Dela via

Skapa och hantera anpassade autentiseringsstyrkor för villkorsstyrd åtkomst

En autentiseringsstyrka är en kontroll för villkorsstyrd åtkomst i Microsoft Entra som anger kombinationer av autentiseringsmetoder för åtkomst till en resurs. Som administratör kan du skapa upp till 15 anpassade autentiseringsstyrkor för att exakt passa dina behov.

Förutsättningar

  • Om du vill använda villkorlig åtkomst måste din klientorganisation ha Microsoft Entra ID P1-licens. Om du inte har den här licensen kan du starta en kostnadsfri utvärderingsversion.

Skapa en anpassad autentiseringsstyrka

  1. Logga in på Microsoft Entra administrationscenter med minst behörigheten Säkerhetsadministratör.

  2. Bläddra till Entra ID-autentiseringsmetoder>>Autentiseringsstyrkor.

  3. Välj Ny autentiseringsstyrka.

  4. Som Namn anger du ett beskrivande namn för din nya autentiseringsstyrka.

  5. För Beskrivning kan du ange en valfri beskrivning.

  6. Välj de tillgängliga metoder som du vill tillåta, till exempel de under Nätfiskeresistent MFA, lösenordslös MFA och tillfälligt åtkomstpass.

  7. Välj Nästa och granska principkonfigurationen.

Skärmbild som visar hur du skapar en anpassad autentiseringsstyrka.

Uppdatera och ta bort anpassade autentiseringsstyrkor

Du kan redigera en anpassad autentiseringsstyrka. Om en princip för villkorsstyrd åtkomst refererar till den autentiseringsstyrkan kan du inte ta bort den och du måste bekräfta eventuella ändringar.

Om du vill kontrollera om en princip för villkorsstyrd åtkomst refererar till en autentiseringsstyrka går du till kolumnen Principer för villkorsstyrd åtkomst .

Konfigurera avancerade alternativ för lösenordsfria nycklar (FIDO2)

Du kan begränsa användningen av lösenordsnycklar (FIDO2) baserat på sina Authenticator Attestation GUIDs (AAGUIDs). Du kan använda den här funktionen för att kräva en FIDO2-säkerhetsnyckel från en specifik tillverkare för åtkomst till en resurs:

  1. När du har skapat en anpassad autentiseringsstyrka väljer du Nyckel (FIDO2)>Avancerade alternativ.

    Skärmdump som visar länken för avancerade alternativ för lösenordsnycklar.

  2. Bredvid Lägg till AAGUID väljer du plustecknet (+), kopierar AAGUID-värdet och väljer sedan Spara.

    Skärmbild som visar hur du lägger till ett GUID för autentiseringsattestering.

Konfigurera avancerade alternativ för certifikatbaserad autentisering

I autentiseringsbindningsprincipen kan du konfigurera om certifikat i systemet är bundna till skyddsnivåer för enfaktors- eller multifaktorautentisering, baserat på certifikatutfärdaren eller principobjektidentifieraren (OID). Du kan också kräva autentiseringscertifikat med en faktor eller flera faktorer för specifika resurser, baserat på en styrkeprincip för autentisering med villkorsstyrd åtkomst.

Genom att använda avancerade alternativ för autentiseringsstyrka kan du kräva en specifik certifikatutfärdare eller princip-OID för att ytterligare begränsa inloggningar till ett program.

Anta till exempel att en organisation med namnet Contoso utfärdar smartkort till anställda med tre olika typer av multifaktorcertifikat. Ett certifikat är för konfidentiellt godkännande, ett annat är för hemligt godkännande, och ett tredje är för topphemlig klarering. Var och en särskiljs av certifikatets egenskaper, till exempel utfärdare eller princip-OID. Contoso vill se till att endast användare som har rätt multifaktorcertifikat kan komma åt data för varje klassificering.

I nästa avsnitt visas hur du konfigurerar avancerade alternativ för certifikatbaserad autentisering (CBA) med hjälp av administrationscentret för Microsoft Entra och Microsoft Graph.

Administrationscenter för Microsoft Entra

  1. Logga in på administrationscentret för Microsoft Entra som administratör.

  2. Bläddra till Entra ID-autentiseringsmetoder>>Autentiseringsstyrkor.

  3. Välj Ny autentiseringsstyrka.

  4. Som Namn anger du ett beskrivande namn för din nya autentiseringsstyrka.

  5. För Beskrivning kan du ange en valfri beskrivning.

  6. Under alternativet för certifikatbaserad autentisering (antingen en faktor eller multifaktor) väljer du Avancerade alternativ.

    Skärmbild som visar länken för avancerade alternativ för certifikatbaserad autentisering.

  7. Välj eller ange certifikatutfärdarna och ange de tillåtna princip-OID:erna.

    Du kan konfigurera certifikatutfärdare genom att välja dem i listan Certifikatutfärdare från certifikatutfärdarna i listrutan för klientorganisationen . Listrutan visar alla certifikatutfärdare från klientorganisationen, oavsett om de är enfaktor eller multifaktor.

    För scenarier där det certifikat som du vill använda inte laddas upp till certifikatutfärdarna i klientorganisationen kan du ange certifikatutfärdare i rutan Andra certifikatutfärdare via SubjectkeyIdentifier . Ett sådant exempel är externa användarscenarier, där användaren kan autentisera i hemklientorganisationen och autentiseringsstyrkan tillämpas på resursklientorganisationen.

    Skärmbild som visar konfigurationsalternativen för certifikatutfärdare och principobjektidentifierare.

    Dessa villkor gäller:

    • Om du konfigurerar båda attributen (certifikatutfärdare och princip-OID:er) måste användaren använda ett certifikat som har minst en av utfärdarna och en av princip-OID:erna från listan för att uppfylla autentiseringsstyrkan.
    • Om du bara konfigurerar certifikatutfärdarattributet måste användaren använda ett certifikat som har minst en av utfärdarna för att uppfylla autentiseringsstyrkan.
    • Om du bara konfigurerar attributet princip-OID:er måste användaren använda ett certifikat som har minst en av princip-OID:erna för att uppfylla autentiseringsstyrkan.

    Notera

    Du kan konfigurera högst fem utfärdare och fem OID:er för en autentiseringsstyrka.

  8. Välj Nästa för att granska konfigurationen och välj sedan Skapa.

Microsoft Graph

Om du vill skapa en ny princip för autentiseringsstyrka med villkorsstyrd åtkomst med hjälp av combinationConfigurations för ett certifikat, använder du den här koden:

POST  /beta/identity/conditionalAccess/authenticationStrength/policies
{
    "displayName": "CBA Restriction",
    "description": "CBA Restriction with both IssuerSki and OIDs",
    "allowedCombinations": [
        " x509CertificateMultiFactor "
    ],
    "combinationConfigurations": [
        {
            "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
            "appliesToCombinations": [
                "x509CertificateMultiFactor"
            ],
            "allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
            "allowedPolicyOIDs": [
                "1.2.3.4.6",
                "1.2.3.4.5.6"
            ]
        }
    ]
}

Om du vill lägga till ny combinationConfiguration information i en befintlig princip använder du den här koden:

POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations

{
    "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
    "allowedIssuerSkis": [
        "9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
    ],
    "allowedPolicyOIDs": [],
    "appliesToCombinations": [
        "x509CertificateSingleFactor "
    ]
}

Förstå begränsningarna

Avancerade alternativ för passersedlar (FIDO2)

Avancerade alternativ för lösenordslösa nycklar (FIDO2) stöds inte för externa användare med hemorganisation och resursorganisation i olika Microsoft-moln.

Avancerade alternativ för certifikatbaserad autentisering

  • En användare kan bara använda ett certifikat i varje webbläsarsession. När användaren har loggat in med ett certifikat cachelagras det i webbläsaren under hela sessionen. Användaren uppmanas inte att välja ett annat certifikat om det inte uppfyller kraven på autentiseringsstyrka. Användaren måste logga ut och logga in igen för att starta om sessionen och sedan välja relevant certifikat.

  • Certifikatutfärdare och användarcertifikat bör överensstämma med X.509 v3-standarden. För att tillämpa CBA-begränsningar för utfärdarens ämnesnyckelidentifierare (SKI:er) behöver certifikat giltiga utfärdarnyckelidentifierare (AKIs).

    Skärmdump som visar en authoritetsnyckelidentifierare.

    Notera

    Om certifikatet inte överensstämmer kan användarautentiseringen lyckas men uppfyller inte utfärdarens SKI-begränsningar för autentiseringsstyrkans princip.

  • Under inloggningen tar Microsoft Entra-ID hänsyn till de fem första princip-OID:erna från användarcertifikatet och jämför dem med de princip-OID:er som konfigurerats i autentiseringsstyrkan. Om användarcertifikatet har fler än fem princip-OID:er tar Microsoft Entra-ID hänsyn till de första fem princip-OID:erna (i lexikal ordning) som matchar kraven på autentiseringsstyrka.

  • För företagsanvändare ska vi ta ett exempel där Contoso bjuder in användare från en annan organisation (Fabrikam) till sin klientorganisation. I det här fallet är Contoso resursklientorganisationen och Fabrikam hemklientorganisationen. Åtkomst beror på inställningen för åtkomst mellan klientorganisationer:

    • När inställningen för åtkomst mellan klientorganisationer är Av innebär det att Contoso inte accepterar MFA som hemklientorganisationen utförde. Certifikatbaserad autentisering i en resursklientorganisation stöds inte.
    • När inställningen för åtkomst mellan klientorganisationer är finns Fabrikam- och Contoso-klientorganisationer i samma Microsoft-moln (azures kommersiella molnplattform eller Azure for US Government-molnplattformen). Dessutom litar Contoso på MFA som har utförts på hemmaklienten. I det här fallet:
      • Administratören kan begränsa åtkomsten till en specifik resurs med hjälp av princip-OIDs eller inställningen Andra certifikatutfärdare efter SubjectkeyIdentifier i principen för anpassad autentiseringsstyrka.
      • Administratören kan begränsa åtkomsten till specifika resurser med hjälp av inställningen Andra certifikatutfärdare efter SubjectkeyIdentifier i principen för anpassad autentiseringsstyrka.
    • När inställningen för åtkomst mellan klientorganisationer är finns inte Fabrikam och Contoso i samma Microsoft-moln. Fabrikams klientorganisation finns till exempel på azures kommersiella molnplattform och Contosos klientorganisation finns på molnplattformen Azure for US Government. Administratören kan inte begränsa åtkomsten till specifika resurser med hjälp av utfärdar-ID:t eller princip-OID:erna i den anpassade autentiseringsstyrkan.

Felsöka avancerade alternativ för autentiseringsstyrkor

Användare kan inte använda sin nyckel (FIDO2) för att logga in

En administratör för villkorsstyrd åtkomst kan begränsa åtkomsten till specifika säkerhetsnycklar. När en användare försöker logga in med en nyckel som de inte kan använda visas meddelandet "Du kan inte komma dit härifrån". Användaren måste starta om sessionen och logga in med en annan nyckel (FIDO2).

Skärmbild av ett inloggningsfel när en användare använder en begränsad nyckel.

Du måste kontrollera certifikatutfärdaren eller policy-OID

Du kan bekräfta att de personliga certifikategenskaperna matchar konfigurationen i de avancerade alternativen för autentiseringsstyrkor:

  1. Logga in som administratör på användarens enhet.

  2. Välj Kör, skriv certmgr.msc och välj sedan returnyckeln .

  3. Välj Personliga>certifikat, högerklicka på certifikatet och gå sedan till fliken Information .

Skärmbild som visar val för att kontrollera en certifikatutfärdare eller princip-OID.

Relaterat innehåll