Introdução à autenticação baseada em certificado no Microsoft Entra ID com federação

  • Artigo

A autenticação baseada em certificado (CBA) com federação permite que você seja autenticado pelo Microsoft Entra ID com um certificado de cliente em um dispositivo Windows, Android ou iOS ao conectar sua conta online do Exchange a:

  • Aplicações móveis da Microsoft, como o Microsoft Outlook e o Microsoft Word
  • Clientes do Exchange ActiveSync (EAS)

A configuração desse recurso elimina a necessidade de inserir uma combinação de nome de usuário e senha em determinados aplicativos de email e do Microsoft Office em seu dispositivo móvel.

Nota

Como alternativa, as organizações podem implantar o Microsoft Entra CBA sem precisar de federação. Para obter mais informações, consulte Visão geral da autenticação baseada em certificado do Microsoft Entra em relação à ID do Microsoft Entra.

Este tópico:

  • Fornece as etapas para configurar e utilizar o CBA para usuários de locatários nos planos do Office 365 Enterprise, Business, Education e US Government.
  • Pressupõe que você já tenha uma PKI (infraestrutura de chave pública) e o AD FS configurados.

Requisitos

Para configurar o CBA com federação, as seguintes instruções devem ser verdadeiras:

  • O CBA com federação só é suportado para ambientes federados para aplicativos de navegador, clientes nativos usando autenticação moderna ou bibliotecas MSAL. A única exceção é o Exchange Ative Sync (EAS) para Exchange Online (EXO), que pode ser usado para contas federadas e gerenciadas. Para configurar o Microsoft Entra CBA sem precisar de federação, consulte Como configurar a autenticação baseada em certificado do Microsoft Entra.
  • A autoridade de certificação raiz e quaisquer autoridades de certificação intermediárias devem ser configuradas no Microsoft Entra ID.
  • Cada autoridade de certificação deve ter uma lista de revogação de certificados (CRL) que possa ser referenciada por meio de uma URL voltada para a Internet.
  • Você deve ter pelo menos uma autoridade de certificação configurada no Microsoft Entra ID. Você pode encontrar as etapas relacionadas na seção Configurar as autoridades de certificação.
  • Para clientes do Exchange ActiveSync, o certificado do cliente deve ter o endereço de email roteável do usuário no Exchange online no valor Nome Principal ou Nome RFC822 do campo Nome Alternativo da Entidade. Microsoft Entra ID mapeia o valor RFC822 para o atributo Proxy Address no diretório.
  • Seu dispositivo cliente deve ter acesso a pelo menos uma autoridade de certificação que emite certificados de cliente.
  • Um certificado de cliente para autenticação de cliente deve ter sido emitido para o seu cliente.

Importante

O tamanho máximo de uma CRL para que o Microsoft Entra ID seja baixado e armazenado em cache com êxito é de 20 MB, e o tempo necessário para baixar a CRL não deve exceder 10 segundos. Se o Microsoft Entra ID não puder baixar uma CRL, as autenticações baseadas em certificados que usam certificados emitidos pela autoridade de certificação correspondente falharão. As práticas recomendadas para garantir que os arquivos CRL estejam dentro das restrições de tamanho são manter o tempo de vida do certificado dentro de limites razoáveis e limpar certificados expirados.

Passo 1: Selecione a plataforma do seu dispositivo

Como primeiro passo, para a plataforma de dispositivo que lhe interessa, tem de rever o seguinte:

  • O suporte a aplicativos móveis do Office
  • Requisitos específicos de execução

As informações relacionadas existem para as seguintes plataformas de dispositivos:

Etapa 2: Configurar as autoridades de certificação

Para configurar suas autoridades de certificação no Microsoft Entra ID, para cada autoridade de certificação, carregue o seguinte:

  • A parte pública do certificado, em formato .cer
  • As URLs voltadas para a Internet onde residem as Listas de Revogação de Certificados (CRLs)

O esquema para uma autoridade de certificação tem a seguinte aparência:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Para a configuração, você pode usar o Microsoft Graph PowerShell:

  1. Inicie o Windows PowerShell com privilégios de administrador.

  2. Instale o Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Como primeira etapa de configuração, você precisa estabelecer uma conexão com seu locatário. Assim que existir uma conexão com seu locatário, você poderá revisar, adicionar, excluir e modificar as autoridades de certificação confiáveis definidas em seu diretório.

Ligar

Para estabelecer uma conexão com seu locatário, use o Connect-MgGraph:

    Connect-MgGraph

Retrieve

Para recuperar as autoridades de certificação confiáveis definidas em seu diretório, use Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Para adicionar, modificar ou remover uma autoridade de certificação, use o Centro de administração do Microsoft Entra:

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. Navegue até Proteção>Mostrar mais>Autoridades de certificação da Central de Segurança (ou Pontuação Segura de Identidade). >

  3. Para carregar uma autoridade de certificação, selecione Carregar:

    1. Selecione o arquivo CA.

    2. Selecione Sim se a autoridade de certificação for um certificado raiz, caso contrário, selecione Não.

    3. Para URL da Lista de Revogação de Certificados, defina a URL voltada para a Internet para a CRL base da autoridade de certificação que contém todos os certificados revogados. Se o URL não estiver definido, a autenticação com certificados revogados não falhará.

    4. Para URL da Lista de Revogação de Certificados Delta, defina a URL voltada para a Internet para a CRL que contém todos os certificados revogados desde que a última CRL base foi publicada.

    5. Selecione Adicionar.

      Captura de tela de como carregar o arquivo da autoridade de certificação.

  4. Para excluir um certificado de autoridade de certificação, selecione o certificado e selecione Excluir.

  5. Selecione Colunas para adicionar ou excluir colunas.

Etapa 3: Configurar a revogação

Para revogar um certificado de cliente, o Microsoft Entra ID busca a lista de revogação de certificados (CRL) das URLs carregadas como parte das informações da autoridade de certificação e a armazena em cache. O último carimbo de data/hora de publicação (propriedade Data Efetiva) na CRL é usado para garantir que a CRL ainda seja válida. A CRL é referenciada periodicamente para revogar o acesso aos certificados que fazem parte da lista.

Se for necessária uma revogação mais instantânea (por exemplo, se um usuário perder um dispositivo), o token de autorização do usuário pode ser invalidado. Para invalidar o token de autorização, defina o campo StsRefreshTokenValidFrom para esse usuário específico usando o Windows PowerShell. Você deve atualizar o campo StsRefreshTokenValidFrom para cada usuário para o qual deseja revogar o acesso.

Para garantir que a revogação persista, você deve definir a Data efetiva da CRL para uma data após o valor definido por StsRefreshTokenValidFrom e garantir que o certificado em questão esteja na CRL.

Nota

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

As etapas a seguir descrevem o processo de atualização e invalidação do token de autorização definindo o campo StsRefreshTokenValidFrom .

  1. Conecte-se ao PowerShell:

    Connect-MgGraph

  2. Recupere o valor StsRefreshTokensValidFrom atual para um usuário:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. Configure um novo valor StsRefreshTokensValidFrom para o usuário igual ao carimbo de data/hora atual:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

A data que você definiu deve ser no futuro. Se a data não estiver no futuro, a propriedade StsRefreshTokensValidFrom não será definida. Se a data estiver no futuro, StsRefreshTokensValidFrom será definido para a hora atual (não a data indicada pelo comando Set-MsolUser).

Etapa 4: Testar sua configuração

Testando seu certificado

Como primeiro teste de configuração, você deve tentar entrar no Outlook Web Access ou no SharePoint Online usando o navegador no dispositivo.

Se o seu início de sessão for bem-sucedido, sabe que:

  • O certificado de usuário foi provisionado para seu dispositivo de teste
  • O AD FS está configurado corretamente

Testando aplicativos móveis do Office

  1. No seu dispositivo de teste, instale uma aplicação móvel do Office (por exemplo, OneDrive).
  2. Inicie o aplicativo.
  3. Introduza o seu nome de utilizador e, em seguida, selecione o certificado de utilizador que pretende utilizar.

Você deve estar conectado com êxito.

Testando aplicativos cliente do Exchange ActiveSync

Para acessar o Exchange ActiveSync (EAS) por meio da autenticação baseada em certificado, um perfil EAS contendo o certificado do cliente deve estar disponível para o aplicativo.

O perfil EAS deve conter as seguintes informações:

  • O certificado de usuário a ser usado para autenticação

  • O ponto de extremidade EAS (por exemplo, outlook.office365.com)

Um perfil EAS pode ser configurado e colocado no dispositivo através da utilização do gerenciamento de dispositivos móveis (MDM), como o Microsoft Intune, ou colocando manualmente o certificado no perfil EAS no dispositivo.

Testando aplicativos cliente EAS no Android

  1. Configure um perfil EAS no aplicativo que satisfaça os requisitos da seção anterior.
  2. Abra o aplicativo e verifique se o email está sincronizando.

Próximos passos

Informações adicionais sobre autenticação baseada em certificado em dispositivos Android.

Informações adicionais sobre autenticação baseada em certificado em dispositivos iOS.