Come configurare l'autenticazione basata su certificati Microsoft Entra

  • Articolo

L'autenticazione basata su certificati (CBA) di Microsoft Entra consente alle organizzazioni di configurare i tenant di Microsoft Entra per consentire o richiedere agli utenti di eseguire l'autenticazione con certificati X.509 creati dall'infrastruttura a chiave pubblica (PKI) aziendale per l'accesso all'app e al browser. Questa funzionalità consente alle organizzazioni di adottare la moderna autenticazione senza password resistente al phishing usando un certificato x.509.

Durante l'accesso, gli utenti vedranno anche un'opzione per l'autenticazione con un certificato anziché dover immettere una password. Se nel dispositivo sono presenti più certificati corrispondenti, l'utente può selezionarne uno da usare. Il certificato viene convalidato rispetto all'account utente e, in caso di esito positivo, l’utente effettua l'accesso.

Seguire queste istruzioni per configurare e usare Microsoft Entra CBA per i tenant di Microsoft Office 365 per aziende e piani degli enti pubblici degli Stati Uniti. Dovrebbe essere già configurata unaPKI..

Prerequisiti

Verifica che siano soddisfatti i seguenti prerequisiti:

  • Configurare almeno un'autorità di certificazione (CA) ed eventuali CA intermedie in Microsoft Entra ID.
  • L'utente deve avere accesso a un certificato utente (rilasciato da una PKI attendibile configurata nel tenant) destinato all'autenticazione client per l'autenticazione con Microsoft Entra ID.
  • Ogni CA deve avere un elenco di revoche di certificati (CRL) a cui è possibile fare riferimento da URL per Internet. Se la CA attendibile non dispone di un CRL configurato, il Microsoft Entra ID non eseguirà alcun controllo CRL, la revoca dei certificati utente non funzionerà e l'autenticazione non verrà bloccata.

Importante

Assicurarsi che la PKI sia sicura e non possa essere facilmente compromessa. In caso di compromissione, l'utente malintenzionato può creare e firmare certificati client e compromettere qualsiasi utente nel tenant, sia gli utenti sincronizzati in locale che gli utenti solo cloud. Tuttavia, una strategia di protezione avanzata delle chiavi, insieme ad altri controlli fisici e logici, ad esempio schede di attivazione del modulo di protezione hardware o token per l'archiviazione sicura degli artefatti, può fornire una difesa approfondita per impedire a utenti malintenzionati esterni o minacce interne di compromettere l'integrità della PKI. Per altre informazioni, vedere Protezione della PKI.

Importante

Per le procedure consigliate per la crittografia Microsoft relativa alla scelta dell'algoritmo, alla lunghezza delle chiavi e alla protezione dei dati, vedere i Consigli di Microsoft. Assicurarsi di usare uno degli algoritmi consigliati, la lunghezza della chiave e le curve approvate dal National Institute of Standards and Technology (NIST).

Importante

Nell'ambito dei continui miglioramenti della sicurezza degli endpoint di Azure/M365, si sta aggiungendo il supporto per TLS1.3, processo che richiederà alcuni mesi per coprire le migliaia di endpoint di servizio in Azure/M365. Sono inclusi l'endpoint Microsoft Entra usato da Microsoft Entra CBA *.certauth.login.microsoftonline.com e *.certauth.login.microsoftonline.us. TLS 1.3 è la versione più recente del protocollo di sicurezza più implementato di Internet, che crittografa i dati per fornire un canale di comunicazione sicuro tra due endpoint. TLS 1.3 elimina gli algoritmi di crittografia obsoleti, migliora la sicurezza rispetto alle versioni precedenti e mira a crittografare la maggior parte dell'handshake possibile. È consigliabile che gli sviluppatori inizino a testare TLS 1.3 nelle loro applicazioni e servizi.

Nota

Quando si valuta una PKI, è importante esaminare i criteri di rilascio e l'applicazione dei certificati. Come accennato, l'aggiunta di una CA alla configurazione di Microsoft Entra consente ai certificati rilasciati da tali CA di autenticare qualsiasi utente in Microsoft Entra ID. Per questo motivo, è importante considerare come e quando le CA sono autorizzate a rilasciare certificati e come esse implementano identificatori riutilizzabili. Quando gli amministratori devono assicurarsi che solo un certificato specifico consenta di autenticare un utente, gli amministratori devono usare esclusivamente associazioni di affinità elevata per ottenere un livello più elevato di garanzia che solo un certificato specifico consenta di autenticare l'utente. Per altre informazioni, vedere Associazioni ad alta affinità.

Procedura per configurare e testare Microsoft Entra CBA

Alcuni passaggi di configurazione da eseguire prima di abilitare Microsoft Entra CBA. Prima di tutto, un amministratore deve configurare le CA attendibili che rilasciano certificati utente. Come illustrato nel diagramma seguente, viene usato il controllo degli accessi in base al ruolo per assicurare che per apportare modifiche siano necessari solo gli amministratori con privilegi minimi.

Per gestire questa funzionalità è necessario un amministratore globale.

Facoltativamente, puoi anche configurare le associazioni dell’autenticazione per eseguire il mapping dei certificati per l’autenticazione a fattore singolo o l’autenticazione a più fattori e configurare le associazioni nome utente per eseguire il mapping del campo del certificato per un attributo dell'oggetto utente. Gli amministratori dei criteri di autenticazione possono configurare le impostazioni correlate all'utente. Una volta completate tutte le configurazioni, abilitare Microsoft Entra CBA nel tenant.

Diagramma dei passaggi necessari per abilitare la Microsoft Entra CBA.

Passaggio 1: Configurare le autorità di certificazione

È possibile configurare le CA usando l'interfaccia di amministrazione di Microsoft Entra o le API REST di Microsoft Graph e gli SDK supportati, ad esempio Microsoft Graph PowerShell. L'infrastruttura PKI o l'amministratore PKI devono riuscire a fornire l'elenco delle CA emittenti. Per assicurarsi di aver configurato tutte le CA, aprire il certificato utente e fare clic sulla scheda "Percorso di certificazione" e assicurarsi che ogni CA fino alla radice venga caricata nell'archivio attendibilità di Microsoft Entra ID. L'autenticazione CBA avrà esito negativo se mancano delle CA.

Configurare le autorità di certificazione usando l'interfaccia di amministrazione di Microsoft Entra

Per abilitare la CBA e configurare le associazioni utente nell'interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:

  1. Accedere all’Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

  2. Passare a Protezione>Mostra altro>Centro sicurezza (o Punteggio di sicurezza delle identità) >Certifica autorità.

  3. Per caricare una CA, selezionare Carica:

    1. Selezionare il file CA.

    2. Selezionare se la CA è un certificato radice. In caso contrario, selezionare No.

    3. Per l’Elenco di revoche di certificati degli URL, impostare l'URL pubblico per il CRL di base della CA che contiene tutti i certificati revocati. Se l'URL non è impostato, l'autenticazione con certificati revocati non avrà esito negativo.

    4. Per l'URLdell'elenco di revoche di certificati DELTA, impostare l'URL pubblico per il CRL che contiene tutti i certificati revocati a partire dalla pubblicazione dell'ultimo CRL di base.

    5. Selezionare Aggiungi.

      Screenshot di come caricare il file della CA.

  4. Per eliminare un certificato della CA, selezionare il certificato e selezionare Elimina.

  5. Selezionare Etichette di colonna per aggiungere o eliminare colonne.

Nota

Il caricamento di una nuova CA ha esito negativo se una CA esistente è scaduta. È necessario eliminare qualsiasi CA scaduta e riprovare a caricare la nuova CA.

Per gestire questa funzionalità è necessario un amministratore globale.

Configurare le autorità di certificazione (CA) con PowerShell

Per ogni CA attendibile è supportato un solo punto di distribuzione CRL (CDP). Il CDP può essere solo degli URL HTTP. Gli URL protocollo di stato del certificato online (OCSP) o il Lightweight Directory Access Protocol (LDAP) non sono supportati.

Per configurare le proprie autorità di certificazione in Microsoft Entra ID, caricare gli elementi seguenti per ogni autorità:

  • La parte pubblica del certificato, nel formato .cer
  • Gli URL Internet in cui si trovano gli elenchi di revoche di certificati (Certificate Revocation List o CRL)

Lo schema per un'autorità di certificazione ha un aspetto simile al seguente:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Per la configurazione, è possibile usare Microsoft Graph PowerShell:

  1. Avviare Windows PowerShell con privilegi amministrativi.

  2. Installare Microsoft Graph PowerShell:

        Install-Module Microsoft.Graph

Il primo passaggio di configurazione consiste nello stabilire una connessione con il tenant. Non appena viene stabilita la connessione al tenant è possibile rivedere, aggiungere, eliminare e modificare le autorità di certificazione attendibili definite nella directory.

Connessione

Per stabilire una connessione con il tenant, usare Connect-MgGraph:

    Connect-MgGraph

Retrieve

Per recuperare le autorità di certificazione attendibili definite nella directory, usare Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Aggiunta

Nota

Il caricamento di nuove CA avrà esito negativo se una delle CA esistenti è scaduta. L'amministratore tenant deve eliminare le CA scadute e quindi caricare la nuova CA.

Seguire i passaggi precedenti per aggiungere una CA nell'interfaccia di amministrazione di Microsoft Entra.

AuthorityType

  • Usare 0 per indicare un'autorità di certificazione radice
  • Usare 1 per indicare una CA emittente o intermedia.

crlDistributionPoint

È possibile scaricare il CRL e confrontare il certificato CA e le informazioni CRL per convalidare il valore crlDistributionPoint. Nell'esempio di PowerShell precedente è valido per la CA che si vuole aggiungere.

La tabella e l'immagine seguenti mostrano come eseguire il mapping delle informazioni dal certificato CA agli attributi del CRL scaricato.

Informazioni del certificato della CA = Informazioni CRL scaricate
Oggetto = Autorità di certificazione
Identificatore della chiave del soggetto = Identificatore di chiave dell'autorità (KeyID)

Confrontare il certificato della CA con le informazioni CRL.

Suggerimento

Il valore di crlDistributionPoint nell'esempio precedente è il percorso http del CRL della CA. Questo valore è disponibile in poche posizioni:

  • Nell'attributo CRL Distribution Point (CDP) di un certificato emesso dalla CA.

Se la CA emittente esegue Windows Server:

  • Nelle Proprietà della CA nell’autorità di certificazione di Microsoft Management Console (MMC).
  • Nella CA, eseguendo certutil -cainfo cdp. Per altre informazioni, vedere certutil.

Per altre informazioni, vedere Comprensione del processo di revoca dei certificati.

Configurare le autorità di certificazione usando le API Microsoft Graph

Le API Microsoft Graph possono essere usate per configurare le CA. Per aggiornare l'archivio attendibilità della CA di Microsoft Entra, seguire la procedura descritta nei comandi certificatebasedauthconfiguration di MSGraph.

Convalidare la configurazione dell'autorità di certificazione

È importante assicurarsi che il risultato dei passaggi di configurazione sopra descritti consentano a Microsoft Entra sia di convalidare la catena di certificati dell’autorità di certificazione, sia di acquisire correttamente il l’elenco di revoche di certificati (CRL) dal punto di distribuzione CRL (PDC) dell’ dell’autorità di certificazione configurata. Per facilitare questa attività, è consigliabile installare il modulo di PowerShell MSIdentity Tools ed eseguire Test-MsIdCBATrustStoreConfiguration. Questo cmdlet di PowerShell revisionerà la configurazione della CA del tenant di Microsoft Entra e gli errori/avvisi della superficie relativi a problemi comuni di errata configurazione.

Passaggio 2: Abilitare la CBA nel tenant

Importante

Un utente è considerato capace di eseguire l’MFA quando è nell'ambito dell'Autenticazione basata su certificati nei criteri dei metodi di autenticazione. Questo requisito di criterio significa che un utente non può usare la prova come parte dell'autenticazione per registrare altri metodi disponibili. Se gli utenti non hanno accesso ai certificati, verranno bloccati e non potranno registrare altri metodi per l'MFA. L'amministratore deve quindi abilitare gli utenti che dispongono di un certificato valido nell'ambito CBA. Non usare tutti gli utenti per la destinazione CBA e usare gruppi di utenti che dispongono di certificati validi disponibili. Per altre informazioni, vedere Autenticazione a più fattori di Microsoft Entra.

Per abilitare la CBA nell'interfaccia di amministrazione di Microsoft Entra, completare la procedura seguente:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

  2. Passare a Gruppi>Tutti i gruppi> selezionare Nuovo gruppo e creare un gruppo per gli utenti CBA

  3. Passare a Protezione>Metodi di autenticazione>Autenticazione basata sui certificati.

  4. In Abilita e destinazioneselezionare Abilita.

  5. Selezionare Tutti gli utentioppure Aggiungi gruppi per selezionare gruppi specifici come quello creato in precedenza. È consigliabile usare gruppi specifici anziché Tutti gli utenti.

    Screenshot di come abilitare la CBA.

Dopo aver abilitato la CBA nel tenant, tutti gli utenti nel tenant vedranno l'opzione per accedere con un certificato. Solo gli utenti abilitati per la CBA potranno eseguire l'autenticazione usando il certificato X.509.

Nota

L'amministratore di rete deve consentire l'accesso all'endpoint certauth per l'ambiente cloud del cliente oltre a login.microsoftonline.com. Disabilitare l'ispezione TLS nell'endpoint certauth per assicurarsi che la richiesta del certificato client venga accolta come parte dell'handshake TLS.

Passaggio 3: Configurare i criteri di associazione di autenticazione

I criteri di associazione dell'autenticazione consentono di determinare la forza dell'autenticazione a fattore singolo o MFA Il livello di protezione predefinito per i certificati nel tenant è l'autenticazione a fattore singolo.

Un amministratore dei criteri di autenticazione può modificare il valore predefinito da fattore singolo a più fattori e configurare regole di criteri personalizzate. Le regole di associazione di autenticazione eseguono il mapping degli attributi del certificato, quali l’Autorità di certificazione o l’OID dei criteri o entrambi, impostandoli su un valore e seleziona il livello di protezione predefinito per tali regole. È possibile creare più regole.

Per modificare le impostazioni predefinite del tenant nell'interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

  2. Passare a Protezione>Metodi di autenticazione>Criteri.

  3. In Gestisciselezionare Metodi di autenticazione>Autenticazione basata su certificato.

    Screenshot dei criteri di autenticazione.

  4. Selezionare Configura per configurare l'associazione di autenticazione e l'associazione del nome utente.

  5. L'attributo del livello di protezione ha un valore predefinito di Autenticazione a fattore singolo. Selezionare Autenticazione a più fattori per cambiare dal valore predefinito a MFA.

    Nota

    Il valore predefinito del livello di protezione è attivo se non vengono aggiunte delle regole personalizzate. Se vengono aggiunte delle regole personalizzate, viene invece rispettato il livello di protezione definito a livello di regola.

    Screenshot di come cambiare dal valore predefinito a MFA.

  6. È anche possibile configurare regole di associazione di autenticazione personalizzate per determinare il livello di protezione dei certificati client. Può essere configurato utilizzando sia il campo soggetto dell'autorità di certificazione che l'OID dei criteri nel certificato.

    Le regole di associazione di autenticazione eseguiranno il mapping degli attributi del certificato (l’autorità di certificazione o l’OID dei criteri) impostandoli su un valore e selezionerà il livello di protezione predefinito per tali regole. È possibile creare più regole.

    Per aggiungere regole personalizzate, selezionare Aggiungi regola.

    Screenshot di come aggiungere una regola.

    Per creare una regola in base all’autorità di certificazione, selezionare Autorità di certificazione.

    1. Selezionare un Identificatore dell'autorità di certificazione nella casella di riepilogo.

    2. Selezionare Autenticazione a più fattori, Bassa associazione di affinità e quindi fare clic su Aggiungi. Quando richiesto, fare clic su Conferma per terminare l'aggiunta della regola.

      Screenshot dei criteri di MFA.

    Per creare una regola in base all’OID dei criteri, selezionare OID dei criteri.

    1. Immettere un valore per OID dei criteri.

    2. Selezionare Autenticazione a più fattori, Bassa associazione di affinità e quindi fare clic su Aggiungi. Quando richiesto, fare clic su Conferma per terminare l'aggiunta della regola. .

      Screenshot del mapping dell'OID dei criteri.

    Per creare una regola in base all'Autorità di certificazione e all’OID dei criteri:

    1. Selezionare Autorità di certificazione e OID dei criteri.

    2. Selezionare un'autorità di certificazione e immettere l'OID dei criteri.

    3. Per il livello di autenticazione selezionare Autenticazione a singolo fattore o Autenticazione a più fattori.

    4. Per l’associazione di affinità selezionare Bassa.

      Screenshot di come selezionare un'associazione di bassa affinità.

    5. Selezionare Aggiungi.

      Screenshot di come aggiungere un'associazione di bassa affinità.

    6. Autenticarsi con un certificato provvisto di un OID dei criteri 3.4.5.6 e rilasciato da CN=CBATestRootProd. L'autenticazione dovrebbe avere esito positivo e ottenere un'attestazione a più fattori.

Importante

Esiste un problema noto per cui un amministratore tenant di Microsoft Entra configura una regola dei criteri di autenticazione CBA usando sia l'Autorità di certificazione che l'OID dei criteri influendo su alcuni scenari di registrazione dei dispositivi, tra cui:

  • Registrazione di Windows Hello For Business
  • Registrazione della chiave di sicurezza Fido2
  • Accesso a Windows tramite telefono senza password

La registrazione dei dispositivi con Workplace Join, Microsoft Entra ID e gli scenari dei dispositivi aggiunti a Microsoft Entra ibrido non sono interessati. Le regole dei criteri di autenticazione CBA che usano l'Autorità di certificazione o l’OID dei criteri non sono interessate. Per mitigare il problema, gli amministratori devono:

  • Modificare le regole dei criteri di autenticazione basate su certificati che usano attualmente sia l’opzione Autorità di certificazione che OID dei criteri e rimuovere il requisito Autorità di certificazione o OID e salvare. OPPURE
  • Rimuovere la regola dei criteri di autenticazione attuale che usa sia l'autorità di certificazione che L’OID dei criteri e creare regole usando solo l'autorità di certificazione o l’OID dei criteri

Microsoft sta lavorando per risolvere il problema.

Per creare una regola in base all'autorità di certificazione e al numero di serie:

  1. Aggiungere un criterio di associazione di autenticazione che richiede qualsiasi certificato emesso da CN=CBATestRootProd con policyOID 1.2.3.4.6 richiede solo l'associazione ad affinità elevata, ovvero vengono usati l’autorità di certificazione e il numero di serie.

    Screenshot dell'autorità di certificazione e del numero di serie aggiunti all'interfaccia di amministrazione di Microsoft Entra.

  2. Selezionare il campo del certificato. In questo esempio si selezionerà Autorità di certificazione e Numero di serie.

    Screenshot di come selezionare autorità di certificazione e numero di serie.

  3. L'unico attributo utente supportato è CertificateUserIds. Selezionare Aggiungi.

    Screenshot di come aggiungere autorità di certificazione e numero di serie.

  4. Seleziona Salva.

Il log di accesso mostra l'associazione usata e i dettagli del certificato.

Screenshot del log di accesso.

  1. Selezionare OK per salvare qualsiasi regola personalizzata.

Importante

Immettere PolicyOID usando il formato dell'identificatore di oggetto. Ad esempio, se il criterio del certificato indica Tutti i criteri di rilascio, immettere l'OID come 2.5.29.32.0 quando si aggiunge la regola. La stringa Tutti i criteri di rilascio non è valida per l'editor delle regole e non avrà effetto.

Passaggio 4: Configurare i criteri di associazione del nome utente

Il criterio di associazione del nome utente aiuta a convalidare il certificato dell'utente. Per impostazione predefinita, il nome dell'entità di sicurezza nel certificato viene mappato in UserPrincipalName nell'oggetto utente per determinare l'utente.

Un amministratore dei criteri di autenticazione può sostituire l’impostazione predefinita e creare un mapping personalizzato. Per determinare come configurare l'associazione dei nomi utente, vedere Funzionamento dell'associazione dei nomi utente.

Per altre informazioni sugli scenari che usano l'attributo certificateUserIds, vedere Certificato ID utente.

Importante

Se un criterio di associazione del nome utente utilizza attributi sincronizzati, ad esempio certificateUserIds, onPremisesUserPrincipalName e userPrincipalName, attributo dell'oggetto utente, tenere presente che gli account con privilegi amministrativi in Active Directory (ad esempio quelli con diritti delegati per gli oggetti utente o i diritti amministrativi per Microsoft Entra Connect Server) possono apportare modifiche che influiscono su questi attributi in Microsoft Entra ID.

  1. Creare l'associazione nome utente selezionando uno dei campi certificato X.509 da associare a uno degli attributi utente. L'ordine di associazione del nome utente rappresenta il livello di priorità dell'associazione. Il primo ha la priorità più alta e così via.

    Screenshot di un criterio di associazione nome utente.

    Se il campo certificato X.509 specificato si trova nel certificato, ma il Microsoft Entra ID non trova un oggetto utente che usa tale valore, l'autenticazione non avrà esito positivo. Microsoft Entra ID proverà l'associazione successiva nell'elenco.

  2. Seleziona Salva per salvare le modifiche.

La configurazione finale sarà simile a quella della seguente immagine:

Screenshot della configurazione finale.

Passaggio 5: Verificare la configurazione

Questa sezione illustra come testare il certificato e le regole di associazione di autenticazione personalizzate.

Testare il certificato

Come primo test di configurazione, è consigliabile provare ad accedere al Portale MyApps dal browser del proprio dispositivo.

  1. Immettere il nome dell'entità utente (UPN).

    Screenshot del nome dell'entità utente.

  2. Selezionare Avanti.

    Screenshot dell'accesso con il certificato.

    Se sono stati abilitati altri metodi di autenticazione, ad esempio l'accesso tramite telefono o FIDO2, gli utenti potrebbero visualizzare una schermata di accesso diversa.

    Screenshot dell'accesso alternativo.

  3. Selezionare Accedi con un certificato.

  4. Selezionare il certificato utente corretto nell’interfaccia utente per la selezione dei certificati client e selezionare OK.

    Screenshot della UI della selezione dei certificati

  5. Gli utenti devono accedere al Portale MyApps.

Se l'accesso ha esito positivo significa che:

  • È stato fornito il certificato utente al dispositivo di test.
  • Microsoft Entra ID è configurato correttamente con CA attendibili.
  • L'associazione nome utente è configurata correttamente e l'utente viene trovato e autenticato.

Testare le regole di associazione di autenticazione personalizzate

Verrà ora illustrato uno scenario in cui viene convalidata l'autenticazione avanzata. Verranno create due regole dei criteri di autenticazione, una usando l'autorità di certificazione soggetta a soddisfare l'autenticazione a fattore singolo e un'altra usando l'identificatore di oggetto (OID) del criterio per soddisfare l'MFA.

  1. Creare una regola soggetto dell'autorità di certificazione con livello di protezione come autenticazione a fattore singolo e valore impostato sul valore soggetto della CA. Ad esempio:

    CN = WoodgroveCA

  2. Creare una regola OID del criterio, con livello di protezione MFA e valore impostato su uno degli OID dei criteri nel certificato. Ad esempio 1.2.3.4.

    Screenshot della regola OID dei criteri.

  3. Creare un criterio di accesso condizionale per l'utente per richiedere l'MFA seguendo la procedura descritta in Accesso condizionale - Richiedi MFA.

  4. Passare a Portale MyApps. Immettere l'UPN e selezionare Avanti.

    Screenshot del nome dell'entità utente.

  5. Selezionare Accedi con un certificato.

    Screenshot dell'accesso con il certificato.

    Se sono stati abilitati altri metodi di autenticazione, ad esempio l'accesso tramite telefono o le chiavi di sicurezza, gli utenti potrebbero visualizzare una schermata di accesso diversa.

    Screenshot dell'accesso alternativo.

  6. Selezionare il certificato client e selezionare Informazioni del certificato.

    Screenshot della selezione client.

  7. Viene visualizzato il certificato ed è possibile verificare i valori dell'autorità di certificazione e dell’OID dei criteri. Screenshot dell'autorità di certificazione.

  8. Per visualizzare i valori dell'OID dei criteri, selezionare Dettagli.

    Screenshot dei dettagli dell'autenticazione.

  9. Selezionare il certificato client e selezionare OK.

  10. L'OID dei criteri nel certificato corrisponde al valore configurato 1.2.3.4e soddisfa l'MFA. Analogamente, l'autorità di certificazione nel certificato corrisponde al valore configurato di CN=WoodgroveCAe soddisfa l'autenticazione a fattore singolo.

  11. Poiché la regola OID dei criteri ha la precedenza sulla regola dell'autorità di certificazione, il certificato soddisfa l'MFA.

  12. I criteri di accesso condizionale per l'utente richiedono l'MFA e il certificato soddisfa i criteri a più fattori, in modo che l'utente possa accedere all'applicazione.

Testare i criteri di associazione del nome utente

Il criterio di associazione del nome utente aiuta a convalidare il certificato dell'utente. Esistono tre associazioni supportate per i criteri di associazione del nome utente:

  • IssuerAndSerialNumber > CertificateUserIds
  • IssuerAndSubject > CertificateUserIds
  • Subject > CertificateUserIds

Per impostazione predefinita, Microsoft Entra ID esegue il mapping del nome dell'entità di sicurezza nel certificato in UserPrincipalName nell'oggetto utente per determinare l'utente. Un amministratore dei criteri di autenticazione può sostituire il valore predefinito e creare un mapping personalizzato, come illustrato in precedenza nel passaggio 4.

Prima di abilitare le nuove associazioni, un amministratore dei criteri di autenticazione deve assicurarsi che i valori corretti per le associazioni vengano aggiornati nell'attributo dell'oggetto utente CertificateUserIds per le associazioni del nome utente corrispondenti.

Importante

Il formato dei valori di Autorità di certificazione, Soggetto e Numero di serie devono essere nell'ordine inverso del formato nel certificato. Non aggiungere spazio nell'autorità di certificazione o nel soggetto.

Mapping manuale dell'autorità di certificazione e del numero di serie

Di seguito è riportato un esempio per il mapping manuale dell'autorità di certificazione e del numero di serie. Il valore dell’autorità di certificazione da aggiungere è:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Screenshot del valore dell’autorità di certificazione.

Per ottenere il valore corretto del numero di serie, eseguire questo comando e archiviare il valore visualizzato in CertificateUserIds: La sintassi del comando è:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Ad esempio:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Di seguito è riportato un esempio di comando CertUtil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Il valore SerialNumber da aggiungere in CertificateUserId è:

b24134139f069b49997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Mapping manuale dell’autorità di certificazione e del soggetto

Di seguito è riportato un esempio relativo al mapping manuale dell’autorità di certificazione e del soggetto. Il valore dell’autorità di certificazione è:

Screenshot del valore dell’autorità di certificazione se usato con più associazioni.

Il valore del soggetto è:

Screenshot del valore del soggetto.

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Mapping manuale del soggetto

Ecco un esempio di mapping manuale del soggetto. Il valore del soggetto è:

Screenshot di un altro valore del soggetto.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testare l'associazione di affinità

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

  2. Passare a Protezione>Metodi di autenticazione>Criteri.

  3. In Gestisciselezionare Metodi di autenticazione>Autenticazione basata su certificato.

  4. Seleziona Configura.

  5. Impostare l’Associazione di affinità obbligatoria a livello di tenant.

    Importante

    Prestare attenzione all'impostazione di affinità a livello di tenant. È possibile bloccare l'intero tenant se si modifica l’Associazione di affinità obbligatoria a livello di tenant e non si hanno valori appropriati nell'oggetto utente. Analogamente, se si crea una regola personalizzata che si applica a tutti gli utenti e richiede un'associazione di affinità elevata, gli utenti nel tenant potrebbero essere bloccati.

    Screenshot di come impostare l'associazione di affinità richiesta.

  6. Per eseguire il test, selezionare che l’Associazione di affinità obbligatoriasia bassa.

  7. Aggiungere un'associazione ad alta affinità, ad esempio SKI. Selezionare Aggiungi regola in Associazione nome utente.

  8. Selezionare SKI e selezionare Aggiungi .

    Screenshot di come aggiungere un'associazione di affinità.

    Al termine, la regola sarà simile alla schermata seguente:

    Screenshot di un'associazione di affinità completata.

  9. Aggiornare tutti gli oggetti utente Attributo CertificateUserIds per avere il valore corretto di SKI dal certificato utente. Per altre informazioni, vedere Modelli supportati per CertificateUserIDs.

  10. Creare una regola personalizzata per l'associazione di autenticazione.

  11. Selezionare Aggiungi.

    Screenshot di un'associazione di autenticazione personalizzata.

    Al termine, la regola sarà simile alla schermata seguente:

    Screenshot di una regola personalizzata.

  12. Aggiornare l’utente CertificateUserIds con il valore SKI corretto dal certificato con l'OID dei criteri 9.8.7.5.

  13. Eseguire il test con un certificato con l'OID dei criteri 9.8.7.5 e l'utente deve essere autenticato con l'associazione SKI e ottenere l’MFA solo con il certificato.

Abilitare la CBA con l'API di Microsoft Graph

Per abilitare la CBA e configurare le associazioni di nomi utente tramite API Graph, segui questi passaggi.

  1. Vai su Microsoft Graph Explorer.

  2. Selezionare Accedi a Graph Explorer e accedere al tenant.

  3. Seguire la procedura per fornire all'autorizzazione delegataPolicy.ReadWrite.AuthenticationMethod il consenso.

  4. Ottenere tutti i metodi di autenticazione con una richiesta GET:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. Ottenere la configurazione per il metodo di autenticazione del certificato x509 con una richiesta GET:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Per impostazione predefinita, il metodo di autenticazione del certificato x509 è disabilitato. Per consentire agli utenti di accedere con un certificato, è necessario abilitare il metodo di autenticazione e configurare i criteri di autenticazione e associazione del nome utente tramite un'operazione di aggiornamento. Per aggiornare i criteri, eseguire una richiesta PATCH.

    Testo della richiesta:

    PATCH https: //graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Si ottiene un codice di 204 No content risposta. Eseguire nuovamente la richiesta GET per assicurarsi che i criteri vengano aggiornati correttamente.

  8. Testare la configurazione eseguendo l'accesso con un certificato che soddisfa i criteri.

Abilitare La CBA con Microsoft Power Shell

  1. Aprire una finestra di comando di Power Shell
  2. Connettersi a Microsoft Graph 
    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
  3. Creare una variabile per la definizione di un gruppo per gli utenti CBA 
    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
  4. Definire il corpo della richiesta 
    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5
  5. Eseguire la richiesta PATCH 
     Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Passaggi successivi