管理员还可以最多创建 15 个自定义身份验证强度,以完全满足其需求。 自定义身份验证强度可以包含上表中支持的任何组合。
以管理员身份登录到 Microsoft Entra 管理中心 。
浏览至 Entra ID>身份验证方法>身份验证强度。
选择“新建身份验证强度”。
为你的新身份验证强度提供一个描述性名称。
(可选)提供说明。
选择要允许的任何可用方法。
选择“下一步”并查看策略配置。
更新和删除自定义身份验证强度
可以编辑自定义身份验证强度。 如果条件访问策略引用了该策略,则无法删除该策略,并且需要确认任何编辑。 若要检查条件访问策略是否引用了身份验证强度,请单击 “条件访问策略 ”列。
FIDO2 安全密钥高级选项
可以根据其认证器认证 GUID (AAGUID) 限制 FIDO2 安全密钥的使用。 此功能允许管理员要求特定制造商提供 FIDO2 安全密钥才能访问资源。 若要要求特定的 FIDO2 安全密钥,请先创建自定义身份验证强度。 然后选择 FIDO2 安全密钥,然后单击“ 高级”选项。
在 “允许的 FIDO2 密钥 ”旁边单击 +,复制 AAGUID 值,然后单击“ 保存”。
基于证书的身份验证高级选项
在 身份验证方法策略中,可以根据证书颁发者或策略 OID 配置证书是绑定到单因素身份验证保护级别还是多重身份验证保护级别。 还可以根据条件访问身份验证强度策略为特定资源要求单因素或多重身份验证证书。
通过使用身份验证强度高级选项,可以要求特定的证书颁发者或策略 OID 进一步限制对应用程序的登录。
例如,Contoso 向具有三种不同类型的多重证书的员工颁发智能卡。 一个证书用于机密许可,另一个用于机密许可,第三个证书用于最高机密许可。 每个证书根据其属性区分,例如策略OID或颁发者。 Contoso 希望确保只有具有适当多重证书的用户才能访问每个分类的数据。
下一部分介绍如何使用 Microsoft Entra 管理中心和 Microsoft Graph 为 CBA 配置高级选项。
Microsoft Entra 管理中心
以管理员身份登录到 Microsoft Entra 管理中心 。
浏览到 Entra ID>身份验证方法>身份验证强度。
选择“新建身份验证强度”。
为你的新身份验证强度提供一个描述性名称。
(可选)提供说明。
在基于证书的身份验证(单因素或多重身份验证)下方,单击 “高级”选项。
可以从下拉菜单中选择证书颁发者,键入证书颁发者并键入允许的策略 OID。 下拉菜单列出了属于租户的所有证书授权机构,无论它们是单因素还是多因素。 证书颁发者可以通过使用租户中证书颁发机构的下拉列表进行配置,也可以在希望使用的证书尚未上传到租户中的证书颁发机构的情况下,通过使用SubjectkeyIdentifier配置其他证书颁发者。 例如,外部用户场景中,用户可以在其所属租户中进行身份验证,并在资源租户上强制执行认证强度。
- 如果同时配置了证书颁发者和策略 OID 的属性,则存在 AND 关系,并且用户必须使用至少包含其中一个颁发者的证书以及列表中的策略 OID 之一来满足身份验证强度。
- 如果仅配置证书颁发者属性,则用户必须使用至少具有其中一个颁发者的证书来满足身份验证强度。
- 如果仅配置了策略 OID 属性,则用户必须使用至少具有策略 OID 之一的证书来满足身份验证强度。
注释
我们允许在身份验证强度配置中最多配置 5 个颁发者和 5 个 OID。
- 单击“ 下一步 ”查看配置,然后单击“ 创建”。
Microsoft Graph
若要使用证书组合配置创建新的条件访问身份验证强度策略,请执行以下步骤:
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
若要向现有策略添加新的 combinationConfiguration,请执行以下操作:
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
局限性
FIDO2 安全密钥高级选项
- zh-CN: FIDO2 安全密钥高级选项 - 如果外部用户的家庭租户所在的 Microsoft 云与资源租户所在的云不同,则不支持这些高级选项。
基于证书的身份验证高级选项
每个浏览器会话中只能使用一个证书。 使用证书登录后,该证书在会话期间缓存在浏览器中。 如果未满足身份验证强度要求,则不会提示你选择另一个证书。 需要注销并重新登录才能重启会话。 然后选择相关证书。
证书颁发机构和用户证书应符合 X.509 v3 标准。 具体而言,若要强制实施颁发者 SKI CBA 限制,证书需要有效的 AKIs:
注释
如果证书不符合,则用户身份验证可能会成功,但不符合身份验证强度策略的 issuerSki 限制。
在登录期间,会考虑最终用户证书的前 5 个策略 OID,并与身份验证强度策略中配置的策略 OID 进行比较。 如果最终用户证书具有 5 个以上的策略 OID,则考虑符合身份验证强度要求的词法顺序的前 5 个策略 OID。
对于 B2B 用户,让我们以 Contoso 将 Fabrikam 中的用户邀请到其租户的示例。 在这种情况下,Contoso 是资源租户,Fabrikam 是主租户。
- 当跨租户访问设置被设为 Off 即(Contoso 不接受由主租户执行的 MFA),则不支持在资源租户上使用基于证书的身份验证。
- 当跨租户访问设置为 On 时,Fabrikam 和 Contoso 位于同一Microsoft云中,这意味着 Fabrikam 和 Contoso 租户位于 Azure 商业云或适用于美国政府云的 Azure 上。 此外,Contoso 信任在其家庭租户上执行的 MFA。 在这种情况下:
- 可以通过在自定义身份验证强度策略中使用策略 OID 或“SubjectkeyIdentifier 提供的其他证书颁发者”来限制对特定资源的访问。
- 可以使用自定义身份验证强度策略中的“通过 SubjectkeyIdentifier 的其他证书颁发者”设置来限制对特定资源的访问。
- 当跨租户访问设置为 “开”时,Fabrikam 和 Contoso 不在同一Microsoft云上(例如,Fabrikam 的租户位于 Azure 商业云上,Contoso 的租户位于 Azure for US Government 云中)-无法使用自定义身份验证强度策略中的颁发者 ID 或策略 OID 来限制对特定资源的访问。
身份验证强度高级选项疑难解答
用户无法使用其 FIDO2 安全密钥登录
条件访问管理员可以限制对特定安全密钥的访问。 当用户尝试使用无法使用的密钥登录时,将显示 “无法从这里到达” 的消息。 用户必须重启会话,并使用其他 FIDO2 安全密钥登录。
如何检查证书策略对象标识符 (OID) 和颁发者
可以确认个人证书属性与身份验证强度高级选项中的配置匹配。
在用户的设备上,以管理员身份登录。 单击“ 运行”、“键入 certmgr.msc”,然后按 Enter。 若要检查策略 OID,请单击“ 个人”,右键单击证书,然后单击“ 详细信息”。
