Federasyon ile Microsoft Entra Id'de sertifika tabanlı kimlik doğrulamayı kullanmaya başlama

Federasyon ile sertifika tabanlı kimlik doğrulaması (CBA), Exchange online hesabınızı aşağıdakilere bağlarken Windows, Android veya iOS cihazında bir istemci sertifikasıyla Microsoft Entra ID tarafından kimlik doğrulaması yapmanıza olanak tanır:

  • Microsoft Outlook ve Microsoft Word gibi Microsoft mobil uygulamaları
  • Exchange ActiveSync (EAS) istemcileri

Bu özelliğin yapılandırılması, mobil cihazınızda belirli postalara ve Microsoft Office uygulaması'lere kullanıcı adı ve parola bileşimi girme gereksinimini ortadan kaldırır.

Not

Alternatif olarak, kuruluşlar federasyona gerek kalmadan Microsoft Entra CBA'yı dağıtabilir. Daha fazla bilgi için bkz . Microsoft Entra kimliğine karşı Microsoft Entra sertifika tabanlı kimlik doğrulamasına genel bakış.

Bu konu:

  • Office 365 Kurumsal, İş, Eğitim ve US Government planlarındaki kiracı kullanıcıları için CBA yapılandırma ve kullanma adımlarını sağlar.
  • Zaten yapılandırılmış bir ortak anahtar altyapınız (PKI) ve AD FS'niz olduğunu varsayar.

Gereksinimler

CBA'yı federasyonla yapılandırmak için aşağıdaki deyimlerin doğru olması gerekir:

  • Federasyonlu CBA yalnızca tarayıcı uygulamaları, modern kimlik doğrulaması kullanan yerel istemciler veya MSAL kitaplıkları için Federasyon ortamlarında desteklenir. Tek özel durum, federasyon ve yönetilen hesaplar için kullanılabilen Exchange Online (EXO) için Exchange Active Sync 'dir (EAS). Federasyona gerek kalmadan Microsoft Entra CBA'yı yapılandırmak için bkz . Microsoft Entra sertifika tabanlı kimlik doğrulamasını yapılandırma.
  • Kök sertifika yetkilisi ve ara sertifika yetkilileri, Microsoft Entra Kimliği'nde yapılandırılmalıdır.
  • Her sertifika yetkilisinin, İnternet'e yönelik URL aracılığıyla başvurulabilen bir sertifika iptal listesi (CRL) olmalıdır.
  • Microsoft Entra Id'de yapılandırılmış en az bir sertifika yetkiliniz olmalıdır. İlgili adımları Sertifika yetkililerini yapılandırma bölümünde bulabilirsiniz.
  • Exchange ActiveSync istemcileri için, istemci sertifikasının Kullanıcının Exchange Online'daki yönlendirilebilir e-posta adresi, Konu Alternatif Adı alanının Asıl Adı veya RFC822 Adı değerinde olmalıdır. Microsoft Entra Id, RFC822 değerini dizindeki Proxy Adresi özniteliğiyle eşler.
  • İstemci cihazınızın, istemci sertifikaları veren en az bir sertifika yetkilisine erişimi olmalıdır.
  • İstemci kimlik doğrulaması için bir istemci sertifikası istemcinize verilmiş olmalıdır.

Önemli

Microsoft Entra Id'nin başarıyla indirilmesi ve önbelleğe alınması için crl boyutu üst sınırı 20 MB'tır ve CRL'yi indirmek için gereken süre 10 saniyeyi geçmemelidir. Microsoft Entra Id bir CRL'yi indiremezse, ilgili CA tarafından verilen sertifikaları kullanan sertifika tabanlı kimlik doğrulamaları başarısız olur. CRL dosyalarının boyut kısıtlamaları içinde olduğundan emin olmak için en iyi yöntemler, sertifika yaşam sürelerini makul sınırlar içinde tutmak ve süresi dolan sertifikaları temizlemektir.

1. Adım: Cihaz platformunuzu seçin

İlk adım olarak, önemsediğiniz cihaz platformu için aşağıdakileri gözden geçirmeniz gerekir:

  • Office mobil uygulamaları desteği
  • Belirli uygulama gereksinimleri

İlgili bilgiler aşağıdaki cihaz platformları için mevcuttur:

2. Adım: Sertifika yetkililerini yapılandırma

Sertifika yetkililerinizi Microsoft Entra Id'de yapılandırmak için, her sertifika yetkilisi için aşağıdakileri karşıya yükleyin:

  • Sertifikanın .cer biçimdeki genel bölümü
  • Sertifika İptal Listelerinin (CRL) bulunduğu İnternet'e yönelik URL'ler

Sertifika yetkilisi şeması aşağıdaki gibi görünür:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Yapılandırma için Microsoft Graph PowerShell'i kullanabilirsiniz:

  1. Windows PowerShell'i yönetici ayrıcalıklarıyla başlatın.

  2. Microsoft Graph PowerShell'i yükleyin:

        Install-Module Microsoft.Graph
    

İlk yapılandırma adımı olarak, kiracınızla bir bağlantı kurmanız gerekir. Kiracınıza bir bağlantı olduğunda dizininizde tanımlanan güvenilen sertifika yetkililerini gözden geçirebilir, ekleyebilir, silebilir ve değiştirebilirsiniz.

Bağlan

Kiracınızla bağlantı kurmak için Bağlan-MgGraph kullanın:

    Connect-MgGraph

Alma

Dizininizde tanımlanan güvenilen sertifika yetkililerini almak için Get-MgOrganizationCertificateBasedAuthConfiguration komutunu kullanın.

    Get-MgOrganizationCertificateBasedAuthConfiguration

CA eklemek, değiştirmek veya kaldırmak için Microsoft Entra yönetim merkezini kullanın:

  1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.

  2. Koruma>Daha fazla>Güvenlik Merkezi (veya Kimlik Güvenli Puanı) >Sertifika yetkilisini göster'e göz atın.

  3. CA'yı karşıya yüklemek için Karşıya Yükle'yi seçin:

    1. CA dosyasını seçin.

    2. CA bir kök sertifikaysa Evet'i seçin, aksi takdirde Hayır'ı seçin.

    3. Sertifika İptal Listesi URL'si için, iptal edilen tüm sertifikaları içeren CA temel CRL'si için İnternet'e yönelik URL'yi ayarlayın. URL ayarlanmazsa, iptal edilen sertifikalarla kimlik doğrulaması başarısız olmaz.

    4. Delta Sertifika İptal Listesi URL'si için, son temel CRL yayımlandıktan sonra iptal edilen tüm sertifikaları içeren CRL için İnternet'e yönelik URL'yi ayarlayın.

    5. Ekle'yi seçin.

      Screenshot of how to upload certification authority file.

  4. CA sertifikasını silmek için sertifikayı seçin ve Sil'i seçin.

  5. Sütun eklemek veya silmek için Sütunlar'ı seçin.

3. Adım: İptali yapılandırma

Bir istemci sertifikasını iptal etmek için Microsoft Entra ID, sertifika yetkilisi bilgilerinin bir parçası olarak karşıya yüklenen URL'lerden sertifika iptal listesini (CRL) getirir ve önbelleğe alır. CRL'deki son yayımlama zaman damgası (Geçerlilik Tarihi özelliği), CRL'nin hala geçerli olduğundan emin olmak için kullanılır. CRL'ye, listenin bir parçası olan sertifikalara erişimi iptal etmek için düzenli aralıklarla başvurulur.

Daha hızlı bir iptal gerekiyorsa (örneğin, bir kullanıcı bir cihazı kaybederse), kullanıcının yetkilendirme belirteci geçersiz kılınabilir. Yetkilendirme belirtecini geçersiz hale getirmek için, Windows PowerShell kullanarak bu kullanıcının StsRefreshTokenValidFrom alanını ayarlayın. Erişimini iptal etmek istediğiniz her kullanıcı için StsRefreshTokenValidFrom alanını güncelleştirmeniz gerekir.

İptal işleminin devam etmesini sağlamak için CRL'nin Geçerlilik Tarihini StsRefreshTokenValidFrom tarafından ayarlanan değerden sonraki bir tarihe ayarlamanız ve söz konusu sertifikanın CRL'de olduğundan emin olmanız gerekir.

Aşağıdaki adımlarda, StsRefreshTokenValidFrom alanını ayarlayarak yetkilendirme belirtecini güncelleştirme ve geçersiz kılma işlemi özetlenmiştir.

  1. PowerShell'e Bağlan:

    Connect-MgGraph
    
  2. Bir kullanıcı için geçerli StsRefreshTokensValidFrom değerini alın:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
            $user.StsRefreshTokensValidFrom
    
  3. Geçerli zaman damgasına eşit kullanıcı için yeni bir StsRefreshTokensValidFrom değeri yapılandırın:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")
    

Ayarladığınız tarih gelecekte olmalıdır. Tarih gelecekte değilse, StsRefreshTokensValidFrom özelliği ayarlanmaz. Tarih gelecekteyse, StsRefreshTokensValidFrom geçerli saate ayarlanır (Set-MsolUser komutu tarafından belirtilen tarih değil).

4. Adım: Yapılandırmanızı test edin

Sertifikanızı test etme

İlk yapılandırma testi olarak, cihaz içi tarayıcınızı kullanarak Outlook Web Access'te veya SharePoint Online'daoturum açmayı denemeniz gerekir.

Oturum açma işleminiz başarılı olursa şunları biliyorsunuzdur:

  • Kullanıcı sertifikası test cihazınıza sağlandı
  • AD FS doğru yapılandırıldı

Office mobil uygulamalarını test etme

  1. Test cihazınızda bir Office mobil uygulaması (örneğin, OneDrive) yükleyin.
  2. Uygulamayı başlatın.
  3. Kullanıcı adınızı girin ve kullanmak istediğiniz kullanıcı sertifikasını seçin.

Başarıyla oturum açmış olmanız gerekir.

Exchange ActiveSync istemci uygulamalarını test etme

Sertifika tabanlı kimlik doğrulaması aracılığıyla Exchange ActiveSync'e (EAS) erişmek için, istemci sertifikasını içeren bir EAS profilinin uygulama tarafından kullanılabilir olması gerekir.

EAS profili aşağıdaki bilgileri içermelidir:

  • Kimlik doğrulaması için kullanılacak kullanıcı sertifikası

  • EAS uç noktası (örneğin, outlook.office365.com)

Bir EAS profili, Microsoft Intune gibi Mobil cihaz yönetimi (MDM) kullanımı aracılığıyla veya sertifikayı cihazdaki EAS profiline el ile yerleştirerek yapılandırılabilir ve cihaza yerleştirilebilir.

Android'de EAS istemci uygulamalarını test etme

  1. Önceki bölümde yer alan gereksinimleri karşılayan bir EAS profili yapılandırın.
  2. Uygulamayı açın ve postanın eşitlendiğini doğrulayın.

Sonraki adımlar

Android cihazlarda sertifika tabanlı kimlik doğrulaması hakkında ek bilgi.

iOS cihazlarında sertifika tabanlı kimlik doğrulaması hakkında ek bilgi.