共用方式為

在具有同盟Microsoft Entra ID 中開始使用憑證式驗證

  • 發行項

具有聯邦的憑證式驗證(CBA)可讓 Microsoft Entra ID 在您將 Exchange Online 帳戶連接到 Windows、Android 或 iOS 裝置時,透過用戶端憑證進行身份驗證。

  • Microsoft Outlook 和 Microsoft Microsoft Word 等行動應用程式
  • Exchange ActiveSync (EAS) 用戶端

設定這項功能不需要在行動裝置上的特定郵件和Microsoft Office 應用程式中輸入使用者名稱和密碼組合。

備註

或者,組織可以部署 Microsoft Entra CBA,而不需要同盟。 如需詳細資訊,請參閱 Microsoft Entra 憑證型驗證概觀,針對 Microsoft Entra ID

本主題:

  • 提供為 Office 365 企業版、商務、教育版和美國政府方案中租用戶使用者設定及利用 CBA 的步驟。
  • 假設您已經設定公鑰基礎結構(PKI),並且配置AD FS

要求

若要設定與同盟集成的憑證型驗證 (CBA),下列條件必須成立:

  • 只有瀏覽器應用程式的同盟環境、使用新式驗證的原生用戶端或 MSAL 連結庫才支援具有同盟的 CBA。 其中一個例外狀況是 Exchange Online 的 Exchange Active Sync (EAS),可用於同盟和受控帳戶。 若要設定 Microsoft Entra CBA 而不需要同盟,請參閱 如何設定 Microsoft Entra 憑證型驗證
  • 根憑證授權機構和任何中繼憑證授權機構都必須在 Microsoft Entra ID 中設定。
  • 每個證書頒發機構單位都必須有可透過因特網對應 URL 參考的證書吊銷清單 (CRL)。
  • 您必須在 Microsoft Entra ID 中設定至少一個證書頒發機構單位。 您可以在設定證書頒發機構單位 一節中找到 相關步驟。
  • 針對 Exchange ActiveSync 用戶端,用戶端憑證必須在 Exchange Online 中,於 [主體替代名稱] 欄位的 Principal Name 或 RFC822 Name 值之中包含使用者的可路由電子郵件地址。 Microsoft Entra ID 會將 RFC822 值對應至目錄中的 Proxy 位址屬性。
  • 您的用戶端裝置必須能夠存取至少一個發出用戶端憑證的證書頒發機構單位。
  • 為了用戶端驗證,必須已為您的用戶端發放用戶端憑證。

重要

Microsoft Entra ID 成功下載和快取的 CRL 大小上限為 20MB,且下載 CRL 所需的時間不得超過 10 秒。 如果Microsoft Entra ID 無法下載 CRL,則使用對應 CA 所簽發憑證的憑證型驗證將會失敗。 確保CRL檔案大小限制內的最佳做法是讓憑證存留期保持在合理的限制內,以及清除過期的憑證。

步驟 1:選取您的裝置平臺

作為第一個步驟,針對您關心的裝置平臺,您需要檢閱下列各項:

  • Office 行動應用程式支援
  • 特定實作需求

下列裝置平台有相關的資訊:

步驟 2:設定證書頒發機構單位

若要在 Microsoft Entra ID 中設定您的憑證授權單位,請針對每個憑證授權單位上傳下列項目:

  • 憑證的公開部分,格式為 .cer
  • 證書吊銷清單 (CRL) 所在的因特網對應 URL

憑證頒發機構單位的架構如下所示:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

針對組態,您可以使用 Microsoft Graph PowerShell

  1. 使用系統管理員許可權啟動 Windows PowerShell。

  2. 安裝 Microsoft Graph PowerShell

        Install-Module Microsoft.Graph

在第一個設定步驟中,您必須建立與租用戶的連線。 一旦與您的租戶建立連線後,您就可以檢閱、新增、刪除和修改在目錄中定義的受信任的證書頒發機構。

連接

若要與租用戶建立連線,請使用 Connect-MgGraph

    Connect-MgGraph

取回

若要取得在目錄中定義的受信任證書授權單位,請使用 Get-MgOrganizationCertificateBasedAuthConfiguration

    Get-MgOrganizationCertificateBasedAuthConfiguration

若要新增、修改或移除 CA,請使用 Microsoft Entra 系統管理中心:

  1. 全域管理員的身分登入 Microsoft Entra 管理中心

  2. 流覽至 [保護]>[顯示更多>資訊安全中心(或 身分識別安全分數),>證書頒發機構單位

  3. 若要上傳 CA,請選取 上傳

    1. 選取 CA 檔案。

    2. 如果 CA 是根證書,請選擇 ,否則請選取

    3. 針對 證書撤銷清單 URL,請為包含所有已撤銷憑證的 CA 基底 CRL 設定面向網際網路的 URL。 如果未設定 URL,則具有已撤銷憑證的驗證將不會失敗。

    4. 針對 Delta 證書撤銷名單 URL,請設定面向網際網路的 URL,其中包含自上次發佈基礎 CRL 以來的所有已撤銷證書。

    5. 選取 ,然後新增

      如何上傳證書頒發機構單位檔案的螢幕快照。

  4. 若要刪除 CA 憑證,請選擇憑證,然後選取 [刪除]

  5. 選取 [欄位] 來新增或刪除欄位。

步驟 3:設定撤銷

若要撤銷用戶端憑證,Microsoft Entra ID 會從上傳為證書頒發機構單位資訊的 URL 擷取憑證吊銷清單 (CRL),並加以快取。 CRL 中的最後一個發佈時間戳(有效日期 屬性)是用來確保 CRL 仍然有效。 CRL 會被定期查閱,以撤銷清單中的憑證的存取權。

如果需要更立即的撤銷(例如,如果用戶遺失裝置),則使用者的授權令牌可能會失效。 若要使授權令牌失效,請使用 Windows PowerShell 為這個特定使用者設定 StsRefreshTokenValidFrom 字段。 您必須針對您想要撤銷存取權的每個使用者更新 StsRefreshTokenValidFrom 字段。

若要保持撤銷的有效性,您必須將 CRL 的 有效日期 設為晚於 StsRefreshTokenValidFrom 值的日期,並且確認有問題的憑證包含在 CRL 中。

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解,請參閱 淘汰更新。 在此日期之後,這些模組的支援僅限於Microsoft Graph PowerShell SDK 和安全性修正的移轉協助。 已淘汰的模組將繼續在 2025 年 3 月 30 日運作。

建議您移轉至 Microsoft Graph PowerShell,以與 Microsoft Entra ID (先前稱為 Azure AD) 互動。 如需常見的移轉問題,請參閱 移轉常見問題注意: MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

下列步驟概述藉由設定 StsRefreshTokenValidFrom 欄位,以更新授權令牌並使其失效的過程。

  1. 連接到 PowerShell:

    Connect-MgGraph

  2. 擷取使用者目前的 StsRefreshTokensValidFrom 值:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. 為使用者設定等於目前時間戳的新 StsRefreshTokensValidFrom 值:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

您設定的日期必須在未來。 如果日期不是未來日期,則不會設定 StsRefreshTokensValidFrom 屬性。 如果日期是未來日期,StsRefreshTokensValidFrom 會設定為目前時間(而非 Set-MsolUser 命令所指出的日期)。

步驟 4:測試您的設定

測試您的憑證

作為第一個組態測試,您應該嘗試使用裝置瀏覽器的 ,登入 Outlook Web AccessSharePoint Online

如果您的登入成功,則您知道:

  • 用戶憑證已布建至您的測試裝置
  • AD FS 已正確設定

測試 Office 行動應用程式

  1. 在您的測試裝置上,安裝 Office 行動應用程式(例如 OneDrive)。
  2. 啟動應用程式。
  3. 輸入您的使用者名稱,然後選取您想要使用的用戶憑證。

您應該已成功登入。

測試 Exchange ActiveSync 用戶端應用程式

若要透過憑證型驗證存取 Exchange ActiveSync (EAS),必須有包含用戶端憑證的 EAS 配置檔可供應用程式使用。

EAS 設定檔必須包含下列資訊:

  • 要用於驗證的用戶憑證

  • EAS 端點(例如,outlook.office365.com)

EAS 設定檔可透過使用行動裝置管理 (MDM) 來設定並放置於裝置上,例如 Microsoft Intune,或手動將憑證放在裝置上的 EAS 配置檔中。

在 Android 上測試 EAS 用戶端應用程式

  1. 在符合上一節中需求的應用程式中設定EAS配置檔。
  2. 開啟應用程式,並確認郵件正在同步處理。

後續步驟

Android 裝置上憑證式驗證的其他資訊。

iOS 裝置上憑證式驗證的其他資訊。