Visão geral da autenticação baseada em certificado do Microsoft Entra

Artigo
10/25/2023

A autenticação baseada em certificado (CBA) do Microsoft Entra habilita os clientes a permitir ou exigir que os usuários se autentiquem diretamente com certificados X.509 em relação ao Microsoft Entra ID, para aplicativos e entrada no navegador. Esse recurso permite que os clientes adotem uma autenticação resistente a phishing e se autentiquem com um certificado X.509 na PKI (infraestrutura de chave pública).

O que é a CBA do Microsoft Entra?

Antes que o suporte gerenciado por nuvem para a CBA para Microsoft Entra ID, os clientes tinham que implementar a autenticação federada baseada em certificado, o que requer a implantação de Serviços de Federação do Active Directory (AD FS) (AD FS) para poder autenticar usando certificados X.509 em Microsoft Entra ID. Com a autenticação baseada em certificado do Microsoft Entra, os clientes podem se autenticar diretamente no Microsoft Entra e eliminar a necessidade de AD FS federado, com ambientes simplificados do cliente e redução de custos.

As imagens a seguir mostram como a CBA do Microsoft Entra simplifica o ambiente do cliente eliminando o AD FS federado.

Autenticação baseada em certificado com o AD FS federado

Diagram of certificate-based authentication with federation.

Autenticação baseada em certificado do Microsoft Entra

Diagram of Microsoft Entra certificate-based authentication.

Principais benefícios do uso da CBA do Microsoft Entra

Benefícios	Descrição
Ótima experiência do usuário	– Os usuários que precisam da autenticação baseada em certificado agora podem se autenticar diretamente no Microsoft Entra e não precisam investir no AD FS federado. – A interface do usuário do portal permite que os usuários configurem facilmente como mapear campos de certificado para um atributo de objeto de usuário para pesquisar o usuário no locatário (associações de nome de usuário do certificado) – A interface do usuário do portal para configurar políticas de autenticação ajuda a determinar quais certificados são de fator único versus multifator.
Fácil de implantar e administrar	- A CBA Microsoft Entra é um recurso gratuito e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo. – Não há necessidade de implantações locais ou configurações de rede complexas. – Autentique-se diretamente no Microsoft Entra ID.
Seguro	- As senhas locais não precisam ser armazenadas na nuvem de forma alguma. – Protege suas contas de usuário trabalhando perfeitamente com políticas de acesso condicional do Microsoft Entra ID, incluindo autenticação multifator resistente a phishing (MFA que requer uma edição licenciada) e bloqueio de autenticação herdada. - Suporte de autenticação forte, onde os usuários podem definir políticas de autenticação por meio dos campos de certificado, como emissor ou OID de política (identificadores de objeto), para determinar quais certificados se qualificam como fator único versus multifator. - O recurso funciona perfeitamente com recursos de Acesso Condicional e capacidade de força de autenticação para impor a MFA para ajudar a proteger seus usuários.

Cenários com suporte

Os cenários a seguir têm suporte:

Entradas de usuário em aplicativos com base em navegador da Web em todas as plataformas.
Entradas de usuário nos aplicativos móveis do Office nas plataformas iOS/Android, bem como aplicativos nativos do Office no Windows, incluindo Outlook, OneDrive e assim por diante.
Entradas de usuário em navegadores móveis nativos.
Suporte para regras de autenticação granulares para autenticação multifator usando o Assunto e os OIDs da política do emissor do certificado.
Configurando associações de conta de certificado para usuário usando qualquer um dos campos de certificado:
- Nome Alternativo do Assunto (SAN) Nome Principal e SAN RFC822Name
- Identificador de chave de assunto (SKI) e SHA1PublicKey
- Emissor + Assunto, Assunto e Emissor + Número de Série
Configurando associações de conta de certificado para usuário usando qualquer um dos atributos de objeto do usuário:
- Nome UPN
- onPremisesUserPrincipalName
- CertificateUserIds

Cenários sem suporte

Ainda não há suporte para os cenários a seguir:

As dicas da Autoridade de Certificação não têm suporte, portanto, a lista de certificados que aparece para usuários na interface do usuário do seletor de certificado não tem escopo.
Há suporte para apenas um CDP (ponto de distribuição de CRL) para uma AC confiável.
O CDP pode ser apenas URLs HTTP. Não há suporte para URLs de Protocolo OCSP ou de protocolo LDAP.
A senha como um método de autenticação não pode ser desabilitada e a opção de entrar usando uma senha é exibida mesmo com o método CBA do Microsoft Entra disponível para o usuário.

Limitação conhecida com certificados do Windows Hello For Business

Embora o Windows Hello For Business (WHFB) possa ser usado para autenticação multifator no Microsoft Entra ID, o WHFB não tem suporte para MFA nova. Os clientes podem optar por registrar certificados para seus usuários usando o par de chaves do WHFB. Quando configurados corretamente, esses certificados do WHFB podem ser usados para autenticação multifator no Microsoft Entra ID. Os certificados do WHFB são compatíveis com a CBA (autenticação baseada em certificado) do Microsoft Entra nos navegadores Edge e Chrome; no entanto, neste momento, os certificados do WHFB não são compatíveis com a CBA do Microsoft Entra em cenários que não são de navegador (por exemplo, aplicativos do Office 365). A solução alternativa é usar a opção "Entrar com o Windows Hello ou chave de segurança" para entrar (quando disponível), pois essa opção não usa certificados para autenticação e evita o problema com a CBA do Microsoft Entra; no entanto, essa opção pode não estar disponível em alguns aplicativos mais antigos.

Fora do escopo

Os seguintes cenários estão fora do escopo para Microsoft Entra CBA:

Infraestrutura de Chave Pública para criar certificados de cliente. Os clientes precisam configurar sua própria PKI (Infraestrutura de Chave Pública) e provisionar certificados para os usuários e dispositivos.