listan Tillåten certifikatutfärdare och listan Tillåten princip-OID finns det en OR-relation. Användaren måste använda ett certifikat som uppfyller någon av utfärdarna eller princip-OID:erna.
   • Använd Annan certifikatutfärdare av SubjectkeyIdentifier om det certifikat som du vill använda inte laddas upp till certifikatutfärdarna i din klientorganisation. Den här inställningen kan användas för externa användarscenarier om användaren autentiserar i sin hemklientorganisation.

8. Klicka på Nästa för att granska konfigurationen och klicka sedan på Skapa.

Microsoft Graph

Så här skapar du en ny princip för autentisering med villkorsstyrd åtkomst med certifikatkombinationKonfiguration:

POST  /beta/identity/conditionalAccess/authenticationStrength/policies
{
    "displayName": "CBA Restriction",
    "description": "CBA Restriction with both IssuerSki and OIDs",
    "allowedCombinations": [
        " x509CertificateMultiFactor "
    ],
    "combinationConfigurations": [
        {
            "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
            "appliesToCombinations": [
                "x509CertificateMultiFactor"
            ],
            "allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
            "allowedPolicyOIDs": [
                "1.2.3.4.6",
                "1.2.3.4.5.6"
            ]
        }
    ]
}

Så här lägger du till en ny kombinationKonfiguration i en befintlig princip:

POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations

{
    "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
    "allowedIssuerSkis": [
        "9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
    ],
    "allowedPolicyOIDs": [],
    "appliesToCombinations": [
        "x509CertificateSingleFactor "
    ]
}

Begränsningar

Avancerade alternativ för FIDO2-säkerhetsnyckel

• FIDO2-säkerhetsnyckel Avancerade alternativ – Avancerade alternativ stöds inte för externa användare med en hemklientorganisation som finns i ett annat Microsoft-moln än resursklientorganisationen.

Avancerade alternativ för certifikatbaserad autentisering

• Endast ett certifikat kan användas i varje webbläsarsession. När du har loggat in med ett certifikat cachelagras det i webbläsaren under hela sessionen. Du uppmanas inte att välja ett annat certifikat om det inte uppfyller kraven på autentiseringsstyrka. Du måste logga ut och logga in igen för att starta om sessionen. Välj sedan relevant certifikat.

• Certifikatutfärdare och användarcertifikat bör överensstämma med X.509 v3-standarden. Mer specifikt behöver certifikat giltiga AKI:er för att framtvinga begränsningar för utfärdaren SKI CBA:

  

  Kommentar

  Om certifikatet inte överensstämmer kan användarautentiseringen lyckas, men uppfyller inte utfärdarenSki-begränsningarna för principen för autentiseringsstyrka.

• Under inloggningen beaktas de första 5 princip-OID:erna från slutanvändarcertifikatet och jämförs med de princip-OID:er som konfigurerats i autentiseringsstyrkan. Om slutanvändarcertifikatet har fler än 5 princip-OID:er beaktas de första 5 princip-OID:erna i lexikal ordning som matchar kraven på autentiseringsstyrka.

• För B2B-användare ska vi ta ett exempel där Contoso har bjudit in användare från Fabrikam till sin klientorganisation. I det här fallet är Contoso resursklientorganisationen och Fabrikam är hemklient.

  • När inställningen för åtkomst mellan klientorganisationer är Av (Contoso accepterar inte MFA som utfördes av hemklientorganisationen) – Det går inte att använda certifikatbaserad autentisering på resursklientorganisationen.
  • När inställningen för åtkomst mellan klientorganisationer är På finns Fabrikam och Contoso i samma Microsoft-moln, vilket innebär att både Fabrikam- och Contoso-klientorganisationer finns i det kommersiella Azure-molnet eller i Azure for US Government-molnet. Dessutom litar Contoso på MFA som utfördes på hemklientorganisationen. I det här fallet:
    • Åtkomst till en specifik resurs kan begränsas med hjälp av princip-OID:er eller "annan certifikatutfärdare av SubjectkeyIdentifier" i principen för anpassad autentiseringsstyrka.
    • Åtkomst till specifika resurser kan begränsas med hjälp av inställningen "Annan certifikatutfärdare av SubjectkeyIdentifier" i principen för anpassad autentiseringsstyrka.
  • När inställningen för åtkomst mellan klientorganisationer är På finns Fabrikam och Contoso inte i samma Microsoft-moln – till exempel finns Fabrikams klientorganisation i det kommersiella Azure-molnet och Contosos klientorganisation finns i Azure for US Government-molnet – åtkomsten till specifika resurser kan inte begränsas med hjälp av utfärdarens ID eller princip-OID i principen för anpassad autentiseringsstyrka.

Felsöka avancerade alternativ för autentiseringsstyrka

Användare kan inte använda sin FIDO2-säkerhetsnyckel för att logga in

En administratör för villkorsstyrd åtkomst kan begränsa åtkomsten till specifika säkerhetsnycklar. När en användare försöker logga in med hjälp av en nyckel som de inte kan använda visas meddelandet Du kan inte komma dit härifrån . Användaren måste starta om sessionen och logga in med en annan FIDO2-säkerhetsnyckel.

Så här kontrollerar du certifikatprincip-OID:erna och utfärdaren

Du kan bekräfta att de personliga certifikategenskaperna matchar konfigurationen i avancerade alternativ för autentiseringsstyrka. Logga in som administratör på användarens enhet. Klicka på Kör, skriv certmgr.mscoch tryck på Retur. Om du vill kontrollera princip-OID:er klickar du på Personligt, högerklickar på certifikatet och klickar på Information.

Nästa steg

• Inbyggda autentiseringsstyrkor för villkorsstyrd åtkomst
• Så här fungerar autentiseringsstyrkan för externa användare
• Felsöka autentiseringsstyrkor