Compartilhar via

Como configurar a autenticação baseada em certificado do Microsoft Entra

A autenticação baseada em certificado (CBA) do Microsoft Entra permite que as organizações configurem seus locatários do Microsoft Entra para permitir ou exigir que os usuários se autentiquem com os certificados X.509 criados por sua Infraestrutura de Chave Pública (PKI) Enterprise para entrar no aplicativo e no navegador. Esse recurso permite que as organizações adotem a autenticação sem senha moderna resistente a phishing usando um certificado x.509.

Durante o login, os usuários verão uma opção para se autenticarem com um certificado, em vez de inserirem uma senha. Se vários certificados correspondentes estiverem presentes no dispositivo, o usuário poderá escolher qual deles usar. O certificado será validado na conta do usuário e, se for bem-sucedido, poderão entrar.

Siga estas instruções para configurar e usar a CBA do Microsoft Entra para os locatários nos planos Office 365 Enterprise e Governo dos EUA. Você já deve ter uma PKI (infraestrutura de chave pública) configurada.

Pré-requisitos

Verifique se os seguintes pré-requisitos estão em vigor.

  • Configure pelo menos uma autoridade certificadora (CA) e quaisquer CAs intermediárias no Microsoft Entra ID.
  • O usuário deve ter acesso a um certificado de usuário (emitido de uma Infraestrutura de chave pública confiável configurada no locatário) destinado à autenticação do cliente para autenticar no Microsoft Entra ID.
  • Cada AC deve ter uma lista de certificados revogados (CRL) que pode ser referenciada das URLs voltadas para a Internet. Se a CA confiável não tiver uma CRL configurada, o Microsoft Entra ID não executará as verificações de CRL, a revogação de certificados de usuário não funcionará e a autenticação não será bloqueada.

Importante

Verifique se a PKI está segura e não pode ser facilmente comprometida. No caso de um comprometimento, o invasor poderá criar e assinar certificados de cliente e comprometer os usuários no locatário, tanto os usuários sincronizados de usuários locais como os usuários somente de nuvem. No entanto, uma estratégia de proteção de chave forte em conjunto com outros controles físicos e lógicos, como cartões de ativação HSM ou tokens para o armazenamento seguro de artefatos, poderá fornecer defesa em profundidade para evitar que os invasores externos ou as ameaças internas comprometam a integridade da PKI. Para obter mais informações, consulte Proteção da PKI.

Importante

Visite as recomendações da Microsoft para obter as melhores práticas para o Microsoft Cryptographic que envolvem a escolha do algoritmo, o comprimento da chave e a proteção de dados. Verifique se você está usando um dos algoritmos recomendados, o comprimento da chave e as curvas aprovadas pelo NIST.

Importante

Como parte das melhorias contínuas de segurança, os pontos de extremidade do Azure/M365 adicionam suporte ao TLS1.3 e espera-se que esse processo leve alguns meses para abranger os milhares de pontos de extremidade de serviço no Azure/M365. Isso inclui o ponto de extremidade do Microsoft Entra usado pela autenticação baseada em certificado (CBA) do Microsoft Entra *.certauth.login.microsoftonline.com e *.certauth.login.microsoftonline.us. O TLS 1.3 é a versão mais recente do protocolo de segurança mais implantado na Internet, que criptografa dados para fornecer um canal de comunicação seguro entre dois pontos de extremidade. O TLS 1.3 elimina algoritmos criptográficos obsoletos, aprimora a segurança em relação às versões anteriores e visa criptografar o máximo possível do handshake. É altamente recomendável que os desenvolvedores comecem a testar o TLS 1.3 nos seus aplicativos e serviços.

Observação

Ao avaliar uma PKI, é importante examinar as políticas e a aplicação das políticas de emissão de certificados. Conforme já mencionado, adicionar autoridades de certificação (CAs) à configuração do Microsoft Entra ID permite que os certificados emitidos por essas CAs autentiquem qualquer usuário no Microsoft Entra ID. Por esse motivo, é importante considerar como e quando as ACs poderão emitir certificados e como implementarão os identificadores reusáveis. Quando houver necessidade dos administradores garantirem que apenas um certificado específico poderá ser usado para autenticar um usuário, os administradores deverão usar exclusivamente associações de alta afinidade para obter um nível de garantia mais alto de que apenas um certificado específico poderá autenticar o usuário. Para obter mais informações, consulte associações de alta afinidade.

Etapas para configurar e testar a CBA do Microsoft Entra

Algumas etapas da configuração precisam ser realizadas antes de você habilitar a CBA do Microsoft Entra. Primeiro, um administrador deve configurar as CAs confiáveis que emitem os certificados de usuário. Conforme observado no diagrama a seguir, usamos o controle de acesso baseado em função para garantir que apenas administradores com privilégios mínimos sejam necessários para relizarem as alterações.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Essa prática ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência ou quando você não pode usar uma função existente.

Opcionalmente, você também pode configurar as associações de autenticação para mapear os certificados para a autenticação multifator ou de fator único e configurar as associações de nome de usuário para mapear o campo de certificado de um atributo do objeto de usuário. Os Administradores de Política de Autenticação podem definir configurações relacionadas ao usuário. Depois que todas as configurações estiverem concluídas, habilite o CBA do Microsoft Entra no locatário.

Diagrama das etapas necessárias para habilitar a autenticação baseada em certificado do Microsoft Entra.

Etapa 1: Configurar as autoridades de certificação com o repositório de confiança baseado em PKI

O Entra tem um novo repositório confiável de autoridades certificadoras (CA) baseado em infraestrutura de chave pública (PKI). O repositório confiável de AC baseado em PKI mantém as ACs dentro de um objeto de contêiner para cada PKI. Os administradores podem gerenciar CAs em um contêiner baseado em PKI com mais facilidade do que em uma lista simples de CAs.

O repositório confiável baseado em PKI tem limites mais altos para o número de ACs e tamanho de cada arquivo de AC. Um repositório confiável baseado em PKI é compatível com até 250 ACs e um tamanho de 8 KB para cada objeto de AC. Recomendamos que você use o novo repositório de confiança baseado em PKI para armazenar as ACs, que é escalonável e dá suporte às novas funcionalidades, como as dicas do emissor.

Observação

Se você usar o repositório de confiança antigo para configurar CAs, recomendamos que você configure um repositório de confiança baseado em PKI.

Um administrador deve configurar as CAs confiáveis que emitem os certificados de usuário. Somente administradores com privilégios mínimos são necessários para realizarem as alterações. Um repositório confiável baseado em PKI tem a função RBAC Administrador de Autenticação de Privilégios.

O recurso de upload da PKI do repositório confiável baseado em PKI está disponível apenas com as licenças P1 ou P2 do Microsoft Entra ID. No entanto, com a licença gratuita, os administradores também podem carregar todas as ACs individualmente, em vez de o arquivo da PKI, e configurar o repositório confiável baseado em PKI.

Configurar autoridades certificadoras usando o centro de administração do Microsoft Entra

Criar um objeto de contêiner de PKI

Para criar um objeto de contêiner PKI:

  1. Entre no Centro de administração do Microsoft Entra como administrador de autenticação de privilégios.
  2. Navegue até Entra ID>, Classificação de Segurança de Identidade>, infraestrutura de chave pública.
  3. Clique em Criar PKI.
  4. Insira o nome de exibição.
  5. Clique em Criar. Diagrama das etapas necessárias para criar uma PKI.
  6. Selecione Colunas para adicionar ou excluir colunas.
  7. Selecione Atualizar para atualizar a lista de PKIs.

Excluir um objeto de contêiner de PKI

Para excluir uma PKI, selecione a PKI e selecione Excluir. Se a PKI tiver CAs, insira o nome da PKI para reconhecer a exclusão de todos os CAs dentro dele e selecione Excluir.

Diagrama das etapas necessárias para excluir uma PKI.

Carregar ACs individuais no objeto de contêiner da PKI

Para carregar uma AC no repositório PKI:

  1. Clique em + Adicionar autoridade de certificação.

  2. Selecione o arquivo da AC.

  3. Selecione Sim se a AC for um certificado raiz, caso contrário, selecione Não.

  4. Em URL da Lista de Certificados Revogados, defina a URL voltada para a Internet para a CRL base da AC que contém todos os certificados revogados. Se a URL não estiver configurada, a autenticação com certificados revogados não falhará.

  5. Em URL da Lista de Certificados Revogados Delta, defina a URL para a Internet para a CRL contendo todos os certificados revogados desde a última publicação da CRL.

  6. O sinalizador Dicas do emissor está habilitado por padrão. Desative as Dicas do Emissor caso a AC não deva ser incluída nas dicas do emissor.

  7. Selecione Salvar.

  8. Para excluir um certificado de autoridade de certificação, selecione o certificado e selecione Excluir.

    Diagrama de como excluir um CAcertificate.

  9. Selecione Colunas para adicionar ou excluir colunas.

  10. Selecione Atualizar para atualizar a lista de ACs.

  11. Inicialmente, 100 certificados de AC serão exibidos, e à medida que a página é rolada para baixo, mais certificados aparecerão.

Carregar todas as ACs com o upload da PKI no objeto de contêiner da PKI

Para carregar todas as CAs de uma só vez no contêiner de PKI:

  1. Crie um objeto de contêiner de PKI ou abra um.
  2. Selecione Carregar PKI.
  3. Insira o URL http voltado para a Internet no qual o arquivo .p7b está disponível.
  4. Insira a soma de verificação SHA256 do arquivo.
  5. Selecione o upload.
  6. Carregar o PKI é um processo assíncrono. À medida que as ACs são carregadas, cada AC fica disponível na PKI. A conclusão do upload de PKI pode levar até 30 minutos.
  7. Selecione Atualizar para atualizar os CAs.
  8. Cada atributo de ponto de extremidade de CRL da CA carregado será atualizado com o primeiro URL http disponível do certificado da CA no atributo pontos de distribuição de CRL. O certificado CA precisa ser atualizado manualmente pelo administrador. Para gerar a soma de verificação SHA256 do arquivo PKI .p7b, execute este comando:
Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Editar uma PKI

  1. Para editar a PKI, selecione ... na linha PKI e selecione Editar.
  2. Insira um novo nome PKI e selecione Salvar.

Editar uma AC

  1. Para editar a AC, selecione ... na linha ac e selecione Editar.
  2. Insira novos valores para o tipo de certificado da Autoridade Certificadora (raiz/intermediário), a URL da CRL, URL da CRL Delta e o sinalizador habilitado para as Dicas do Emissor conforme for necessário e selecione Salvar.

Edição em massa do atributo de dicas do emissor

  1. Para editar o atributo Dicas de emissor habilitadas de várias CAs, selecione várias CAs, clique em Editar e selecione Editar dicas de emissor.
  2. O valor padrão é indeterminado e selecione para habilitar o sinalizador Dicas do emissor habilitadas para todas as CAs selecionadas ou desmarque para desabilitar o sinalizador Dicas do emissor habilitadas para todas as CAs selecionadas.
  3. Selecione Salvar

Restaurar um PKI

  1. Selecione a guia PKIs excluídas.
  2. Selecione a PKI e selecione Restaurar PKI.

Restaurar uma AC

  1. Selecione a aba CAs Excluídas.
  2. Selecione o arquivo de CA e selecione Restaurar autoridade de certificação.

Noções básicas sobre o atributo isIssuerHintEnabled na AC

As dicas do emissor retornam uma Indicação de CA Confiável como parte do handshake de TLS (Transport Layer Security). A lista de ACs confiáveis é definida para as entidades das ACs carregadas pelo locatário no repositório confiável do Entra. Para obter mais informações sobre dicas do emissor, consulte Noções básicas sobre dicas do emissor.

Por padrão, os nomes das entidades de todas as ACs no repositório confiável do Microsoft Entra são enviados na forma de dicas. Se você quiser enviar de volta uma dica com apenas CAs específicas, defina o atributo de dica do emissor isIssuerHintEnabled como true.

Há um limite de caracteres de 16 KB para as dicas do emissor (nome da entidade da AC) que o servidor pode retornar para o cliente TLS. Como uma boa prática, defina o atributo isIssuerHintEnabled como true apenas para as ACs que emitem certificados de usuário.

Se várias CAs intermediárias do mesmo certificado raiz emitirem os certificados do usuário final, todos os certificados aparecerão por padrão no seletor de certificados. Mas se você definir isIssuerHintEnabled para as true CAs específicas, somente os certificados de usuário adequados serão exibidos no seletor de certificados. Para habilitar isIssuerHintEnabled, edite o CA e atualize o valor para true.

Configurar autoridades de certificação usando as APIs do Microsoft Graph

As APIs do Microsoft Graph podem ser usadas para configurar CAs. Os exemplos a seguir mostram como usar o Microsoft Graph para executar operações Criar, Ler, Atualizar ou Excluir (CRUD) para um PKI ou CA.

Criar um objeto de contêiner de PKI

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Obter todos os objetos de PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Obter um objeto de PKI por ID de PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/
ConsistencyLevel: eventual

Carregar ACs com um arquivo .p7b

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
    	"uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
    	"sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Obter todas as CAs em um PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities
ConsistencyLevel: eventual

Obter uma CA específica dentro de um PKI por ID de CA

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
ConsistencyLevel: eventual

Atualizar o sinalizador de dicas de emissor de uma AC específica

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Configure as autoridades certificadoras (AC) usando o PowerShell. Para essa configuração, você pode usar o [PowerShell do Microsoft Graph] (/powershell/microsoftgraph/installation).

  1. Inicie o PowerShell com privilégios de administrador.

  2. Instale e importe o SDK do Microsoft Graph PowerShell.

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Conecte-se ao locatário e aceite tudo.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Priorização entre o repositório de confiança baseado em PKI e o repositório de AC clássico

O repositório de AC baseado em PKI terá prioridade se existir uma AC tanto nele quanto no repositório de AC clássico. A loja de CA clássica será usada 1. quando uma CA existe nos dois armazenamentos, mas o armazenamento baseado em PKI não tem um CRL, enquanto a CA do armazenamento clássico tem um CRL válido 2. quando uma CA existe nas duas lojas, mas o CRL da CA na loja baseada em PKI é diferente do CRL da CA na loja clássica

Log de entrada

A entrada interrompida do log de entrada do Entra terá dois atributos nos Detalhes Adicionais para indicar se o repositório legado foi usado na autenticação.

  • O atributo Repositório Herdado Usado terá um valor de 0 para indicar o uso do repositório baseado em PKI e um valor de 1 para indicar o uso do repositório Clássico ou Herdado.
  • O atributo Informações de Uso do repositório herdado indicará o motivo para usar o repositório herdado

Entrada do log para uso de PKI ou repositório de CA legado

Log de auditoria

Todas as operações CRUD em uma PKI ou AC no repositório confiável são registradas nos logs de auditoria do Microsoft Entra.

Diagrama de logs de auditoria.

Migração do repositório de AC Clássico para o repositório baseado em PKI

O administrador do ambiente pode carregar todos os CAs no repositório baseado em PKI e, com o repositório de CA de PKI tendo prioridade sobre o repositório clássico, todas as autenticações CBA ocorrerão usando o repositório baseado em PKI. O administrador do locatário pode remover as CAs do armazenamento legado depois de confirmar que não há indicação de uso do armazenamento legado nos logs de entrada

Perguntas frequentes

Pergunta: Por que o carregamento de PKI falha?

Resposta: Verifique se o arquivo PKI é válido e pode ser acessado sem problemas. O tamanho máximo do arquivo da PKI deve ser

Pergunta: Qual é o SLA (contrato de nível de serviço) para upload de PKI?

Resposta: o upload de PKI é uma operação assíncrona e pode levar até 30 minutos para conclusão.

Pergunta: Como você gera a soma de verificação SHA256 para o arquivo PKI?

Resposta: Para gerar a soma de verificação SHA256 do arquivo PKI.p7b, execute este comando:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Etapa 2: habilitar a CBA no locatário

Importante

Um usuário é considerado capaz para MFA quando o usuário está no escopo da autenticação baseada em certificado na política de métodos de autenticação. Esse requisito de política significa que um usuário não pode usar a prova como parte da sua autenticação para registrar outros métodos disponíveis. Se não tiverem acesso aos certificados, os usuários serão bloqueados e não poderão registrar outros métodos na MFA. Os Administradores de Política de Autenticação só precisam habilitar o CBA para usuários que têm certificados válidos. Não inclua Todos os usuários na CBA. Use apenas grupos de usuários com certificados válidos disponíveis. Para obter mais informações, consulte a autenticação multifator do Microsoft Entra.

Para habilitar a CBA no Centro de administração do Microsoft Entra, execute as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Grupos>Todos os grupos> selecionem Novo grupo e criem um grupo para usuários da CBA.

  3. Navegue até Entra ID>Métodos de autenticação>Autenticação baseada em certificado.

  4. Em Habilitar e Direcionar, selecione Habilitar e clique em Reconhecer.

  5. Clique em Selecionar grupos, clique em Adicionar grupos.

  6. Escolha grupos específicos como o que você criou e clique em Selecionar. Use grupos específicos em vez de Todos os usuários.

  7. Quando terminar, clique em Salvar.

    Captura de tela de como habilitar a CBA.

Depois que a autenticação baseada em certificado for habilitada no locatário, todos os usuários no locatário verão a opção de entrar com um certificado. Somente os usuários habilitados para CBA podem se autenticar usando o certificado X.509.

Observação

O administrador de rede deve permitir o acesso ao ponto de extremidade do certauth no ambiente de nuvem do cliente, além de login.microsoftonline.com. Desabilite a inspeção de TLS no ponto de extremidade do certauth para verificar se a solicitação de certificado do cliente foi bem-sucedida como parte do handshake do TLS.

Etapa 3: Configurar a política de associação de autenticação

A política de associação de autenticação ajuda a determinar a força da autenticação de um fator único ou multifator. O nível de proteção padrão para todos os certificados no locatário é a autenticação de fator único. A associação de afinidade padrão no nível do locatário é Baixa. Um Administrador de Política de Autenticação pode alterar o valor padrão de fator único para multifator e, caso isso ocorra, todos os certificados no locatário serão considerados com a força da Autenticação multifator. Da mesma forma, a associação de afinidade no nível do locatário pode ser definida como Alta , o que significa que todos os certificados serão validados usando apenas atributos de alta afinidade.

Importante

O administrador deve definir o padrão do locatário como um valor que seja aplicável à maioria dos certificados e criar regras personalizadas somente para certificados específicos que precisem de um nível de proteção e/ou vinculação de afinidade diferente do padrão do locatário. Toda a configuração de métodos de autenticação entra no mesmo arquivo de política para que a criação de várias regras redundantes possa atingir o limite de arquivo de política.

As regras de vinculação de autenticação mapeiam os atributos do certificado — como Emissor, ID do Objeto da Política (OID) ou Emissor e OID da Política — para um valor e selecionam o nível de proteção padrão, bem como a associação* de afinidade para essa regra. Para modificar as configurações padrão do locatário e criar regras personalizadas no Centro de administração do Microsoft Entra, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Entra ID>métodos de autenticação>políticas.

  3. Em Gerenciar, selecione Métodos de autenticação>Autenticação baseada em certificado.

    Captura de tela da política de autenticação.

  4. Selecione Configurar para configurar a associação de autenticação e a associação de nome de usuário.

  5. O atributo de nível de proteção tem um valor padrão de autenticação de fator único. Selecione a autenticação multifator para alterar o valor padrão para MFA.

    Observação

    O valor do nível de proteção padrão estará em vigor se nenhuma regra personalizada for adicionada. Se as regras personalizadas forem adicionadas, o nível de proteção definido no nível da regra será respeitado.

    Captura de tela de como alterar a política padrão para MFA.

  6. Você também pode configurar regras personalizadas de vinculação de autenticação para ajudar a determinar o nível de proteção dos certificados de cliente que precisam de valores diferentes para o nível de proteção ou vinculação de afinidade em relação ao padrão do locatário. Elas podem ser configuradas usando os campos Assunto do emissor ou OID da Política no certificado.

    As regras de vinculação de autenticação mapeiam os atributos do certificado (Emissor ou OID da Política) para um valor e selecionam o nível de proteção padrão para essa regra. Várias regras podem ser criadas. Quanto à configuração abaixo, vamos supor que o padrão do locatário seja de Autenticação multifator e associação de afinidade Baixa.

    Para adicionar regras personalizadas, selecione Adicionar regra.

    Captura de tela de como adicionar uma regra.

    Para criar uma regra por emissor de certificado, selecione Emissor de certificado.

    1. Selecione um identificador do emissor do certificado na caixa de listagem.

    2. Selecione autenticação multifator e vinculação de alta afinidade, em seguida, clique em Adicionar. Quando solicitado, clique em Reconhecer para concluir a adição da regra.

      Captura de tela da política de autenticação multifator.

    Para criar uma regra por OID de Política, selecione OID de Política.

    1. Insira um valor para o OID de Política.

    2. Selecione autenticação de fator único, associação de baixa afinidade e clique em Adicionar. Quando solicitado, clique em Reconhecer para concluir a adição da regra.

      Captura de tela do mapeamento da OID da Política.

    Para criar uma regra por Emissor e OID da Política:

    1. Selecione Emissor de Certificado e OID de Política.

    2. Selecione um emissor e insira a OID da política.

    3. Para a força de autenticação, selecione autenticação multifator.

    4. Para associação de afinidade, selecione Alta.

      Captura de tela de como selecionar uma associação de baixa afinidade.

    5. Selecione Adicionar.

      Captura de tela de como adicionar uma associação de baixa afinidade.

    6. Autentique com um certificado que tenha a OID da política 3.4.5.6 e que seja emitido pelo CN=CBATestRootProd. A autenticação deve passar e obter uma declaração multifator.

    Para criar uma regra por Emissor e Número de Série:

    1. Adicionar uma política de associação de autenticação. A política requer que qualquer certificado emitido por CN=CBATestRootProd com policyOID 1.2.3.4.6 precise apenas de uma vinculação de alta afinidade. O Emissor e o número de série são usados.

      Captura de tela do Emissor e do Número de Série adicionados ao Centro de administração do Microsoft Entra.

    2. Selecione o campo do certificado. Neste exemplo, vamos selecionar o Emissor e o Número de Série.

      Captura de tela de como selecionar Emissor e Número de Série.

    3. O único atributo de usuário com suporte é CertificateUserIds. Selecione Adicionar.

      Captura de tela de como adicionar o Emissor e o Número de Série.

    4. Selecione Salvar.

      O log de entradas mostra qual associação foi usada para entrar, assim como os detalhes do certificado.

      Captura de tela do log de entrada.

  7. Selecione Ok para salvar qualquer regra personalizada.

Importante

Insira o PolicyOID usando o formato do identificador de objeto. Por exemplo, se a política de certificado diz Todas as Políticas de Emissão, insira a OID como 2.5.29.32.0 ao adicionar a regra. A cadeia de caracteres Todas as Políticas de Emissão é inválida para o editor de regras e não surtirá efeito.

Etapa 4: Configurar a política de associação de nome de usuário

A política de associação de nome de usuário ajuda a validar o certificado do usuário. Por padrão, mapeamos a Entidade de Segurança no certificado para UserPrincipalName no objeto de usuário para determinar o usuário.

Um Administrador de Política de Autenticação pode substituir o padrão e criar um mapeamento personalizado. Para determinar como configurar a associação de nome de usuário, confira Como funciona a associação de nome de usuário.

Para outros cenários que usam o atributo certificateUserIds, consulte IDs de usuário de certificado.

Importante

Se uma política de associação de nome de usuário usar atributos sincronizados, como os atributos certificateUserIds, onPremisesUserPrincipalName e userPrincipalName do objeto do usuário, esteja ciente de que as contas com privilégios administrativos no Active Directory (como aquelas com direitos delegados nos objetos do usuário ou direitos administrativos no Microsoft Entra Connect Server) podem fazer alterações que afetam esses atributos no Microsoft Entra ID.

  1. Crie a associação de nome de usuário selecionando um dos campos de certificado X.509 para associá-la a um dos atributos de usuário. A ordem de associação de nome de usuário representa o nível de prioridade da associação. A primeira tem a prioridade mais alta e assim por diante.

    Captura de tela de uma política de associação de nome de usuário.

    Se o campo do certificado X.509 especificado for encontrado no certificado, mas o Microsoft Entra ID não encontrar um objeto de usuário usando esse valor, a autenticação falhou. O Microsoft Entra ID tenta a próxima associação na lista.

  2. Selecione Salvar para salvar as alterações.

A configuração final tem esta aparência:

Captura de tela da configuração final.

Etapa 5: Teste sua configuração

Essa seção aborda como testar o certificado e as regras de associação de autenticação personalizadas.

Teste seu certificado

Como um primeiro teste de configuração, você deve tentar entrar no portal do MyApps usando seu navegador no dispositivo.

  1. Insira seu Nome da Entidade de Usuário (UPN).

    Captura de tela do Nome Principal do Usuário.

  2. Selecione Avançar.

    Captura de tela da entrada com o certificado.

    Se você ativou outros métodos de autenticação, como entrada por telefone ou FIDO2, os usuários poderão ver uma tela de entrada diferente.

    Captura de tela do login alternativo.

  3. Selecione Entrar com um certificado.

  4. Escolha o certificado de usuário correto na interface do usuário do seletor de certificado do cliente e selecione OK.

    Captura de tela da interface do usuário do seletor de certificado.

  5. Os usuários devem estar conectados ao portal do MyApps.

Se a entrada for bem-sucedida, você saberá que:

  • O certificado de usuário foi provisionado para o dispositivo de teste.
  • O Microsoft Entra ID está configurado corretamente com as ACs confiáveis.
  • A associação de nome de usuário está configurada corretamente e o usuário é encontrado e autenticado.

Testar regras de associação de autenticação personalizada

Percorreremos um cenário para validar uma autenticação forte. Vamos criar duas regras de política de autenticação, uma usando a entidade do emissor para satisfazer a autenticação de fator único e outra usando o OID da Política para satisfazer a autenticação multifator.

  1. Crie uma regra de assunto do emissor com nível de proteção como autenticação de fator único e valor definido para o valor do assunto das CAs. Por exemplo:

    CN = WoodgroveCA

  2. Crie uma regra do OID da política, com nível de proteção como autenticação multifator e valor definido para uma dos OIDs de política no certificado. Por exemplo: 1.2.3.4.

    Captura de tela da regra do OID da Política.

  3. Crie uma política de Acesso Condicional para que o usuário exija autenticação multifator seguindo as etapas em Acesso Condicional – Exigir MFA.

  4. Navegue até o portal do MyApps. Insira seu UPN e selecione Avançar.

    Captura de tela do Nome Principal do Usuário.

  5. Selecione Entrar com um certificado.

    Captura de tela da entrada com o certificado.

    Se você habilitou outros métodos de autenticação, como a Entrada por telefone ou as Chaves de segurança, os usuários podem ver uma tela de entrada diferente.

    Captura de tela do login alternativo.

  6. Selecione o certificado do cliente e selecione Informações do Certificado.

    Captura de tela do seletor de cliente.

  7. O certificado é exibido e você pode verificar os valores de OID do emissor e da política. Captura de tela do emissor.

  8. Para ver os valores de OID da Política, selecione Detalhes.

    Captura de tela dos detalhes da autenticação.

  9. Selecione o certificado do cliente e selecione OK.

  10. O OID da política no certificado corresponde ao valor configurado de 1.2.3.4 e satisfaz a autenticação multifator. Da mesma forma, o emissor no certificado corresponde ao valor configurado de CN=WoodgroveCA e satisfaz a autenticação de fator único.

  11. Como a regra OID de política tem precedência sobre a regra do emissor, o certificado atende à autenticação multifator.

  12. A política de Acesso condicional do usuário exige a MFA e o certificado atende ao multifator, portanto, o usuário pode entrar no aplicativo.

Testar a política de associação de nome de usuário

A política de associação de nome de usuário ajuda a validar o certificado do usuário. Há três associações com suporte para a política de associação de nome de usuário:

  • EmissorENúmeroDeSérie>IDsDeUsuárioDoCertificado
  • EmissorESujeito>IdsDeUsuárioDoCertificado
  • Entidade>CertificateUserIds

Por padrão, o Microsoft Entra ID mapeia o Nome da Entidade de Segurança no certificado para o UserPrincipalName no objeto de usuário para determinar o usuário. Um Administrador de Política de Autenticação pode substituir o padrão e criar um mapeamento personalizado, conforme explicamos anteriormente.

Os Administradores de Política de Autenticação precisam habilitar as novas vinculações. Para se preparar, eles devem garantir que os valores corretos para as associações de nome de usuário correspondentes sejam atualizados no atributo CertificateUserIds do objeto de usuário:

Importante

O formato dos valores de Emissor, Entidade e SerialNumber deve estar na ordem inversa do formato no certificado. Não adicione espaços a Emissor ou Entidade.

Mapeamento manual de número de série e emissor

Veja abaixo um exemplo de mapeamento manual de número de série e emissor. O valor do Emissor a ser adicionado é:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Captura de tela do valor do Emissor.

Para obter o valor correto para o número de série, execute o comando a seguir e armazene o valor mostrado em CertificateUserIds. A sintaxe do comando é:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Por exemplo:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Aqui temos um exemplo do comando certutil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

O valor SerialNumber a ser adicionado em CertificateUserId é:

b24134139f069b49997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Mapeamento manual de Emissor e Entidade

Veja abaixo um exemplo de mapeamento manual de Emissor e Entidade. O valor do Emissor é:

Captura de tela do valor do Emissor quando usado com várias associações.

O valor da Entidade é:

Captura de tela do valor da Entidade.

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Mapeamento manual de Entidade

Veja abaixo um exemplo de mapeamento manual de Entidade. O valor da Entidade é:

Captura de tela de outro valor da Entidade.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testar a associação de afinidade

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Entra ID>métodos de autenticação>políticas.

  3. Em Gerenciar, selecione Métodos de autenticação>Autenticação baseada em certificado.

  4. Selecione Configurar.

  5. Defina a Associação de Afinidade Necessária no nível do locatário.

    Importante

    Tenha cuidado com a configuração de afinidade no locatário. Você pode bloquear todo o locatário se alterar a Associação de Afinidade Necessária para o locatário e não tiver os valores adequados no objeto de usuário. Da mesma forma, se você criar uma regra personalizada que se aplique a todos os usuários e exigir associação de alta afinidade, os usuários no locatário poderão ser bloqueados.

    Captura de tela de como definir a associação de afinidade necessária.

  6. Para testar, selecione Associação de Afinidade Necessária para ser Baixa.

  7. Adicione uma associação de alta afinidade como SKI. Selecione Adicionar regra em Associação de nome de usuário.

  8. Selecione SKI e selecione Adicionar.

    Captura de tela de como adicionar uma associação de afinidade.

    Quando concluída, a regra se parecerá com esta captura de tela:

    Captura de tela de uma associação de afinidade concluída.

  9. Atualize todos os objetos de usuário do atributo CertificateUserIds para ter o valor correto de SKI do certificado de usuário. Para obter mais informações, consulte padrões com suporte para CertificateUserIDs.

  10. Crie uma regra personalizada para a Associação de autenticação.

  11. Selecione Adicionar.

    Captura de tela de uma associação de autenticação personalizada.

    Quando concluída, a regra se parecerá com esta captura de tela:

    Captura de tela de uma regra personalizada.

  12. Atualize o CertificateUserIds do usuário com o valor SKI correto do certificado com o OID da política 9.8.7.5.

  13. Teste com um certificado com a política OID 9.8.7.5 e o usuário deve ser autenticado com a associação de SKI e obter a MFA apenas com o certificado.

Habilitar a CBA usando a API do Microsoft Graph

Para habilitar a CBA e configurar as associações de nome de usuário usando a API do Graph, conclua as etapas a seguir.

  1. Vá para o Microsoft Graph Explorer.

  2. Selecione Entrar no Explorador do Graph e entre no locatário.

  3. Siga as etapas para consentir com a permissão delegada Policy.ReadWrite.AuthenticationMethod.

  4. OBTENHA todos os métodos de autenticação:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. OBTENHA a configuração para o método de autenticação do certificado x509:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Por padrão, o método de autenticação do certificado x509 está desabilitado. Para permitir que os usuários entrem com um certificado, você deve habilitar o método de autenticação e configurar as políticas de autenticação e associação de nome de usuário por uma operação de atualização. Para atualizar a política, execute uma solicitação PATCH.

    Corpo da solicitação:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Você receberá um código de resposta 204 No content. Execute novamente a solicitação OBTER para garantir que as políticas sejam atualizadas corretamente.

  8. Teste a configuração ao entrar com um certificado que atenda à política.

Habilitar a CBA usando o Microsoft PowerShell

  1. Abra o PowerShell.
  2. Conecte-se ao Microsoft Graph: 
    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
  3. Criar uma variável para definir o grupo para usuários da CBA: 
    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
  4. Definir o corpo da solicitação: 
    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5
  5. Execute a solicitação de PATCH: 
    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Próximas etapas