Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Sua organização pode usar a CBA (autenticação baseada em certificado) do Microsoft Entra para permitir ou exigir que os usuários se autentiquem diretamente usando certificados X.509 autenticados na ID do Microsoft Entra para entrada de aplicativo e navegador.
Use o recurso para adotar uma autenticação resistente a phishing e autenticar usando certificados X.509 em sua PKI (infraestrutura de chave pública).
O que é a CBA do Microsoft Entra?
Antes que o suporte gerenciado por nuvem da CBA para o Microsoft Entra ID estivesse disponível, uma organização tinha que implementar a CBA federada para que os usuários se autenticassem usando certificados X.509 na ID do Microsoft Entra. Ele incluiu a implantação dos Serviços de Federação do Active Directory (AD FS). Com o Microsoft Entra CBA, você pode autenticar diretamente na ID do Microsoft Entra e eliminar a necessidade de federação do AD FS, para um ambiente simplificado e redução de custos.
Os próximos números mostram como o Microsoft Entra CBA simplifica seu ambiente eliminando o AD FS federado.
CBA com AD FS federado
Microsoft Entra CBA
Principais benefícios do uso da CBA do Microsoft Entra
| Benefício | Descrição |
|---|---|
| Melhor experiência do usuário | – Os usuários que precisam da CBA agora podem se autenticar diretamente na ID do Microsoft Entra e não precisam investir no AD FS federado. - Você pode usar o centro de administração para mapear facilmente campos de certificado para atributos de objeto de usuário para pesquisar o usuário no locatário (associações de nome de usuário de certificado) - Use o centro de administração para configurar políticas de autenticação para ajudar a determinar quais certificados são de fator único versus multifator. |
| Fácil de implantar e administrar | - O Microsoft Entra CBA é um recurso gratuito. Você não precisa de edições pagas da ID do Microsoft Entra para usá-la. – Não há necessidade de implantações locais ou configurações de rede complexas. – Autentique-se diretamente no Microsoft Entra ID. |
| Seguro | - As senhas locais não precisam ser armazenadas na nuvem de forma alguma. - Protege suas contas de usuário trabalhando perfeitamente com as políticas de Acesso Condicional do Microsoft Entra, incluindo a MFA (autenticação multifator) resistente a phishing. A MFA requer uma edição licenciada e o bloqueio da autenticação herdada. – Suporte à autenticação forte. Os administradores podem definir políticas de autenticação por meio dos campos de certificado, como OID (identificador de objeto de política) ou emissor, para determinar quais certificados se qualificam como fator único versus multifator. - O recurso funciona perfeitamente com recursos do acesso condicional e capacidade de força de autenticação para impor a MFA para ajudar a proteger seus usuários. |
Cenários com suporte
Há suporte para os seguintes cenários:
Entradas do usuário em aplicativos baseados em navegador da Web em todas as plataformas
Entradas do usuário em aplicativos móveis do Office em plataformas iOS e Android e aplicativos nativos do Office no Windows, incluindo Outlook e OneDrive
Entradas do usuário em navegadores nativos móveis
Regras de autenticação granulares para MFA usando o assunto do emissor do certificado e o OID de política
Associações de conta de certificado para usuário usando qualquer um dos campos de certificado:
-
SubjectAlternativeName(SAN),PrincipalNameeRFC822Name -
SubjectKeyIdentifier(SKI) eSHA1PublicKey -
IssuerAndSubjecteIssuerAndSerialNumber
-
Associações de conta de certificado para usuário usando qualquer um dos atributos de objeto do usuário:
userPrincipalNameonPremisesUserPrincipalNamecertificateUserIds
Cenários sem suporte
Ainda não há suporte para os cenários a seguir:
- Não há suporte para dicas de autoridade de certificação (AC). A lista de certificados que aparece para usuários na interface do usuário do seletor de certificados não tem escopo.
- Há suporte para apenas um CDP (ponto de distribuição de CRL) para uma AC confiável.
- O CDP pode ser apenas URLs HTTP. Não há suporte para OCSP (Protocolo de Status de Certificado Online) ou URLs LDAP (Lightweight Directory Access Protocol).
- A senha como um método de autenticação não pode ser desativada. A opção de entrar usando uma senha é exibida, mesmo quando o método MICROSOFT Entra CBA está disponível para o usuário.
Limitação conhecida com certificados do Windows Hello para Empresas
Embora o Windows Hello para Empresas possa ser usado para MFA no Microsoft Entra ID, o Windows Hello para Empresas não tem suporte para MFA nova. Você pode optar por registrar certificados para seus usuários usando a chave/par do Windows Hello para Empresas. Quando configurados corretamente, os certificados do Windows Hello para Empresas podem ser usados para MFA na ID do Microsoft Entra.
Os certificados do Windows Hello para Empresas são compatíveis com o Microsoft Entra CBA nos navegadores Microsoft Edge e Chrome. Atualmente, os certificados do Windows Hello para Empresas não são compatíveis com o Microsoft Entra CBA em cenários nonbrowser, como em aplicativos do Office 365. Uma resolução é usar a opção Entrar no Windows Hello ou chave de segurança para entrar (quando estiver disponível). Essa opção não usa certificados para autenticação e evita o problema com o Microsoft Entra CBA. A opção pode não estar disponível em alguns aplicativos anteriores.
Fora do escopo
Os seguintes cenários estão fora do escopo para Microsoft Entra CBA:
- Criar ou fornecer uma PKI (infraestrutura de chave pública) para criar certificados de cliente. Você deve configurar sua própria PKI e provisionar certificados para seus usuários e dispositivos.
Conteúdo relacionado
- Conceitos técnicos do Microsoft Entra CBA
- Configurar o Microsoft Entra CBA
- CBA do Microsoft Entra em dispositivos iOS
- CBA do Microsoft Entra em dispositivos Android
- Entrar com cartão inteligente do Windows usando o Microsoft Entra CBA
- IDs de usuário de certificado
- Migrar usuários federados
- Perguntas Frequentes