Freigeben über

Konfigurieren der zertifikatbasierten Microsoft Entra-Authentifizierung

  • Artikel

Die zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) in Microsoft Entra ermöglicht es Organisationen, ihre Microsoft Entra-Mandanten so zu konfigurieren, dass sich Benutzer mit X.509-Zertifikaten authentifizieren können oder müssen, die von ihrer Public Key-Infrastruktur (PKI) für Unternehmen für die Anmeldung bei Apps und Browsern erstellt wurden. Mit diesem Feature können Organisationen die gegen Phishing geschützte, moderne Authentifizierung ohne Kennwörter mithilfe eines X.509-Zertifikats übernehmen.

Während der Anmeldung wird Benutzern auch eine Option zur Authentifizierung mit einem Zertifikat angezeigt, anstatt ein Kennwort einzugeben. Wenn mehrere übereinstimmende Zertifikate auf dem Gerät vorhanden sind, können Benutzende auswählen, welches Zertifikat verwendet werden soll. Das Zertifikat wird mit dem Benutzerkonto abgeglichen, und wenn dies erfolgreich ist, erfolgt die Anmeldung.

Befolgen Sie diese Anweisungen, um Microsoft Entra-CBA für Mandanten in Office 365 Enterprise- und US Government-Plänen zu konfigurieren und zu verwenden. Sie sollten bereits eine Public Key-Infrastruktur (PKI) konfiguriert haben.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Konfigurieren Sie mindestens eine Zertifizierungsstelle (ZS) und Zwischenzertifizierungsstellen in Microsoft Entra ID.
  • Der Benutzer muss Zugriff auf ein Benutzerzertifikat haben (ausgestellt von einer auf dem Mandanten konfigurierten vertrauenswürdigen Public Key-Infrastruktur), das für die Clientauthentifizierung zur Authentifizierung bei Microsoft Entra ID vorgesehen ist.
  • Jede Zertifizierungsstelle sollte über eine Zertifikatsperrliste (Certificate Revocation List, CRL) verfügen, auf die über URLs mit Internetzugriff verwiesen werden kann. Wenn für die vertrauenswürdige ZS keine Zertifikatssperrliste konfiguriert ist, führt Microsoft Entra ID keine Überprüfung der Zertifikatssperrliste durch, die Sperrung von Benutzerzertifikaten funktioniert nicht, und die Authentifizierung wird nicht blockiert.

Wichtig

Stellen Sie sicher, dass die PKI ausreichend gesichert ist und nicht so leicht kompromittiert werden kann. Im Falle einer Gefährdung können Angreifer*innen Clientzertifikate erstellen und signieren und alle Benutzer*innen im Mandanten kompromittieren (sowohl synchronisierte Benutzer*innen als auch reine Cloudbenutzer*innen). Eine starke Schlüsselschutzstrategie kann jedoch zusammen mit anderen physischen und logischen Kontrollen wie HSM-Aktivierungskarten oder Token für die sichere Speicherung von Artefakten eine tiefgreifende Verteidigung bieten. So lässt sich verhindern, dass externe Angreifer*innen oder Bedrohungen durch Insider*innen die Integrität der PKI gefährden. Weitere Informationen finden Sie unter Schützen einer Public Key-Infrastruktur.

Wichtig

Unter Microsoft-Empfehlungen finden Sie bewährte Methoden für Microsoft-Kryptografie mit Algorithmusauswahl, Schlüssellänge und Datenschutz. Stellen Sie sicher, dass Sie einen der empfohlenen Algorithmen, die geeignete Schlüssellänge und die von NIST genehmigten Kurven verwenden.

Wichtig

Im Rahmen der fortlaufenden Sicherheitsverbesserungen wird Azure-/M365-Endpunkten Unterstützung für TLS 1.3 hinzugefügt. Dieser Prozess, der Tausende von Dienstendpunkten in Azure/M365 betrifft, wird voraussichtlich einige Monate in Anspruch nehmen. Dazu gehören der Microsoft Entra-Endpunkt, der von der zertifikatbasierten Authentifizierung von Microsoft Entra (CBA) *.certauth.login.microsoftonline.com und *.certauth.login.microsoftonline.us verwendet wird. TLS 1.3 ist die aktuelle Version des am häufigsten bereitgestellten Internetsicherheitsprotokolls, das Daten verschlüsselt, um einen sicheren Kommunikationskanal zwischen zwei Endpunkten bereitzustellen. TLS 1.3 macht die Verwendung veralteter Kryptografiealgorithmen überflüssig, verbessert die Sicherheit im Vergleich zu älteren Versionen und zielt darauf ab, so viele Daten des Handshakes wie möglich zu verschlüsseln. Wir empfehlen Entwicklern dringend, mit dem Testen von TLS 1.3 in ihren Anwendungen und Diensten zu beginnen.

Hinweis

Bei der Bewertung einer PKI ist es wichtig, die Richtlinien für die Ausstellung und Durchsetzung von Zertifikaten zu überprüfen. Wie bereits erwähnt, ermöglicht das Hinzufügen von Zertifizierungsstellen (ZS) zur Microsoft Entra ID-Konfiguration, dass von diesen ZS ausgestellte Zertifikate jeden Benutzer in Azure AD authentifizieren können. Aus diesem Grund ist es wichtig zu bedenken, wie und wann die Zertifizierungsstellen Zertifikate ausstellen dürfen und wie sie wiederverwendbare Bezeichner implementieren. Wenn Administrator*innen sicherstellen müssen, dass nur ein bestimmtes Benutzerzertifikat zur Authentifizierung verwendet werden darf, sollten sie ausschließlich Bindungen mit hoher Affinität verwenden. So lässt sich eher sicherstellen, dass nur ein bestimmtes Zertifikat zur Authentifizierung der Benutzerin bzw. des Benutzers verwendet werden kann. Weitere Informationen finden Sie unter Bindungen mit hoher Affinität.

Schritte zum Konfigurieren und Testen von Microsoft Entra-CBA

Einige Konfigurationsschritte müssen ausgeführt werden, bevor Sie Microsoft Entra-CBA aktivieren. Zunächst muss ein*e Administrator*in die vertrauenswürdigen Zertifizierungsstellen konfigurieren, die Benutzerzertifikate ausstellen. Wie in der folgenden Abbildung dargestellt, wird die rollenbasierte Zugriffssteuerung verwendet, um sicherzustellen, dass nur Administrator*innen mit den geringsten Berechtigungen Änderungen vornehmen dürfen.

Zum Verwalten dieses Features ist ein globaler Administrator erforderlich.

Optional können Sie auch Authentifizierungsbindungen konfigurieren, um Zertifikate einer einstufigen Authentifizierung oder einer Multi-Faktor-Authentifizierung zuzuordnen. Zudem können Sie Benutzernamenbindungen konfigurieren, um einem Attribut des Benutzerobjekts ein Zertifikatfeld zuzuordnen. Authentifizierungsrichtlinienadministrator*innen können benutzerbezogene Einstellungen konfigurieren. Sobald alle Konfigurationen abgeschlossen sind, aktivieren Sie Microsoft Entra-CBA für den Mandanten.

Diagramm der erforderlichen Schritte zum Aktivieren der zertifikatbasierten Microsoft Entra-Authentifizierung.

Schritt 1: Konfigurieren der Zertifizierungsstellen mit dem PKI-basierten Vertrauensspeicher (Vorschau)

Entra verfügt über einen neuen PKI-basierten (Public Key-Infrastruktur) ZS-Vertrauensspeicher (Zertifizierungsstelle). Der PKI-basierte ZS-Vertrauensspeicher behält Zertifizierungsstellen innerhalb eines Containerobjekts für alle unterschiedlichen PKIs bei. Administratoren können Zertifizierungsstellen in einem Container basierend auf PKIs leichter als eine einfache Liste von Zertifizierungsstellen verwalten.

Der PKI-basierte Vertrauensspeicher hat höhere Grenzwerte für die Anzahl der Zertifizierungsstellen und die Größe der einzelnen ZS-Dateien. Ein PKI-basierter Vertrauensspeicher unterstützt bis zu 250 Zertifizierungsstellen und eine Größe von 8 KB für jedes ZS-Objekt. Es wird dringend empfohlen, den neuen PKI-basierten Vertrauensspeicher zum Speichern von Zertifizierungsstellen zu verwenden, da er skalierbar ist und neue Funktionen wie Ausstellerhinweise unterstützt.

Hinweis

Wenn Sie den alten Vertrauensspeicher zum Konfigurieren von Zertifizierungsstellen verwenden, empfehlen wir, einen PKI-basierten Vertrauensspeicher zu konfigurieren.

Ein Administrator muss die vertrauenswürdigen Zertifizierungsstellen konfigurieren, die Benutzerzertifikate ausstellen. Es sind nur Administratoren mit den geringsten Rechten erforderlich, um Änderungen vorzunehmen. Ein PKI-basierter Vertrauensspeicher verfügt über die RBAC-Rollen Privilegierter Authentifizierungsadministrator und Authentifizierungsadministrator.

Das PKI-Feature des PKI-basierten Vertrauensspeichers ist nur mit Microsoft Entra ID P1- oder P2-Lizenz verfügbar. Administratoren können mit einer kostenlosen Lizenz jedoch auch statt der PKI-Datei alle Zertifizierungsstellen einzeln hochladen und den PKI-basierten Vertrauensspeicher konfigurieren.

Konfigurieren von Zertifizierungsstellen mithilfe des Microsoft Entra Admin Centers

Erstellen eines PKI-Containerobjekts

  1. Erstellen Sie ein PKI-Containerobjekt.

  2. Melden Sie sich beim Microsoft Entra Admin Center als Authentifizierungsrichtlinienadministrator an.

  3. Navigieren Sie zu Schutz>Mehr anzeigen>Security Center (oder Identitätssicherheitsbewertung) >Public Key-Infrastruktur (Vorschau).

  4. Klicken Sie auf + PKI erstellen.

  5. Geben Sie unter Anzeigename einen Anzeigenamen ein.

  6. Klicken Sie auf Erstellen.

    Diagramm der Schritte, die zum Erstellen einer PKI erforderlich sind.

  7. Klicken Sie auf Spalten, um Spalten hinzuzufügen oder zu löschen.

  8. Wählen Sie Aktualisieren aus, um die Liste der PKIs zu aktualisieren.

Löschen eines PKI-Containerobjekts

  1. Um eine PKI zu löschen, wählen Sie die PKI aus, und wählen Sie Löschen aus. Wenn zur PKI Zertifizierungsstellen gehören, geben Sie den Namen der PKI ein, um das Löschen aller zugehörigen Zertifizierungsstellen zu bestätigen, und wählen Sie Löschen aus.

    Diagramm der Schritte, die zum Löschen einer PKI erforderlich sind.

Hochladen einzelner Zertifizierungsstellen in ein PKI-Containerobjekt

  1. So laden Sie eine Zertifizierungsstelle in den PKI-Container hoch

    1. Klicken Sie auf + Zertifizierungsstelle hinzufügen.

    2. Wählen Sie die Zertifizierungsstellendatei aus.

    3. Wählen Sie Ja aus, wenn es sich bei der Zertifizierungsstelle um ein Stammzertifikat handelt. Wählen Sie andernfalls Nein aus.

    4. Legen Sie für die Sperrlisten-URL die internetorientierte URL für die Zertifizierungsstelle-Basis-CRL fest, die alle widerrufenen Zertifikate enthält. Wenn die URL nicht festgelegt ist, schlägt die Authentifizierung mit gesperrten Zertifikaten nicht fehl.

    5. Legen Sie für die Delta-Sperrlisten-URL die Internet-URL für die CRL fest, die alle widerrufenen Zertifikate seit der Veröffentlichung der letzten Basis-CRL enthält.

    6. Das Flag Ausstellerhinweise ist standardmäßig aktiviert. Deaktivieren Sie Ausstellerhinweise, wenn die Zertifizierungsstelle nicht in Ausstellerhinweise einbezogen werden soll.

    7. Wählen Sie Speichern.

    8. Um ein Zertifizierungsstellenzertifikat zu löschen, wählen Sie das Zertifikat aus, und klicken Sie dann auf Löschen.

      Diagramm zum Löschen eines Zertifizierungsstellenzertifikats.

    9. Klicken Sie auf Spalten, um Spalten hinzuzufügen oder zu löschen.

    10. Wählen Sie Aktualisieren aus, um die Liste der Zertifizierungsstellen zu aktualisieren.

Hochladen aller Zertifizierungsstellen beim Hochladen der PKI in das PKI-Containerobjekt

  1. So laden Sie alle Zertifizierungsstellen gleichzeitig in den PKI-Container hoch

    1. Erstellen Sie ein PKI-Containerobjekt, oder öffnen Sie ein Objekt.
    2. Wählen Sie PKI hochladen aus.
    3. Geben Sie die HTTP-Internet-URL ein, in der die P7B-Datei verfügbar ist.
    4. Geben Sie die SHA256-Prüfsumme der Datei ein.
    5. Wählen Sie den Upload aus.
    6. „PKI hochladen“ ist ein asynchroner Prozess. Während die einzelnen Zertifizierungsstellen hochgeladen werden, sind sie in der PKI verfügbar. Der Abschluss des PKI-Uploads kann bis zu 30 Minuten dauern.
    7. Wählen Sie Aktualisieren aus, um die Zertifizierungsstellen zu aktualisieren.

    Führen Sie den folgenden Befehl aus, um die SHA256-Prüfsumme für die P7B-Datei der PKI zu generieren:

    Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Bearbeiten einer PKI

  1. Um eine PKI zu bearbeiten, wählen Sie ... in der Zeile der PKI aus, und wählen Sie Bearbeiten aus.
  2. Geben Sie einen neuen PKI-Namen ein, und wählen Sie Speichern aus.

Bearbeiten einer Zertifizierungsstelle

  1. Um eine Zertifizierungsstelle zu bearbeiten, wählen Sie ... in der Zeile der Zertifizierungsstelle aus, und wählen Sie Bearbeiten aus.
  2. Geben Sie nach Bedarf neue Werte für den Zertifizierungsstellentyp (Stamm/Zwischen), die Sperrlisten-URL, die Delta-Sperrlisten-URL und das Flag für aktivierte Ausstellerhinweise ein, und wählen Sie Speichern aus.

Wiederherstellen einer PKI

  1. Wählen Sie die Registerkarte Gelöschte PKIs aus.
  2. Wählen Sie die PKI aus, und wählen Sie PKI wiederherstellen aus.

Wiederherstellen einer Zertifizierungsstelle

  1. Wählen Sie die Registerkarte Gelöschte Zertifizierungsstellen aus.
  2. Wählen Sie die Zertifizierungsstellendatei aus, und wählen Sie Zertifizierungsstelle wiederherstellen aus.

Grundlegendes zum isIssuerHintEnabled-Attribut der Zertifizierungsstelle

Ausstellerhinweise senden eine Angabe zu einer vertrauenswürdigen Zertifizierungsstelle als Teil des TLS-Handshakes (Transport Layer Security) zurück. Die Liste der vertrauenswürdigen Zertifizierungsstellen wird auf den Antragsteller der vom Mandanten hochgeladenen Zertifizierungsstellen im Entra-Vertrauensspeicher festgelegt. Weitere Informationen zu Ausstellerhinweisen finden Sie unter Grundlegendes zu Ausstellerhinweisen.

Standardmäßig werden die Antragstellernamen aller Zertifizierungsstellen im Microsoft Entra-Vertrauensspeicher als Hinweise gesendet. Wenn Sie einen Hinweis nur mit bestimmten Zertifizierungsstellen zurücksenden möchten, legen Sie das Attribut für den Ausstellerhinweis isIssuerHintEnabled auf true fest.

Es gibt ein Zeichenlimit von 16 KB für die Ausstellerhinweise (Antragstellername der Zertifizierungsstelle), die der Server zurück an den TLS-Client senden kann. Legen Sie als bewährte Methode das Attribut isIssuerHintEnabled nur für die Zertifizierungsstellen, die Benutzerzertifikate ausstellen, auf „true“ fest.

Wenn mehrere Zwischenzertifizierungsstellen aus demselben Stammzertifikat die Endbenutzerzertifikate ausstellen, werden standardmäßig alle Zertifikate in der Zertifikatauswahl angezeigt. Wenn Sie jedoch isIssuerHintEnabled für bestimmte Zertifizierungsstellen auf true festlegen, werden nur die geeigneten Benutzerzertifikate in der Zertifikatauswahl angezeigt. Um isIssuerHintEnabled zu aktivieren, bearbeiten Sie die Zertifizierungsstelle, und aktualisieren Sie den Wert auf true.

Konfigurieren von Zertifizierungsstellen mithilfe der Microsoft Graph-APIs

Microsoft Graph-APIs können zum Konfigurieren von Zertifizierungsstellen verwendet werden. Die folgenden Beispiele zeigen, wie Sie mit Microsoft Graph CRUD-Operationen (Create, Read, Update oder Delete) für eine PKI oder eine Zertifizierungsstelle ausführen.

Erstellen eines PKI-Containerobjekts

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Abrufen aller PKI-Objekte

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Abrufen eines PKI-Objekts nach PKI-ID

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/
ConsistencyLevel: eventual

Hochladen von Zertifizierungsstellen mit einer P7B-Datei

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
    	"uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
    	"sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Abrufen aller Zertifizierungsstellen in einer PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities
ConsistencyLevel: eventual

Abrufen einer bestimmten Zertifizierungsstelle innerhalb einer PKI nach Zertifizierungsstellen-ID

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
ConsistencyLevel: eventual

Aktualisieren des Flags für Ausstellerhinweise einer bestimmten Zertifizierungsstelle

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Konfigurieren von Zertifizierungsstellen (ZS) mit PowerShell: Für diese Konfiguration können Sie [Microsoft Graph PowerShell] (/powershell/microsoftgraph/installation) verwenden.

  1. Starten Sie PowerShell mit Administratorrechten.

  2. Installieren und importieren Sie das Microsoft Graph PowerShell SDK.

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Stellen Sie eine Verbindung mit dem Mandanten her und akzeptieren Sie alle Elemente.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Überwachungsprotokoll

Alle CRUD-Operationen für eine PKI oder Zertifizierungsstelle innerhalb des Vertrauensspeichers werden in den Microsoft Entra-Überwachungsprotokollen protokolliert.

Diagramm der Überwachungsprotokolle.

Häufig gestellte Fragen

Frage: Warum schlägt das Hochladen der PKI fehl?

Antwort: Überprüfen Sie, ob die PKI-Datei gültig ist und ohne Probleme darauf zugegriffen werden kann. Die maximale Größe der PKI-Datei sollte sein

Frage: Was ist die Vereinbarung zum Servicelevel (Service Level Agreement, SLA) für den PKI-Upload?

Antwort: Der PKI-Upload ist ein asynchroner Vorgang und kann bis zu 30 Minuten dauern.

Frage: Wie generieren Sie die SHA256-Prüfsumme für PKI-Datei?

Antwort: Führen Sie den folgenden Befehl aus, um die SHA256-Prüfsumme für die P7B-Datei der PKI zu generieren:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Schritt 2: Aktivieren der zertifikatbasierten Authentifizierung für den Mandanten

Wichtig

Ein Benutzer gilt als MFA-fähig, wenn sich der Benutzer in der Richtlinie für Authentifizierungsmethoden im Bereich der zertifikatbasierten Authentifizierung befindet. Diese Richtlinienanforderung bedeutet, dass ein Benutzer den Nachweis nicht im Rahmen seiner Authentifizierung verwenden kann, um andere verfügbare Methoden zu registrieren. Wenn die Benutzer keinen Zugriff auf Zertifikate haben, werden sie gesperrt und können keine anderen Methoden für MFA registrieren. Authentifizierungsrichtlinienadministratoren müssen CBA nur für Benutzer aktivieren, die über gültige Zertifikate verfügen. Nehmen Sie nicht alle Benutzer für CBA auf. Verwenden Sie nur Benutzergruppen mit gültigen Zertifikaten. Weitere Informationen finden Sie unter Microsoft Entra-Multi-Faktor-Authentifizierung.

Führen Sie die folgenden Schritte aus, um CBA im Microsoft Entra Admin Center zu aktivieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Gruppen>Alle Gruppen>, wählen Sie Neue Gruppe aus, und erstellen Sie eine Gruppe für CBA-Benutzer.

  3. Browsen Sie zu Schutz>Authentifizierungsmethoden>Zertifikatbasierte Authentifizierung.

  4. Wählen Sie unter Aktivieren und Ziel die Option Aktivieren.

  5. Wählen Sie Gruppen hinzufügen aus, um bestimmte Gruppen wie die von Ihnen erstellte Gruppe auszuwählen. Verwenden Sie bestimmte Gruppen statt Alle Benutzer.

    Screenshot der Aktivierung von CBA

Sobald die zertifikatbasierte Authentifizierung für den Mandanten aktiviert ist, wird allen Benutzern im Mandanten die Option zum Anmelden mit einem Zertifikat angezeigt. Nur Benutzer, die für CBA aktiviert sind, können sich mithilfe des X.509-Zertifikats authentifizieren.

Hinweis

Der Netzwerkadministrator sollte neben dem Zugriff auf login.microsoftonline.com auch Zugriff auf den certauth-Endpunkt für die Cloudumgebung des Kunden gewähren. Deaktivieren Sie die TLS-Überprüfung für den certauth-Endpunkt, um sicherzustellen, dass die Clientzertifikatanforderung im Rahmen des TLS-Handshakes erfolgreich ist.

Schritt 3: Konfigurieren der Authentifizierungsbindungsrichtlinie

Die Authentifizierungsbindungsrichtlinie hilft dabei, die Stärke der Authentifizierung auf entweder einen einzelnen oder mehrere Faktoren festzulegen. Die Standardschutzebene für die Zertifikate im Mandanten ist Ein-Faktor-Authentifizierung.

Ein Authentifizierungsrichtlinienadministrator kann den Standardwert von einem einzelnen Faktor in mehrere Faktoren ändern und benutzerdefinierte Richtlinienregeln konfigurieren. Authentifizierungsbindungsregeln ordnen Zertifikatattribute, z. B. Aussteller oder Richtlinienobjekt-ID (Policy Object ID, OID), einem Wert zu und wählen die Standardschutzebene für diese Regel aus. Sie können mehrere Regeln erstellen.

Führen Sie die folgenden Schritte aus, um mandantenbezogene Standardeinstellungen im Microsoft Entra Admin Center zu ändern:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinien.

  3. Klicken Sie unter Verwalten auf Authentifizierungsmethoden>Zertifikatbasierte Authentifizierung.

    Screenshot: Authentifizierungsrichtlinie

  4. Wählen Sie Konfigurieren, um die Authentifizierungsbindung und die Benutzernamenbindung einzurichten.

  5. Das Schutzebenenattribut weist den Standardwert Einstufige Authentifizierung auf. Wählen Sie Multi-Faktor-Authentifizierung aus, um den Standardwert in MFA zu ändern.

    Hinweis

    Der Standardwert für die Schutzebene ist wirksam, wenn keine benutzerdefinierten Regeln hinzugefügt werden. Wenn benutzerdefinierte Regeln hinzugefügt werden, wird stattdessen die auf der Regelebene definierte Schutzebene berücksichtigt.

    Screenshot der Änderung der Standardrichtlinie in MFA

  6. Sie können auch benutzerdefinierte Authentifizierungsbindungsregeln einrichten, um die Schutzebene für Clientzertifikate zu bestimmen. Sie kann mithilfe der Felder „issuerSubject“ bzw. „policyOID“ im Zertifikat konfiguriert werden.

    Authentifizierungsbindungsregeln ordnen die Zertifikatattribute (Zertifikataussteller oder Richtlinien-OID) einem Wert zu und wählen die Standardschutzebene für diese Regel aus. Es können mehrere Regeln erstellt werden.

    Um benutzerdefinierte Regeln hinzuzufügen, wählen Sie Regel hinzufügen aus.

    Screenshot des Hinzufügens einer Regel

    Wählen Sie Zertifikataussteller, um eine Regel nach Zertifikataussteller zu erstellen.

    1. Wählen Sie im Listenfeld einen Zertifikatausstellerbezeichner aus.

    2. Wählen Sie mehrstufige Authentifizierung, Bindung mit niedriger Affinität aus, und klicken Sie dann auf Hinzufügen. Wenn Sie dazu aufgefordert werden, klicken Sie auf Ich bestätigen, um das Hinzufügen der Regel abzuschließen.

      Screenshot der Multi-Faktor-Authentifizierungsrichtlinie

    Wählen Sie Richtlinien-OID, um eine Regel nach Richtlinien-OID zu erstellen.

    1. Geben Sie einen Wert für Richtlinien-OID ein.

    2. Wählen Sie mehrstufige Authentifizierung, Bindung mit niedriger Affinität aus, und klicken Sie dann auf Hinzufügen. Wenn Sie dazu aufgefordert werden, klicken Sie auf Ich bestätigen, um das Hinzufügen der Regel abzuschließen.

      Screenshot der Zuordnung zu Richtlinien-OID

    So erstellen Sie eine Regel nach Aussteller und Richtlinien-OID:

    1. Wählen Sie den Zertifikataussteller und die Richtlinien-OID aus.

    2. Wählen Sie einen Aussteller aus, und geben Sie die Richtlinien-OID ein.

    3. Wählen Sie unter Authentifizierungsstärke die Option Ein-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung.

    4. Wählen Sie für die Affinitätsbindung Niedrig aus.

      Screenshot der Auswahl einer Bindung mit niedriger Affinität.

    5. Wählen Sie Hinzufügen aus.

      Screenshot zum Hinzufügen einer Bindung mit niedriger Affinität.

    6. Authentifizieren Sie sich mit einem Zertifikat mit der Richtlinie OID 3.4.5.6 und ausgestellt von CN=CBATestRootProd. Die Authentifizierung sollte übergeben und einen mehrstufigen Anspruch erhalten.

Wichtig

Es gibt ein bekanntes Problem, bei dem ein Microsoft Entra-Administrator für Mandantenauthentifizierungsrichtlinien eine CBA-Authentifizierungsrichtlinienregel mithilfe von Aussteller und Richtlinien-OID konfiguriert. Das Problem betrifft einige Geräteregistrierungsszenarien, einschließlich der folgenden:

  • Windows Hello For Business-Registrierung
  • FIDO2-Sicherheitsschlüsselregistrierung
  • Kennwortlose Windows-Anmeldung per Telefon

Die Geräteregistrierung bei Workplace Join, Microsoft Entra ID und hybriden Microsoft Entra-Gerätebeitrittsszenarien ist nicht betroffen. CBA-Authentifizierungsrichtlinienregeln, die entweder Aussteller ODER Richtlinien-OID verwenden, sind nicht betroffen. Zur Abschwächung sollten Administratoren Folgendes ausführen:

  • Bearbeiten Sie die zertifikatbasierten Authentifizierungsrichtlinienregeln, die sowohl Aussteller- als auch Richtlinien-OID-Optionen verwenden. Entfernen Sie entweder die Aussteller- oder Richtlinien-OID-Anforderung, und wählen Sie Speichern aus. -ODER-
  • Entfernen Sie die Authentifizierungsrichtlinienregel, die sowohl Aussteller als auch Richtlinien-OID verwendet. Erstellen Sie Regeln, die nur Aussteller oder Richtlinien-OID verwenden.

Wir arbeiten daran, das Problem zu beheben.

So erstellen Sie eine Regel nach Aussteller und Seriennummer:

  1. Fügen Sie eine Authentifizierungsbindungsrichtlinie hinzu. Die Richtlinie erfordert, dass jedes von CN=CBATestRootProd mit policyOID 1.2.3.4.6 ausgestellte Zertifikat nur eine Bindung mit hoher Affinität benötigt. Aussteller und Seriennummer werden verwendet.

    Screenshot des Zertifikatausstellers und der Seriennummer, die dem Microsoft Entra Admin Center hinzugefügt wurden.

  2. Wählen Sie das Zertifikatfeld aus. In diesem Beispiel wählen wir Aussteller und Seriennummer aus.

    Screenshot der Auswahl des Zertifikatausstellers und der Seriennummer.

  3. Das einzige unterstützte Benutzerattribut ist CertificateUserIds. Wählen Sie Hinzufügen aus.

    Screenshot des Hinzufügens des Zertifikatausstellers und der Seriennummer.

  4. Wählen Sie Speichern.

    Das Anmeldeprotokoll zeigt, welche Bindung für die Anmeldung verwendet wurde, und die Details aus dem Zertifikat.

    Screenshot des Anmeldeprotokolls.

  5. Klicken Sie auf OK, um eine benutzerdefinierte Regel zu speichern.

Wichtig

Geben Sie die PolicyOID mithilfe des Objektbezeichnerformats ein. Wenn die Zertifikatrichtlinie beispielsweise Alle Ausstellungsrichtlinien lautet, geben Sie die OID als 2.5.29.32.0 ein, wenn Sie die Regel hinzufügen. Die Zeichenfolge Alle Ausstellungsrichtlinien ist für den Regel-Editor ungültig und nicht wirksam.

Schritt 4: Konfigurieren der Bindungsrichtlinie für Benutzernamen

Die Bindungsrichtlinie für Benutzernamen hilft beim Überprüfen des Benutzerzertifikats. Standardmäßig wird der Prinzipalname im Zertifikat „UserPrincipalName“ im Benutzerobjekt zugeordnet, um Benutzer*innen zu bestimmen.

Ein Authentifizierungsrichtlinienadministrator kann die Standardeinstellung überschreiben und eine benutzerdefinierte Zuordnung erstellen. Informationen zum Konfigurieren der Benutzernamenbindung finden Sie unter Funktionsweise der Benutzernamenbindung.

Weitere Szenarien, die das Attribut „certificateUserIds“ verwenden, finden Sie unter Zertifikatbenutzer-IDs.

Wichtig

Wenn eine Benutzernamenbindungsrichtlinie synchronisierte Attribute verwendet, z. B. die Attribute „certificateUserIds“, „onPremisesUserPrincipalName“ und „userPrincipalName“ des Benutzerobjekts, beachten Sie, dass Konten mit Administratorrechten in Active Directory (z. B. Konten mit delegierten Rechten für Benutzerobjekte oder Administratorrechte auf dem Microsoft Entra Connect Server) Änderungen vornehmen können, die sich auf diese Attribute in Microsoft Entra ID auswirken.

  1. Erstellen Sie die Benutzernamenbindung, indem Sie eines der X.509-Zertifikatfelder auswählen, um eine Bindung mit einem der Benutzerattribute herzustellen. Die Reihenfolge der Benutzernamenbindung stellt die Prioritätsebene der Bindung dar. Die erste hat die höchste Priorität, und so weiter.

    Screenshot einer Bindungsrichtlinie für Benutzernamen

    Wenn das angegebene Feld für das X.509-Zertifikat im Zertifikat gefunden wird, aber Microsoft Entra ID kein Benutzerobjekt mit diesem Wert findet, tritt bei der Authentifizierung ein Fehler auf. Microsoft Entra ID versucht die nächste Bindung in der Liste.

  2. Klicken Sie zum Speichern der Änderungen auf Speichern.

Die endgültige Konfiguration sieht wie auf dieser Abbildung aus:

Screenshot der endgültigen Konfiguration

Schritt 5: Testen der Konfiguration

In diesem Abschnitt wird beschrieben, wie Sie Ihr Zertifikat und benutzerdefinierte Authentifizierungsbindungsregeln testen.

Testen Ihres Zertifikats

Als ersten Konfigurationstest sollten Sie versuchen, sich mit dem Browser auf Ihrem Gerät beim MyApps-Portal anzumelden.

  1. Geben Sie Ihren Benutzerprinzipalnamen (User Principal Name, UPN) ein.

    Screenshot des Benutzerprinzipalnamens

  2. Wählen Sie Weiter aus.

    Screenshot der Anmeldung mit Zertifikat

    Wenn Sie andere Authentifizierungsmethoden wie etwa die Anmeldung per Telefon oder FIDO2 aktiviert haben, wird Benutzern möglicherweise ein anderer Anmeldebildschirm angezeigt.

    Screenshot der alternativen Anmeldung

  3. Klicken Sie auf Mit Zertifikat anmelden.

  4. Wählen Sie auf der Benutzeroberfläche der Clientzertifikatauswahl das richtige Benutzerzertifikat aus, und wählen Sie OK.

    Screenshot der Benutzeroberfläche für die Zertifikatauswahl

  5. Benutzer*innen sollten beim MyApps-Portal angemeldet sein.

Wenn die Anmeldung erfolgreich ist, wissen Sie:

  • Das Benutzerzertifikat wird auf Ihrem Testgerät bereitgestellt.
  • Microsoft Entra ID ist ordnungsgemäß mit vertrauenswürdigen Zertifizierungsstellen konfiguriert.
  • Die Benutzernamenbindung ist ordnungsgemäß konfiguriert, und Benutzer*innen werden gefunden und authentifiziert.

Testen von benutzerdefinierten Authentifizierungsbindungsregeln

Sehen wir uns ein Szenario an, in dem wir eine starke Authentifizierung überprüfen. Wir erstellen zwei Authentifizierungsrichtlinienregeln, eine mithilfe des Ausstellers zur Erfüllung der einstufigen Authentifizierung und eine andere mithilfe der Richtlinien-OID, um die Multi-Faktor-Authentifizierung zu erfüllen.

  1. Erstellen Sie eine issuerSubject-Regel mit Schutzebene als einstufige Authentifizierung und einem Wert, der auf den Subject-Wert Ihrer Zertifizierungsstellen festgelegt ist. Beispiel:

    CN = WoodgroveCA

  2. Erstellen Sie eine policyOID-Regel mit der Multi-Faktor-Authentifizierung als Schutzebene und einem Wert, der auf eine der Richtlinien-OIDs in Ihrem Zertifikat festgelegt ist. Beispiel: 1.2.3.4.

    Screenshot der OID-Richtlinienregel

  3. Erstellen Sie eine Richtlinie für bedingten Zugriff, damit Benutzer*innen die Multi-Faktor-Authentifizierung anfordern können, indem Sie die Schritte unter Bedingter Zugriff: Anfordern der MFA für alle Benutzer ausführen.

  4. Navigieren Sie zum MyApps-Portal. Geben Sie Ihren UPN ein, und wählen Sie Weiter aus.

    Screenshot des Benutzerprinzipalnamens

  5. Klicken Sie auf Mit Zertifikat anmelden.

    Screenshot der Anmeldung mit Zertifikat

    Wenn Sie andere Authentifizierungsmethoden wie etwa die Anmeldung per Telefon oder Sicherheitsschlüssel aktiviert haben, wird Benutzern möglicherweise ein anderer Anmeldebildschirm angezeigt.

    Screenshot der alternativen Anmeldung

  6. Wählen Sie das Clientzertifikat aus, und wählen Sie Zertifikatinformationen aus.

    Screenshot der Clientauswahl

  7. Das Zertifikat wird angezeigt, und Sie können den Aussteller und OID-Werte der Richtlinie überprüfen. Screenshot des Zertifikatausstellers

  8. Um Richtlinien-OID-Werte anzuzeigen, wählen Sie Details aus.

    Screenshot der Authentifizierungsdetails

  9. Wählen Sie das Clientzertifikat aus, und wählen Sie OK.

  10. Der Richtlinien-OID im Zertifikat entspricht dem konfigurierten Wert 1.2.3.4 und erfüllt die Anforderungen der Multi-Faktor-Authentifizierung. Ebenso entspricht der Aussteller im Zertifikat dem konfigurierten Wert von CN=WoodgroveCA und erfüllt die Anforderungen der einstufigen Authentifizierung.

  11. Da die Richtlinien-OID-Regel Vorrang vor der Ausstellerregel hat, erfüllt das Zertifikat die Anforderungen der mehrstufigen Authentifizierung.

  12. Die Richtlinie für bedingten Zugriff für Benutzer*innen erfordert eine MFA, und das Zertifikat erfüllt die Anforderungen der Multi-Faktor-Authentifizierung, sodass Benutzer*innen sich bei der Anwendung anmelden werden.

Testen der Bindungsrichtlinie für Benutzernamen

Die Bindungsrichtlinie für Benutzernamen hilft beim Überprüfen des Benutzerzertifikats. Es gibt drei Bindungen, die für die Richtlinie für die Benutzernamenbindung unterstützt werden:

  • IssuerAndSerialNumber>CertificateUserIds
  • IssuerAndSubject>CertificateUserIds
  • Subject>CertificateUserIds

Standardmäßig wird von Microsoft Entra ID der Prinzipalname im Zertifikat UserPrincipalName im Benutzerobjekt zugeordnet, um Benutzer zu bestimmen. Ein Authentifizierungsrichtlinienadministrator kann die Standardeinstellung außer Kraft setzen und eine benutzerdefinierte Zuordnung erstellen, wie weiter oben erläutert.

Ein Authentifizierungsrichtlinienadministrator muss die neuen Bindungen aktivieren. Zur Vorbereitung muss sichergestellt werden, dass die richtigen Werte für die entsprechenden Benutzernamenbindungen im Attribut CertificateUserIds des Benutzerobjekts aktualisiert werden:

Wichtig

Das Format der Werte „Issuer“, „Subject“ und „SerialNumber“ sollte in umgekehrter Reihenfolge des Formats im Zertifikat vorliegen. Fügen Sie keine Leerzeichen in Issuer oder Subject hinzu.

Manuelle Zuordnung von Ausstellern und Seriennummern

Hier ist ein Beispiel für die manuelle Zuordnung von Ausstellern und Seriennummern. Der hinzuzufügende Ausstellerwert lautet:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Screenshot des Werts des Zertifikatausstellers.

Um den richtigen Wert für die Seriennummer abzurufen, führen Sie den folgenden Befehl aus, und speichern Sie den in CertificateUserIds angezeigten Wert. Die Befehlssyntax ist wie folgt:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Zum Beispiel:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Hier ist ein Beispiel für den Befehl „certutil“:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Der SerialNumber-Wert, der in CertificateUserId hinzugefügt werden soll, lautet:

b24134139f069b49997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Manuelle Zuordnung von Issuer und Subject

Hier ist ein Beispiel für die manuelle Zuordnung von Issuer und Subject. Der Issuer-Wert lautet:

Screenshot des Werts des Zertifikatausstellers bei Verwendung mit mehreren Bindungen.

Der Subject-Wert lautet:

Screenshot des Werts des Antragstellers.

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Manuelle Subject-Zuordnung

Hier ist ein Beispiel für die manuelle Zuordnung von Subject. Der Subject-Wert lautet:

Screenshot eines anderen Antragstellerwerts.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testen der Affinitätsbindung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinien.

  3. Klicken Sie unter Verwalten auf Authentifizierungsmethoden>Zertifikatbasierte Authentifizierung.

  4. Wählen Sie Konfigurierenaus.

  5. Legen Sie die erforderliche Affinitätsbindung auf Mandantenebene fest.

    Wichtig

    Achten Sie bei der mandantenweiten Affinitätseinstellung darauf. Sie können den gesamten Mandanten sperren, wenn Sie die erforderliche Affinitätsbindung für den Mandanten ändern und keine richtigen Werte im Benutzerobjekt haben. Wenn Sie eine benutzerdefinierte Regel erstellen, die für alle Benutzer gilt und eine Bindung mit hoher Affinität erfordert, können Benutzer im Mandanten gesperrt werden.

    Screenshot des Festlegens der erforderlichen Affinitätsbindung.

  6. Wählen Sie zum Testen Erforderliche Affinitätsbindung mit Niedrig aus.

  7. Fügen Sie eine hohe Affinitätsbindung wie SKI hinzu. Wählen Sie Regel hinzufügen unter Benutzernamenbindung aus.

  8. Wählen Sie SKI und dann Hinzufügen aus.

    Screenshot des Hinzufügens einer Affinitätsbindung.

    Wenn sie fertig sind, sieht die Regel wie in diesem Screenshot aus:

    Screenshot einer abgeschlossenen Affinitätsbindung.

  9. Aktualisieren Sie alle Benutzerobjekte mit dem Attribut CertificateUserIds, um den korrekten SKI-Wert aus dem Benutzerzertifikat zu erhalten. Weitere Informationen finden Sie unter Unterstützte Muster für CertificateUserIDs.

  10. Erstellen Sie eine benutzerdefinierte Regel für die Authentifizierungsbindung.

  11. Wählen Sie Hinzufügen aus.

    Screenshot einer benutzerdefinierten Authentifizierungsbindung.

    Wenn sie fertig sind, sieht die Regel wie in diesem Screenshot aus:

    Screenshot einer benutzerdefinierten Regel.

  12. Aktualisieren Sie die CertificateUserIds des Benutzers mit dem richtigen SKI-Wert aus dem Zertifikat mit der Richtlinie OID 9.8.7.5.

  13. Testen Sie mit einem Zertifikat mit der Richtlinie OID 9.8.7.5, und der Benutzer sollte mit der SKI-Bindung authentifiziert werden und MFA nur mit dem Zertifikat erhalten.

Aktivieren von CBA mithilfe der Microsoft Graph-API

Führen Sie die folgenden Schritte aus, um die zertifikatbasierte Authentifizierung zu aktivieren und Benutzernamenbindungen mithilfe der Graph-API zu konfigurieren.

  1. Navigieren Sie zu Microsoft Graph-Tester.

  2. Wählen Sie Sign into Graph Explorer (Bei Graph-Tester anmelden), und melden Sie sich bei Ihrem Mandanten an.

  3. Führen Sie die Schritte aus, um der delegierten Berechtigung Policy.ReadWrite.AuthenticationMethod zuzustimmen.

  4. GET-Befehl für alle Authentifizierungsmethoden:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. GET-Befehl für die Konfiguration der x509-Authentifizierungsmethode:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Standardmäßig ist die x509-Authentifizierungsmethode deaktiviert. Damit sich Benutzer*innen mit einem Zertifikat anmelden können, müssen Sie die Authentifizierungsmethode aktivieren und die Bindungsrichtlinien für die Authentifizierung und den Benutzernamen über einen Aktualisierungsvorgang konfigurieren. Führen Sie zum Aktualisieren der Richtlinie eine PATCH-Anforderung aus.

    Anforderungstext:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Sie erhalten einen 204 No content-Antwortcode. Führen Sie die GET-Anforderung erneut aus, um sicherzustellen, dass die Richtlinien ordnungsgemäß aktualisiert werden.

  8. Testen Sie die Konfiguration, indem Sie sich mit einem Zertifikat anmelden, das die Richtlinie erfüllt.

Aktivieren von CBA mit Microsoft PowerShell

  1. Öffnen Sie PowerShell.
  2. Stellen Sie eine Verbindung mit Microsoft Graph her: 
    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
  3. Erstellen einer Variablen zum Definieren einer Gruppe für CBA-Benutzer: 
    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
  4. Definieren des Anforderungstexts: 
    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5
  5. Ausführen der PATCH-Anforderung: 
    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Nächste Schritte