Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'organizzazione può usare l'autenticazione basata su certificati Microsoft Entra (CBA) per consentire o richiedere agli utenti di eseguire l'autenticazione direttamente usando certificati X.509 autenticati in MICROSOFT Entra ID per l'applicazione e l'accesso al browser.
Usare la funzionalità per adottare un'autenticazione resistente al phishing e per eseguire l'autenticazione usando certificati X.509 nell'infrastruttura a chiave pubblica .
Che cos'è Microsoft Entra CBA?
Prima che fosse disponibile il supporto gestito dal cloud per CBA a Microsoft Entra ID, un'organizzazione doveva implementare una CBA federata per consentire agli utenti di autenticarsi utilizzando certificati X.509 con Microsoft Entra ID. Includeva la distribuzione di Active Directory Federation Services (AD FS). Con Microsoft Entra CBA, è possibile eseguire l'autenticazione direttamente con Microsoft Entra ID ed eliminare la necessità di AD FS federati, per un ambiente semplificato e una riduzione dei costi.
Le figure successive illustrano come Microsoft Entra CBA semplifica l'ambiente eliminando AD FS federato.
CBA con AD FS federato
Microsoft Entra Autenticazione Basata su Certificato (CBA)
Vantaggi principali dell'uso dell'autenticazione basata su certificati di Microsoft Entra
| Beneficio | Descrizione |
|---|---|
| Esperienza utente migliorata | - Gli utenti che necessitano di CBA possono ora eseguire l'autenticazione direttamente con Microsoft Entra ID e non devono investire in AD FS federati. - È possibile usare il centro di amministrazione per associare facilmente i campi del certificato agli attributi dell'oggetto utente per cercare l'utente nel tenant (associazioni nome utente certificato) - Usare l'interfaccia di amministrazione per configurare i criteri di autenticazione per determinare quali certificati sono a fattore singolo rispetto a più fattori. |
| Facile da distribuire e amministrare | - Microsoft Entra CBA è una funzionalità gratuita. Non sono necessarie edizioni a pagamento di Microsoft Entra ID per usarle. - Non è necessario eseguire distribuzioni locali o configurazioni di rete complessi. - Eseguire direttamente l'autenticazione con Microsoft Entra ID. |
| Protetto | - Le password locali non devono in nessun modo essere archiviate nel cloud. - Protegge gli account utente lavorando perfettamente con i criteri di accesso condizionale di Microsoft Entra, tra cui l'autenticazione a più fattori resistente al phishing (MFA). L'autenticazione a più fattori richiede un'edizione con licenza e blocca l'autenticazione legacy. - Supporto per l'autenticazione avanzata. Gli amministratori possono definire politiche di autenticazione tramite i campi certificato, come emittente o identificatore dell'oggetto dei criteri (OID), per determinare quali certificati possono essere considerati come autenticazione a fattore singolo rispetto a più fattori. - La funzionalità funziona perfettamente con le funzionalità di accesso condizionale e la capacità di autenticazione avanzata, che insieme applicano l'autenticazione a più fattori per proteggere gli utenti. |
Scenari supportati
Sono supportati gli scenari che seguono:
Accessi utente alle applicazioni basate su Web browser in tutte le piattaforme
Accessi utente alle app office per dispositivi mobili su piattaforme iOS e Android e app native di Office in Windows, tra cui Outlook e OneDrive
Gli accessi degli utenti sui browser nativi per dispositivi mobili
Regole di autenticazione granulari per l'autenticazione a più fattori usando l'oggetto del certificato dell'emittente e l'OID dei criteri di politica.
Associazioni di certificato a account utente usando qualunque dei campi del certificato
-
SubjectAlternativeName(SAN),PrincipalNameeRFC822Name -
SubjectKeyIdentifier(SKI) eSHA1PublicKey -
IssuerAndSubjecteIssuerAndSerialNumber
-
Associazioni di account da certificato a utente usando uno degli attributi dell'oggetto utente:
userPrincipalNameonPremisesUserPrincipalNamecertificateUserIds
Scenari non supportati
Non sono supportati gli scenari seguenti:
- Gli indizi dell'autorità di certificazione (CA) non sono supportati. L'elenco dei certificati che appare per gli utenti nell'interfaccia utente di selezione dei certificati non è limitato.
- È supportato un solo punto di distribuzione CRL (CDP) per una CA attendibile.
- Cdp può essere solo URL HTTP. Non supportiamo gli URL del protocollo OCSP (Online Certificate Status Protocol) o del protocollo LDAP (Lightweight Directory Access Protocol).
- La password come metodo di autenticazione non può essere disattivata. Viene visualizzata l'opzione per accedere usando una password, anche quando il metodo CBA Di Microsoft Entra è disponibile per l'utente.
Limitazione nota con i certificati di Windows Hello for Business
Anche se Windows Hello for Business può essere usato per MFA in Microsoft Entra ID, Windows Hello for Business non è supportato per l'autenticazione a più fattori aggiornata. È possibile scegliere di registrare i certificati per gli utenti usando la chiave/coppia Windows Hello for Business. Se configurati correttamente, i certificati di Windows Hello for Business possono essere usati per MFA in Microsoft Entra ID.
I certificati di Windows Hello for Business sono compatibili con Microsoft Entra CBA nei browser Microsoft Edge e Chrome. Attualmente, i certificati di Windows Hello for Business non sono compatibili con Microsoft Entra CBA in scenari nonbrowser, ad esempio nelle applicazioni di Office 365. Una risoluzione consiste nell'usare l'opzione Accedi a Windows Hello o chiave di sicurezza per accedere (quando disponibile). Questa opzione non usa i certificati per l'autenticazione ed evita il problema relativo all'autenticazione CBA di Microsoft Entra. L'opzione potrebbe non essere disponibile in alcune applicazioni precedenti.
Fuori ambito
Gli scenari seguenti non rientrano nell'ambito di Microsoft Entra CBA:
- Creazione o fornitura di un'infrastruttura a chiave pubblica (PKI) per la creazione di certificati client. È necessario configurare l'infrastruttura a chiave pubblica e effettuare il provisioning dei certificati per utenti e dispositivi.