Microsoft Entra 憑證型驗證概觀
Microsoft Entra 憑證式驗證 (CBA) 可讓客戶允許或要求使用者根據 Microsoft Entra ID 使用 X.509 憑證為應用程式和瀏覽器登入直接進行驗證。 這項功能可讓客戶採用防釣魚驗證,並向其公開金鑰基礎結構 (PKI) 使用 X.509 憑證進行驗證。
什麼是 Microsoft Entra CBA?
在 CBA 到 Microsoft Entra ID 的雲端管理支援之前,客戶必須實作同盟憑證式驗證,這需要部署 Active Directory 同盟服務 (AD FS) 才能使用 X.509 憑證對 Microsoft Entra ID 進行驗證。 透過 Microsoft Entra 憑證式驗證,客戶可以直接向 Microsoft Entra ID 進行驗證,而不需要同盟 AD FS,並可簡化客戶環境和降低成本。
下列影像說明 Microsoft Entra CBA 如何透過免除同盟 AD FS 來簡化客戶環境。
使用同盟 AD FS 的憑證式驗證
Microsoft Entra 憑證型驗證
使用 Microsoft Entra CBA 的主要優點
福利 | 描述 |
---|---|
絕佳的使用者體驗 | - 需要憑證式驗證的使用者現在可以直接根據 Microsoft Entra ID 進行驗證,而不需要投資同盟的 AD FS。 - 入口網站 UI 可讓使用者輕鬆地設定如何將憑證欄位對應至使用者物件屬性,以在租用戶中查閱使用者 (憑證使用者名稱繫結) - 透過入口網站 UI 設定驗證原則,以協助判斷哪些憑證是單一要素與多重要素。 |
易於部署和管理 | - Microsoft Entra CBA 是免費功能,您不需要任何 Microsoft Entra ID 付費版本即可使用。 - 無需複雜的內部部署或網路設定。 - 直接根據 Microsoft Entra ID 進行驗證。 |
安全 | - 內部部署密碼不需要以任何形式儲存在雲端中。 - 使用 Microsoft Entra 條件式存取原則順暢地保護您的使用者帳戶,包括網路釣魚防護多重要素驗證 (MFA 需要已授權的版本),以及封鎖舊版驗證。 - 增強式驗證支援可讓使用者透過憑證欄位 (例如簽發者或原則 OID (物件識別碼)) 來定義驗證原則,以判斷哪些憑證符合單一要素與多重要素的資格。 - 此功能可與條件式存取功能和驗證強度功能順暢地搭配運作,以強制執行 MFA 來協助保護您的使用者。 |
支援的案例
以下是支援的案例:
- 使用者在所有平台上登入網頁瀏覽器型應用程式。
- 使用者登入 iOS/Android 平台上的 Office 行動應用程式,以及 Windows 中的 Office 原生應用程式,包括 Outlook、OneDrive 等等。
- 使用者在行動原生瀏覽器上登入。
- 支援使用憑證簽發者主體和原則 OID 進行多重要素驗證的細微驗證規則。
- 使用任何憑證欄位來設定憑證對用戶帳戶繫結:
- 主體替代名稱 (SAN) PrincipalName 和 SAN RFC822Name
- 主體金鑰識別碼 (SKI) 和 SHA1PublicKey
- 簽發者 + 主體、主體與簽發者 + SerialNumber
- 使用任何使用者物件屬性來設定憑證對用戶帳戶繫結:
- 使用者主體名稱
- onPremisesUserPrincipalName
- CertificateUserIds
不支援的情節
不支援下列案例:
- 不支援憑證授權單位提示,因此在憑證選擇器 UI 中為使用者顯示的憑證清單未設定範圍。
- 受信任的 CA 僅支援一個 CRL 發佈點 (CDP)。
- CDP 只能是 HTTP URL。 我們不支援線上憑證狀態通訊協定 (OCSP),或輕量型目錄存取協定 (LDAP) URL。
- 無法停用密碼即驗證方法,而且即使 Microsoft Entra CBA 方法可供使用者使用,仍會顯示使用密碼登入的選項。
Windows Hello 企業版憑證的已知限制
- 雖然 Windows Hello 企業版 (WHFB) 可用於 Microsoft Entra ID 中的多重要素驗證,但全新 MFA 不支援 WHFB。 客戶可以選擇使用 WHFB 金鑰組為您的使用者註冊憑證。 正確設定時,這些 WHFB 憑證可用於 Microsoft Entra ID 中的多重要素驗證。 WHFB 憑證與 Edge 和 Chrome 瀏覽器中的 Microsoft Entra 憑證型驗證 (CBA) 相容;不過,目前 WHFB 憑證與非瀏覽器案例 (例如 Office 365 應用程式) 中的 Microsoft Entra CBA 不相容。 因應措施是使用 [登入 Windows Hello 或安全性金鑰] 選項來登入 (可用時),因為此選項不會使用憑證進行驗證,並可避免 Microsoft Entra CBA 的問題;不過,某些較舊的應用程式中可能無法使用此選項。
超出範圍
下列案例不在 Microsoft Entra CBA 的範圍內:
- 用來建立用戶端憑證的公開金鑰基礎結構。 客戶需要設定自己的公開金鑰基礎結構 (PKI),並將憑證佈建到其使用者和裝置。