Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Uw organisatie kan verificatie op basis van Microsoft Entra-certificaten (CBA) gebruiken om gebruikers rechtstreeks te laten verifiëren met behulp van X.509-certificaten die zijn geverifieerd in Microsoft Entra ID voor aanmelding bij toepassingen en browsers.
Gebruik de functie om een phishingbestendige verificatie te gebruiken en om te verifiëren met behulp van X.509-certificaten voor uw openbare-sleutelinfrastructuur (PKI).
Wat is Microsoft Entra CBA?
Voordat cloudbeheerde ondersteuning voor CBA naar Microsoft Entra ID beschikbaar was, moest een organisatie federatieve CBA implementeren voor gebruikers om zich te verifiëren met behulp van X.509-certificaten voor Microsoft Entra-id. Het omvat het implementeren van Active Directory Federation Services (AD FS). Met Microsoft Entra CBA kunt u zich rechtstreeks verifiëren met Microsoft Entra ID en de noodzaak voor federatieve AD FS elimineren, voor een vereenvoudigde omgeving en kostenreductie.
De volgende afbeeldingen laten zien hoe Microsoft Entra CBA uw omgeving vereenvoudigt door federatieve AD FS te elimineren.
CBA met federatieve AD FS
Microsoft Entra CBA
Belangrijkste voordelen van het gebruik van Microsoft Entra CBA
| Voordeel | Beschrijving |
|---|---|
| Verbeterde gebruikerservaring | - Gebruikers die CBA nodig hebben, kunnen zich nu rechtstreeks verifiëren bij Microsoft Entra ID en hoeven niet te investeren in federatieve AD FS. - U kunt het beheercentrum gebruiken om certificaatvelden eenvoudig toe te wijzen aan gebruikersobjectkenmerken om de gebruiker op te zoeken in de tenant (certificaatgebruikersnamenbindingen) - Gebruik het beheercentrum om verificatiebeleid te configureren om te bepalen welke certificaten één factor versus meervoudige certificaten zijn. |
| Eenvoudig te implementeren en beheren | - Microsoft Entra CBA is een gratis functie. U hebt geen betaalde edities van Microsoft Entra ID nodig om deze te gebruiken. - Complexe on-premises implementaties of netwerkconfiguratie niet nodig. - Rechtstreeks verifiëren bij Microsoft Entra-id. |
| Beveiligen | - On-premises wachtwoorden hoeven in geen enkele vorm in de cloud te worden opgeslagen. - Beschermt uw gebruikersaccounts door naadloos te werken met beleid voor voorwaardelijke toegang van Microsoft Entra, waaronder phishingbestendige meervoudige verificatie (MFA). MFA vereist een gelicentieerde editie en blokkeert verouderde verificatie. - Ondersteuning voor sterke authenticatie. Beheerders kunnen verificatiebeleid definiëren via de certificaatvelden, zoals issuer of policy object identifier (policy OID), om te bepalen welke certificaten in aanmerking komen als één factor versus multifactor. - De functie werkt naadloos met functies voor voorwaardelijke toegang en verificatiesterkte om MFA af te dwingen om uw gebruikers te beveiligen. |
Ondersteunde scenario's
De volgende scenario's worden ondersteund:
Gebruikersaanmelding bij webbrowsertoepassingen op alle platforms
Gebruikersaanmelding bij Office Mobile-apps op iOS- en Android-platforms en systeemeigen Office-apps in Windows, waaronder Outlook en OneDrive
Aanmeldingen van gebruikers in mobiele systeemeigen browsers
Gedetailleerde verificatieregels voor MFA met behulp van het onderwerp van de certificaatverlener en beleids-OID
Bindingen tussen certificaten en gebruikersaccounts door gebruik te maken van elk van de certificaatvelden:
-
SubjectAlternativeName(SAN),PrincipalNameenRFC822Name -
SubjectKeyIdentifier(SKI) enSHA1PublicKey -
IssuerAndSubjectenIssuerAndSerialNumber
-
Bindingen voor certificaat-naar-gebruikersaccounts met behulp van een van de kenmerken van het gebruikersobject:
userPrincipalNameonPremisesUserPrincipalNamecertificateUserIds
Niet-ondersteunde scenario's
De volgende scenario's worden niet ondersteund:
- Hints voor certificeringsinstantie (CA) worden niet ondersteund. De lijst met certificaten die wordt weergegeven voor gebruikers in de certificaatkiezer-UI is niet beperkt.
- Slechts één CRL-distributiepunt (CDP) voor een vertrouwde CA wordt ondersteund.
- Het CDP kan alleen HTTP-URL's zijn. We bieden geen ondersteuning voor Online Certificate Status Protocol (OCSP)- of Lightweight Directory Access Protocol (LDAP)-URL's.
- Wachtwoord als verificatiemethode kan niet worden uitgeschakeld. De optie om u aan te melden met behulp van een wachtwoord wordt weergegeven, zelfs wanneer de Microsoft Entra CBA-methode beschikbaar is voor de gebruiker.
Bekende beperking met Windows Hello voor Bedrijven-certificaten
Hoewel Windows Hello voor Bedrijven kan worden gebruikt voor MFA in Microsoft Entra ID, wordt Windows Hello voor Bedrijven niet ondersteund voor nieuwe MFA. U kunt ervoor kiezen om certificaten voor uw gebruikers in te schrijven met behulp van de Windows Hello voor Bedrijven-sleutel/-paar. Wanneer deze correct is geconfigureerd, kunnen Windows Hello voor Bedrijven-certificaten worden gebruikt voor MFA in Microsoft Entra-id.
Windows Hello voor Bedrijven-certificaten zijn compatibel met Microsoft Entra CBA in Microsoft Edge- en Chrome-browsers. Op dit moment zijn Windows Hello voor Bedrijven-certificaten niet compatibel met Microsoft Entra CBA in scenario's zonder browser, zoals in Office 365-toepassingen. Een oplossing is om de optie Aanmelden in Windows Hello of beveiligingssleutel te gebruiken om u aan te melden (wanneer deze beschikbaar is). Deze optie gebruikt geen certificaten voor verificatie en voorkomt het probleem met Microsoft Entra CBA. De optie is mogelijk niet beschikbaar in sommige eerdere toepassingen.
Buiten bereik
De volgende scenario's vallen buiten het bereik van Microsoft Entra CBA:
- Een PKI (Public Key Infrastructure) maken of opgeven voor het maken van clientcertificaten. U moet uw eigen PKI configureren en certificaten inrichten voor uw gebruikers en apparaten.