通过

Microsoft Entra 基于证书的身份验证概述

  • 项目

通过 Microsoft Entra 基于证书的身份验证 (CBA),客户能够允许或要求用户使用 X.509 证书来针对其 Microsoft Entra ID 应用程序和浏览器登录直接进行身份验证。 此功能使客户能够采用防网络钓鱼诈骗的身份验证,并使用 X.509 证书来针对其公钥基础设施 (PKI) 进行身份验证。

什么是 Microsoft Entra CBA?

在实现对 CBA 到 Microsoft Entra ID 的云托管支持之前,客户必须实施基于联合证书的身份验证,这需要部署 Active Directory 联合身份验证服务 (AD FS) 才能使用针对 Microsoft Entra ID 的 X.509 证书进行身份验证。 借助 Microsoft Entra 基于证书的身份验证,客户可以直接针对 Microsoft Entra ID 进行身份验证,无需联合 AD FS,从而简化客户环境并降低成本。

下图显示了 Microsoft Entra CBA 如何通过消除联合 AD FS 来简化客户环境。

使用联合 AD FS 的基于证书的身份验证

Diagram of certificate-based authentication with federation.

Microsoft Entra 基于证书的身份验证

Diagram of Microsoft Entra certificate-based authentication.

使用 Microsoft Entra CBA 的主要优势

好处 说明
出色的用户体验 - 需要基于证书的身份验证的用户现在可以直接针对 Microsoft Entra ID 进行身份验证,而无需投资于联合 AD FS。
- 门户 UI 使用户能够轻松配置如何将证书字段映射到用户对象属性,以在租户中查找用户(证书用户名绑定
- 门户 UI 通过配置身份验证策略来帮助确定哪些证书是单因素证书,哪些是多因素证书。
易于部署和管理 - Microsoft Entra CBA 是一项免费功能,不需要拥有任何付费版本的 Microsoft Entra ID 即可使用此功能。
- 无需复杂的本地部署或网络配置。
- 直接针对 Microsoft Entra ID 进行身份验证。
安全 - 本地密码不需要以任何形式存储在云端。
- 通过与 Microsoft Entra 条件访问策略无缝协作来保护你的用户帐户,包括防网络钓鱼的多重身份验证(MFA 需要许可版本)和阻止旧式身份验证。
- 强身份验证支持,其中用户可以通过颁发者或策略 OID(对象标识符)等证书字段定义身份验证策略,以确定哪些证书满足单因素条件,哪些满足多因素条件。
- 该功能与条件访问功能和身份验证强度功能无缝协作来强制执行 MFA,从而帮助保护你的用户。

支持的方案

支持以下方案:

  • 用户在所有平台上登录到基于 Web 浏览器的应用程序。
  • 用户登录到 iOS/Android 平台上的 Office 移动应用以及 Windows 中的 Office 本机应用,包括 Outlook、OneDrive 等。
  • 用户在移动本机浏览器上登录。
  • 支持通过使用证书颁发者“使用者”和“策略 OID”进行多重身份验证的精细身份验证规则。
  • 使用以下任何证书字段配置证书到用户帐户的绑定:
    • 使用者可选名称 (SAN) PrincipalName 和 SAN RFC822Name
    • 使用者密钥标识符 (SKI) 和 SHA1PublicKey
    • 发卡机构 + 使用者、使用者和发卡机构 + SerialNumber
  • 使用以下任何用户对象属性配置证书到用户帐户的绑定:
    • 用户主体名称
    • onPremisesUserPrincipalName
    • CertificateUserIds

不支持的方案

不支持以下方案:

  • 不支持证书颁发机构提示,因此在证书选取器 UI 中为用户显示的证书列表不受范围限制。
  • 仅支持可信 CA 的一个 CRL 分发点 (CDP)。
  • CDP 只能是 HTTP URL。 我们不支持联机证书状态协议 (OCSP) 或轻型目录访问协议 (LDAP) URL。
  • 无法禁用密码作为身份验证方法,即使用户可以使用 Microsoft Entra CBA 方法,也会显示使用密码登录的选项。

Windows Hello 企业版证书的已知限制

  • 虽然 Windows Hello 企业版 (WHFB) 可用于 Microsoft Entra ID 中的多重身份验证,但新 MFA 不支持 WHFB。 客户可以选择使用 WHFB 密钥对为用户注册证书。 正确配置后,这些 WHFB 证书可用于 Microsoft Entra ID 中的多重身份验证。 WHFB 证书与 Edge 和 Chrome 浏览器中 Microsoft Entra 基于证书的身份验证 (CBA) 兼容;但目前 WHFB 证书在非浏览器方案中与 Microsoft Entra CBA 不兼容(例如 Office 365 应用程序)。 解决方法是使用“登录 Windows Hello 或安全密钥”选项进行登录(如果可用),因为此选项不使用证书进行身份验证,并且避免 Microsoft Entra CBA 出现问题;但此选项在某些较旧的应用程序中可能不可用。

超出范围

以下方案超出了 Microsoft Entra CBA 的范围:

  • 用于创建客户端证书的公钥基础结构。 客户需要配置自己的公钥基础结构 (PKI) 并将证书预配到用户和设备。

后续步骤