Začínáme s ověřováním založeným na certifikátech v ID Microsoft Entra s federací

Ověřování na základě certifikátů (CBA) s federací umožňuje ověření pomocí ID Microsoft Entra pomocí klientského certifikátu na zařízení s Windows, Androidem nebo iOS při připojování účtu Exchange Online k:

  • Mobilní aplikace Microsoftu, jako je Microsoft Outlook a Microsoft Word
  • klienti protokol Exchange ActiveSync (EAS)

Konfigurace této funkce eliminuje nutnost zadat kombinaci uživatelského jména a hesla do určitých e-mailových a systém Microsoft Office aplikací na mobilním zařízení.

Poznámka:

Jako alternativu můžou organizace nasadit Microsoft Entra CBA bez nutnosti federace. Další informace naleznete v tématu Přehled ověřování založeného na certifikátech Microsoft Entra pro Microsoft Entra ID.

Toto téma:

  • Poskytuje postup konfigurace a využití CBA pro uživatele tenantů v plánech Office 365 Enterprise, Business, Education a US Government.
  • Předpokládá, že už máte nakonfigurovanou infrastrukturu veřejných klíčů (PKI) a službu AD FS .

Požadavky

Pokud chcete nakonfigurovat CBA s federací, musí být splněné následující příkazy:

  • CBA s federací se podporuje jenom pro federovaná prostředí pro aplikace prohlížeče, nativní klienty používající moderní ověřování nebo knihovny MSAL. Jedinou výjimkou je Exchange Active Sync (EAS) pro Exchange Online (EXO), kterou je možné použít pro federované a spravované účty. Informace o konfiguraci jazyka Microsoft Entra CBA bez nutnosti federace najdete v tématu Postup konfigurace ověřování založeného na certifikátech Microsoft Entra.
  • Kořenová certifikační autorita a všechny zprostředkující certifikační autority musí být nakonfigurované v ID Microsoft Entra.
  • Každá certifikační autorita musí mít seznam odvolaných certifikátů (CRL), na který se dá odkazovat prostřednictvím internetové adresy URL.
  • Musíte mít alespoň jednu certifikační autoritu nakonfigurovanou v MICROSOFT Entra ID. Související kroky najdete v části Konfigurace certifikačních autorit .
  • Pro klienty protokol Exchange ActiveSync musí mít klientský certifikát směrovatelnou e-mailovou adresu uživatele v Exchangi Online v poli Hlavní název nebo název RFC822 pole Alternativní název subjektu. Microsoft Entra ID mapuje hodnotu RFC822 na atribut proxy adresa v adresáři.
  • Klientské zařízení musí mít přístup alespoň k jedné certifikační autoritě, která vydává klientské certifikáty.
  • Klientský certifikát pro ověření klienta musí být vydaný pro vašeho klienta.

Důležité

Maximální velikost seznamu CRL pro microsoft Entra ID pro úspěšné stažení a mezipaměť je 20 MB a doba potřebná ke stažení seznamu CRL nesmí překročit 10 sekund. Pokud microsoft Entra ID nemůže stáhnout CRL, ověřování na základě certifikátů pomocí certifikátů vystavených odpovídající certifikační autoritou se nezdaří. Osvědčenými postupy pro zajištění, aby soubory seznamu CRL byly v mezích velikosti, je udržovat životnost certifikátů v rámci přiměřených limitů a vyčistit prošlé certifikáty.

Krok 1: Výběr platformy zařízení

Jako první krok je potřeba pro platformu zařízení, na které vám záleží, zkontrolovat následující:

  • Podpora mobilních aplikací Office
  • Specifické požadavky na implementaci

Související informace existují pro následující platformy zařízení:

Krok 2: Konfigurace certifikačních autorit

Pokud chcete nakonfigurovat certifikační autority v MICROSOFT Entra ID, nahrajte pro každou certifikační autoritu následující:

  • Veřejná část certifikátu ve formátu .cer
  • Internetové adresy URL, ve kterých se nacházejí seznamy odvolaných certifikátů (CRL)

Schéma certifikační autority vypadá takto:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Pro konfiguraci můžete použít Microsoft Graph PowerShell:

  1. Spusťte Windows PowerShell s oprávněními správce.

  2. Nainstalujte Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph
    

Jako první krok konfigurace musíte vytvořit připojení k vašemu tenantovi. Jakmile existuje připojení k vašemu tenantovi, můžete zkontrolovat, přidat, odstranit a upravit důvěryhodné certifikační autority definované v adresáři.

Propojit

Pokud chcete vytvořit připojení k vašemu tenantovi, použijte Připojení-MgGraph:

    Connect-MgGraph

Načtení

Pokud chcete načíst důvěryhodné certifikační autority definované v adresáři, použijte Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Pokud chcete přidat, upravit nebo odebrat certifikační autoritu, použijte Centrum pro správu Microsoft Entra:

  1. Přihlaste se k Centru pro správu Microsoft Entra jako globální Správa istrator.

  2. Přejděte na stránku Protection>Show more>Security Center (nebo Identity Secure Score) >Certifikační autority.

  3. Pokud chcete nahrát certifikační autoritu, vyberte Nahrát:

    1. Vyberte soubor certifikační autority.

    2. Pokud je certifikační autorita kořenovým certifikátem, vyberte ano. V opačném případě vyberte Ne.

    3. Pro adresu URL seznamu odvolaných certifikátů nastavte internetovou adresu URL základního seznamu CRL certifikační autority, která obsahuje všechny odvolané certifikáty. Pokud adresa URL není nastavená, ověřování s odvolanými certifikáty se nezdaří.

    4. Pro adresu URL seznamu odvolaných certifikátů Delta nastavte internetovou adresu URL seznamu odvolaných certifikátů, která obsahuje všechny odvolané certifikáty od posledního publikování základního seznamu CRL.

    5. Vyberte Přidat.

      Snímek obrazovky znázorňuje, jak nahrát soubor certifikační autority

  4. Pokud chcete odstranit certifikát certifikační autority, vyberte certifikát a vyberte Odstranit.

  5. Vyberte Sloupce , které chcete přidat nebo odstranit.

Krok 3: Konfigurace odvolání

Pokud chcete odvolat klientský certifikát, Microsoft Entra ID načte seznam odvolaných certifikátů (CRL) z adres URL nahraných jako součást informací certifikační autority a uloží ho do mezipaměti. Poslední časové razítko publikování (vlastnost Effective Date ) v seznamu CRL se používá k zajištění, že seznam CRL je stále platný. Seznam CRL se pravidelně odkazuje na odvolání přístupu k certifikátům, které jsou součástí seznamu.

Pokud je vyžadováno okamžité odvolání (například pokud uživatel ztratí zařízení), může být autorizační token uživatele zneplatněný. Pokud chcete autorizační token zneplatnit, nastavte pole StsRefreshTokenValidFrom pro tohoto konkrétního uživatele pomocí Prostředí Windows PowerShell. Je nutné aktualizovat pole StsRefreshTokenValidFrom pro každého uživatele, pro kterého chcete odvolat přístup.

Chcete-li zajistit zachování odvolání, je nutné nastavit datum účinnosti seznamu CRL na datum po hodnotě nastavené stsRefreshTokenValidFrom a zajistit, aby příslušný certifikát byl v seznamu CRL.

Poznámka:

30. března 2024 se plánuje vyřazení Azure AD PowerShellu. Další informace najdete v aktualizaci vyřazení.

Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Microsoft Graph PowerShell umožňuje přístup ke všem rozhraním Microsoft Graph API a je k dispozici v PowerShellu 7. Odpovědi na běžné dotazy na migraci najdete v nejčastějších dotazech k migraci.

Následující kroky popisují proces aktualizace a zneplatnění autorizačního tokenu nastavením pole StsRefreshTokenValidFrom .

  1. Připojení do PowerShellu:

    Connect-MgGraph
    
  2. Načtěte aktuální hodnotu StsRefreshTokensValidFrom pro uživatele:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
            $user.StsRefreshTokensValidFrom
    
  3. Nakonfigurujte novou hodnotu StsRefreshTokensValidFrom pro uživatele, který se rovná aktuálnímu časovému razítku:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")
    

Datum, které nastavíte, musí být v budoucnu. Pokud datum není v budoucnu, StsRefreshTokensValidFrom vlastnost není nastavena. Pokud je datum v budoucnu, StsRefreshTokensValidFrom je nastaven na aktuální čas (nikoli datum označené příkazem Set-MsolUser).

Krok 4: Otestování konfigurace

Testování certifikátu

Jako první test konfigurace byste se měli pokusit přihlásit k Outlook Web Accessu nebo SharePointu Online pomocí prohlížeče na zařízení.

Pokud je přihlášení úspěšné, pak víte, že:

  • Pro testovací zařízení se zřídil uživatelský certifikát.
  • Služba AD FS je správně nakonfigurovaná.

Testování mobilních aplikací Office

  1. Na testovacím zařízení nainstalujte mobilní aplikaci Office (například OneDrive).
  2. Spusťte aplikaci.
  3. Zadejte své uživatelské jméno a vyberte uživatelský certifikát, který chcete použít.

Měli byste být úspěšně přihlášení.

Testování protokol Exchange ActiveSync klientských aplikací

Pro přístup k protokol Exchange ActiveSync (EAS) prostřednictvím ověřování na základě certifikátů musí být pro aplikaci k dispozici profil EAS obsahující klientský certifikát.

Profil EAS musí obsahovat následující informace:

  • Uživatelský certifikát, který se má použít k ověřování

  • Koncový bod EAS (například outlook.office365.com)

Profil EAS je možné nakonfigurovat a umístit do zařízení prostřednictvím využití správy mobilních zařízení (MDM), jako je Microsoft Intune, nebo ručním umístěním certifikátu do profilu EAS na zařízení.

Testování klientských aplikací EAS v Androidu

  1. Nakonfigurujte v aplikaci profil EAS, který splňuje požadavky v předchozí části.
  2. Otevřete aplikaci a ověřte, že se pošta synchronizuje.

Další kroky

Další informace o ověřování pomocí certifikátů na zařízeních s Androidem

Další informace o ověřování pomocí certifikátů na zařízeních s iOSem