Azure Active Directory’de sertifika tabanlı kimlik doğrulamayı kullanmaya başlama

Sertifika tabanlı kimlik doğrulaması, Windows, Android veya iOS Azure Active Directory bir istemci sertifikası ile Exchange doğrulamanızı sağlar:

  • Microsoft Outlook ve Microsoft Word gibi Microsoft mobil uygulamaları
  • Exchange ActiveSync (EAS) istemcileri

Bu özelliğin yapılandırılması, belirli e-posta ve uygulamalarınızı mobil Microsoft Office kullanıcı adı ve parola birleşimini girmenizi ortadan kaldırıyor.

Bu konu:

  • Office 365 Kurumsal, Business, Education ve US Government planlarında kiracı kullanıcıları için sertifika tabanlı kimlik doğrulamasını yapılandırma ve kullanma adımlarını sağlar. Bu özellik Çin, ABD Office 365 ve ABD Kamu Federal planlarında önizlemede kullanılabilir.
  • Zaten bir ortak anahtar altyapısına (PKI) sahip olduğunu ve AD FS varsayıyor.

Gereksinimler

Sertifika tabanlı kimlik doğrulamasını yapılandırmak için aşağıdaki deyimlerin doğru olması gerekir:

  • Sertifika tabanlı kimlik doğrulaması (CBA), yalnızca tarayıcı uygulamaları, modern kimlik doğrulaması (ADAL) kullanan yerel istemciler veya MSAL kitaplıkları için Federasyon ortamları için de kullanılabilir. Tek özel durum Exchange ve yönetilen hesaplar için kullan Exchange Online (THEI) için Active Sync (EAS) olmasıdır.
  • Kök sertifika yetkilisi ve herhangi bir ara sertifika yetkilisi, sertifika yetkilisinde Azure Active Directory.
  • Her sertifika yetkilisinin, İnternet'e yönelik bir URL aracılığıyla başvurulan bir sertifika iptal listesi (CRL) olmalıdır.
  • Sertifika yetkilisinde yapılandırılmış en az bir sertifika yetkiliye sahip Azure Active Directory. İlgili adımları Sertifika yetkililerini yapılandırma bölümünde bulabilirsiniz.
  • İstemciler Exchange ActiveSync için, istemci sertifikasının Konu Diğer Adı alanı asıl adı veya RFC822 Ad değerinde kullanıcının yönlendirilebilir e-posta adresine Exchange çevrimiçi olması gerekir. Azure Active Directory RFC822 değerini dizinde Ara Sunucu Adresi özniteliğiyle eşler.
  • İstemci cihazınızın, istemci sertifikalarını verdiği en az bir sertifika yetkilisine erişimi olması gerekir.
  • İstemci kimlik doğrulaması için bir istemci sertifikası istemcinize verildi.

Önemli

Başarıyla indirilen ve önbelleğe alınan Azure Active Directory CRL'nin boyut üst sınırı 20 MB'tır ve CRL'i indirmek için gereken süre 10 saniyeyi aşmamalı. Bir Azure Active Directory CRL indirenene ise, ilgili CA tarafından verilen sertifikaları kullanan sertifika tabanlı kimlik doğrulamaları başarısız olur. CRL dosyalarının boyut kısıtlamaları içinde olduğundan emin olmak için en iyi yöntemler, sertifika ömrünü makul sınırlar içinde tutmak ve süresi dolmuş sertifikaları temizlemektir.

1. Adım: Cihaz platformunu seçin

İlk adım olarak, önem attığınız cihaz platformu için şunları gözden geçirmelisiniz:

  • Mobil Office desteği
  • Belirli uygulama gereksinimleri

İlgili bilgiler aşağıdaki cihaz platformları için mevcuttur:

2. Adım: Sertifika yetkililerini yapılandırma

Sertifika yetkililerinizi her sertifika Azure Active Directory için aşağıdakini karşıya yükleyin:

  • Sertifikanın .cer biçimindeki ortak bölümü
  • Sertifika İptal Listelerinin (CRL) bulunduğu İnternet'e yönelik URL'ler

Bir sertifika yetkilisinin şeması aşağıdaki gibi olacaktır:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Yapılandırma için PowerShell Sürüm 2 Azure Active Directory i kullanabilirsiniz:

  1. Yönetici Windows PowerShell ile oturum açın.

  2. Azure AD modülünün 2.0.0.33 veya daha yeni bir sürümünü yükleyin.

        Install-Module -Name AzureAD –RequiredVersion 2.0.0.33
    

İlk yapılandırma adımı olarak kiracınız ile bir bağlantı kurmanız gerekir. Kiracınıza bir bağlantı olduğu anda, dizininize tanımlanan güvenilen sertifika yetkililerini gözden geçirebilirsiniz, ekleyebilir, silebilir ve değiştirebilirsiniz.

Bağlan

Kiracınız ile bağlantı kurmak için Bağlan-AzureAD cmdlet'ini kullanın:

    Connect-AzureAD

Almak

Dizininize tanımlanan güvenilen sertifika yetkililerini almak için Get-AzureADTrustedCertificateAuthority cmdlet'ini kullanın.

    Get-AzureADTrustedCertificateAuthority

Ekle

Güvenilen bir sertifika yetkilisi oluşturmak için New-AzureADTrustedCertificateAuthority cmdlet'ini kullanın ve crlDistributionPoint özniteliğini doğru bir değere ayarlayın:

    $cert=Get-Content -Encoding byte "[LOCATION OF THE CER FILE]"
    $new_ca=New-Object -TypeName Microsoft.Open.AzureAD.Model.CertificateAuthorityInformation
    $new_ca.AuthorityType=0
    $new_ca.TrustedCertificate=$cert
    $new_ca.crlDistributionPoint="<CRL Distribution URL>"
    New-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $new_ca

Kaldır

Güvenilen bir sertifika yetkilisini kaldırmak için Remove-AzureADTrustedCertificateAuthority cmdlet'ini kullanın:

    $c=Get-AzureADTrustedCertificateAuthority
    Remove-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[2]

Değiştir

Güvenilen bir sertifika yetkilisini değiştirmek için Set-AzureADTrustedCertificateAuthority cmdlet'ini kullanın:

    $c=Get-AzureADTrustedCertificateAuthority
    $c[0].AuthorityType=1
    Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]

3. Adım: İptali yapılandırma

Bir istemci sertifikasını iptal etmek Azure Active Directory sertifika iptal listesini (CRL) sertifika yetkilisi bilgileri kapsamında karşıya yüklenen URL'lerden getirir ve önbelleğe getirir. CRL'nin hala geçerli olduğundan emin olmak için CRL'de son yayımlama zaman damgası (Effective Date özelliği) kullanılır. Listenin bir parçası olan sertifikalara erişimi iptal etmek için CRL'ye düzenli aralıklarla başvurur.

Daha anlık bir iptal gerekirse (örneğin, bir kullanıcı bir cihazı kaybederse), kullanıcının yetkilendirme belirteci geçersiz kılınmış olabilir. Yetkilendirme belirteci geçersiz kılınca, bu kullanıcı için StsRefreshTokenValidFrom alanını Windows PowerShell. Erişimi iptal etmek istediğiniz her kullanıcı için StsRefreshTokenValidFrom alanını güncelleştirmeniz gerekir.

İptalin devam etmesi için CRL'nin Geçerli Tarihini StsRefreshTokenValidFrom tarafından ayarlanmış değerden sonra bir tarih olarak ayarlamalı ve söz konusu sertifikanın CRL'de olduğundan emin olun.

Aşağıdaki adımlar, StsRefreshTokenValidFrom alanını ayarleyerek yetkilendirme belirteci güncelleştirme ve geçersiz kılınma işlemini özetler.

  1. Bağlan kimlik bilgilerini MSOL hizmetine iletir:

            $msolcred = get-credential
             connect-msolservice -credential $msolcred
    
  2. Bir kullanıcı için geçerli StsRefreshTokensValidFrom değerini alın:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
            $user.StsRefreshTokensValidFrom
    
  3. Geçerli zaman damgasına eşit kullanıcı için yeni bir StsRefreshTokensValidFrom değeri yapılandırma:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2016")
    

Ayar tarihin gelecekte olması gerekir. Tarih gelecekte yoksa StsRefreshTokensValidFrom özelliği ayarlanmaz. Tarih gelecekte ise StsRefreshTokensValidFrom geçerli saat olarak ayarlanır (bu tarih, Set-MsolUser komutuyla Set-MsolUser).

4. Adım: Yapılandırmanızı test edin

Sertifikanızı test etme

İlk yapılandırma testi olarak, cihaz içi tarayıcınızı kullanarak Outlook Web Erişimi veya SharePoint Online'da oturum açmayı denemeniz gerekir.

Oturum açma başarılı olursa şunları bilirsiniz:

  • Kullanıcı sertifikası test cihazınıza sağlandı
  • AD FS doğru yapılandırıldı

Mobil Office test etme

  1. Test cihazınıza bir mobil Office yükleyin (örneğin, OneDrive).
  2. Uygulamayı başlatma.
  3. Kullanıcı adınızı girin ve ardından kullanmak istediğiniz kullanıcı sertifikasını seçin.

Başarıyla oturum amış olması gerekir.

İstemci Exchange ActiveSync test etme

Sertifika tabanlı Exchange ActiveSync (EAS) erişim için, uygulamanın istemci sertifikasını içeren bir EAS profili kullanılabilir olması gerekir.

EAS profili aşağıdaki bilgileri içermeli:

  • Kimlik doğrulaması için kullanılacak kullanıcı sertifikası

  • EAS uç noktası (örneğin, outlook.office365.com)

Bir EAS profili, Intune gibi Mobil cihaz yönetimi (MDM) kullanımı yoluyla veya sertifikayı cihaza EAS profiline el ile yerleştirerek yalıtılabilir ve cihaza yerleştirilebilir.

Android'de EAS istemci uygulamalarını test etme

  1. Uygulamada, önceki bölümdeki gereksinimleri karşılar bir EAS profili yapılandırma.
  2. Uygulamayı açın ve postanın eşitlenir olduğunu doğrulayın.

Sonraki adımlar

Android cihazlarda sertifika tabanlı kimlik doğrulaması hakkında ek bilgi.

iOS cihazlarda sertifika tabanlı kimlik doğrulaması hakkında ek bilgi.