Udostępnij za pośrednictwem

Jak skonfigurować uwierzytelnianie oparte na certyfikatach firmy Microsoft

  • Artykuł

Uwierzytelnianie oparte na certyfikatach firmy Microsoft (CBA) umożliwia organizacjom konfigurowanie dzierżaw firmy Microsoft w celu zezwolenia lub wymagania od użytkowników uwierzytelniania za pomocą certyfikatów X.509 utworzonych przez infrastrukturę kluczy publicznych przedsiębiorstwa na potrzeby logowania aplikacji i przeglądarki. Ta funkcja umożliwia organizacjom wdrażanie nowoczesnego uwierzytelniania bez hasła odpornego na wyłudzanie informacji przy użyciu certyfikatu x.509.

Podczas logowania użytkownicy widzą również opcję uwierzytelniania przy użyciu certyfikatu zamiast wprowadzania hasła. Jeśli na urządzeniu znajduje się wiele pasujących certyfikatów, użytkownik może wybrać, którego certyfikatu użyć. Certyfikat jest weryfikowany na koncie użytkownika i jeśli się powiedzie, zaloguje się.

Postępuj zgodnie z tymi instrukcjami, aby skonfigurować i używać usługi Microsoft Entra CBA dla dzierżaw w planach office 365 Enterprise i US Government. Skonfigurowano już infrastrukturę kluczy publicznych (PKI).

Wymagania wstępne

Upewnij się, że są spełnione następujące wymagania wstępne:

  • Skonfiguruj co najmniej jeden urząd certyfikacji (CA) i wszystkie pośrednie urzędy certyfikacji w identyfikatorze Entra firmy Microsoft.
  • Użytkownik musi mieć dostęp do certyfikatu użytkownika (wystawionego z zaufanej infrastruktury kluczy publicznych skonfigurowanych w dzierżawie) przeznaczonego do uwierzytelniania klienta względem identyfikatora Entra firmy Microsoft.
  • Każdy urząd certyfikacji powinien mieć listę odwołania certyfikatów (CRL), do których można odwoływać się z internetowych adresów URL. Jeśli zaufany urząd certyfikacji nie ma skonfigurowanej listy CRL, identyfikator Entra firmy Microsoft nie wykonuje sprawdzania listy CRL, odwołanie certyfikatów użytkownika nie działa, a uwierzytelnianie nie jest blokowane.

Ważne

Upewnij się, że infrastruktura kluczy publicznych jest bezpieczna i nie można jej łatwo złamać. W przypadku naruszenia zabezpieczeń osoba atakująca może utworzyć i podpisać certyfikaty klienta oraz naruszyć bezpieczeństwo dowolnego użytkownika w dzierżawie, zarówno użytkowników, którzy są synchronizowani z użytkowników lokalnych, jak i tylko w chmurze. Jednak silna strategia ochrony klucza, wraz z innymi mechanizmami kontroli fizycznej i logicznej, takimi jak karty aktywacji modułu HSM lub tokeny do bezpiecznego przechowywania artefaktów, może zapewnić szczegółową ochronę, aby zapobiec atakom zewnętrznym lub zagrożeniom poufnym przed naruszeniem integralności infrastruktury kluczy publicznych. Aby uzyskać więcej informacji, zobacz Zabezpieczanie infrastruktury kluczy publicznych.

Ważne

Zapoznaj się z zaleceniami firmy Microsoft dotyczącymi najlepszych rozwiązań dotyczących kryptografii firmy Microsoft dotyczących wyboru algorytmu, długości klucza i ochrony danych. Upewnij się, że używasz jednego z zalecanych algorytmów, długości klucza i zatwierdzonych krzywych NIST.

Ważne

W ramach bieżących ulepszeń zabezpieczeń punkty końcowe platformy Azure/M365 dodają obsługę protokołu TLS1.3, a ten proces powinien potrwać kilka miesięcy, aby pokryć tysiące punktów końcowych usługi na platformie Azure/M365. Obejmuje to punkt końcowy firmy Microsoft Entra używany przez uwierzytelnianie oparte na certyfikatach firmy Microsoft (CBA) *.certauth.login.microsoftonline.com i *.certauth.login.microsoftonline.us. Protokół TLS 1.3 to najnowsza wersja najbardziej wdrożonego protokołu zabezpieczeń Internetu, który szyfruje dane w celu zapewnienia bezpiecznego kanału komunikacyjnego między dwoma punktami końcowymi. Protokół TLS 1.3 eliminuje przestarzałe algorytmy kryptograficzne, zwiększa bezpieczeństwo starszych wersji i ma na celu szyfrowanie możliwie największej ilości uzgadniania. Zdecydowanie zalecamy deweloperom rozpoczęcie testowania protokołu TLS 1.3 w aplikacjach i usługach.

Uwaga

Podczas oceniania infrastruktury kluczy publicznych ważne jest przejrzenie zasad wystawiania certyfikatów i wymuszanie. Jak wspomniano, dodanie urzędów certyfikacji (CA) do konfiguracji firmy Microsoft Entra umożliwia certyfikaty wystawione przez te urzędy certyfikacji w celu uwierzytelnienia dowolnego użytkownika w usłudze Microsoft Entra ID. Z tego powodu ważne jest, aby wziąć pod uwagę, jak i kiedy urzędy certyfikacji mogą wystawiać certyfikaty oraz jak implementują identyfikatory wielokrotnego użytku. Jeśli administratorzy muszą zapewnić, że tylko określony certyfikat może być używany do uwierzytelniania użytkownika, administratorzy powinni używać wyłącznie powiązań o wysokiej koligacji, aby zapewnić wyższy poziom pewności, że tylko określony certyfikat jest w stanie uwierzytelnić użytkownika. Aby uzyskać więcej informacji, zobacz powiązania o wysokiej koligacji.

Kroki konfigurowania i testowania usługi Microsoft Entra CBA

Przed włączeniem programu Microsoft Entra CBA należy wykonać pewne czynności konfiguracyjne. Najpierw administrator musi skonfigurować zaufane urzędy certyfikacji wystawiające certyfikaty użytkowników. Jak pokazano na poniższym diagramie, używamy kontroli dostępu opartej na rolach, aby upewnić się, że do wprowadzania zmian są potrzebne tylko najmniej uprzywilejowani administratorzy.

Do zarządzania tą funkcją jest wymagany administrator globalny.

Opcjonalnie można również skonfigurować powiązania uwierzytelniania w celu mapowania certyfikatów na uwierzytelnianie jednoskładnikowe lub wieloskładnikowe oraz skonfigurować powiązania nazw użytkowników, aby zamapować pole certyfikatu na atrybut obiektu użytkownika. Administratorzy zasad uwierzytelniania mogą konfigurować ustawienia związane z użytkownikiem. Po zakończeniu wszystkich konfiguracji włącz usługę Microsoft Entra CBA w dzierżawie.

Diagram kroków wymaganych do włączenia uwierzytelniania opartego na certyfikatach firmy Microsoft.

Krok 1. Konfigurowanie urzędów certyfikacji przy użyciu magazynu zaufania opartego na infrastrukturze kluczy publicznych (wersja zapoznawcza)

Firma Entra ma nowy magazyn zaufania oparty na infrastrukturze kluczy publicznych (PKI). Magazyn zaufania urzędu certyfikacji opartego na infrastrukturze kluczy publicznych przechowuje urzędy certyfikacji w obiekcie kontenera dla każdej innej infrastruktury kluczy publicznych. Administratorzy mogą zarządzać urzędami certyfikacji w kontenerze na podstawie infrastruktury kluczy publicznych łatwiejszej niż jedna płaska lista urzędów certyfikacji.

Magazyn zaufania oparty na infrastrukturze kluczy publicznych ma wyższe limity liczby urzędów certyfikacji i rozmiar każdego pliku urzędu certyfikacji. Magazyn zaufania oparty na infrastrukturze PKI obsługuje maksymalnie 250 urzędów certyfikacji i rozmiar 8 KB dla każdego obiektu urzędu certyfikacji. Zdecydowanie zalecamy użycie nowego magazynu zaufania opartego na infrastrukturze kluczy publicznych do przechowywania urzędów certyfikacji, który jest skalowalny i obsługuje nowe funkcje, takie jak wskazówki dotyczące wystawców.

Uwaga

Jeśli używasz starego magazynu zaufania do konfigurowania urzędów certyfikacji, zalecamy skonfigurowanie magazynu zaufania opartego na infrastrukturze kluczy publicznych.

Administrator musi skonfigurować zaufane urzędy certyfikacji wystawiające certyfikaty użytkowników. Do wprowadzania zmian potrzebne są tylko administratorzy z najniższymi uprawnieniami. Magazyn zaufania oparty na infrastrukturze kluczy publicznych ma role RBAC Administrator uwierzytelniania uprzywilejowanego i Administrator uwierzytelniania.

Funkcja przekazywania infrastruktury kluczy publicznych magazynu zaufania opartego na infrastrukturze kluczy publicznych jest dostępna tylko w przypadku licencji Microsoft Entra ID P1 lub P2. Jednak z bezpłatną licencją administratorzy mogą przekazywać wszystkie urzędy certyfikacji indywidualnie zamiast pliku PKI i konfigurować magazyn zaufania oparty na infrastrukturze kluczy publicznych.

Ważne

Ze względu na znany problem z nowym sklepem zaleca się, aby nie usuwać wszystkich urzędów certyfikacji w starym sklepie i zachować co najmniej jeden urząd certyfikacji w starym sklepie. Pracujemy nad rozwiązaniem problemu w celu usunięcia ograniczenia.

Konfigurowanie urzędów certyfikacji przy użyciu centrum administracyjnego firmy Microsoft Entra

Tworzenie obiektu kontenera PKI

  1. Utwórz obiekt kontenera PKI.

  2. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator zasad uwierzytelniania.

  3. Przejdź do sekcji Ochrona>Pokaż więcej>infrastruktury kluczy publicznych (wersja zapoznawcza) usługi Security Center (lub > bezpieczeństwa tożsamości).

  4. Kliknij pozycję + Utwórz infrastrukturę kluczy publicznych.

  5. W polu Nazwa wyświetlana wprowadź nazwę wyświetlaną.

  6. Kliknij pozycję Utwórz.

    Diagram kroków wymaganych do utworzenia infrastruktury kluczy publicznych.

  7. Wybierz pozycję Kolumny , aby dodać lub usunąć kolumny.

  8. Wybierz pozycję Odśwież , aby odświeżyć listę kluczy publicznych.

Usuwanie obiektu kontenera PKI

  1. Aby usunąć infrastrukturę kluczy publicznych, wybierz infrastrukturę kluczy publicznych i wybierz pozycję Usuń. Jeśli infrastruktura kluczy publicznych ma w nim urzędy certyfikacji, wprowadź nazwę infrastruktury kluczy publicznych, aby potwierdzić usunięcie wszystkich urzędów certyfikacji w nim, a następnie wybierz pozycję Usuń.

    Diagram kroków wymaganych do usunięcia infrastruktury kluczy publicznych.

Przekazywanie poszczególnych urzędów certyfikacji do obiektu kontenera PKI

  1. Aby przekazać urząd certyfikacji do kontenera PKI:

    1. Kliknij pozycję + Dodaj urząd certyfikacji.

    2. Wybierz plik urzędu certyfikacji.

    3. Wybierz pozycję Tak , jeśli urząd certyfikacji jest certyfikatem głównym, w przeciwnym razie wybierz pozycję Nie.

    4. W polu Adres URL listy odwołania certyfikatów ustaw internetowy adres URL podstawowego listy CRL urzędu certyfikacji, który zawiera wszystkie odwołane certyfikaty. Jeśli adres URL nie jest ustawiony, uwierzytelnianie przy użyciu odwołanych certyfikatów nie powiedzie się.

    5. W polu Adres URL listy odwołania certyfikatów różnicowych ustaw adres URL listy CRL dostępny z Internetu zawierający wszystkie odwołane certyfikaty od czasu opublikowania ostatniej podstawowej listy CRL.

    6. Flaga Wskazówek wystawcy jest domyślnie włączona. Wyłącz wskazówki dotyczące wystawcy , jeśli urząd certyfikacji nie powinien być uwzględniony w wskazówkach wystawcy.

    7. Wybierz pozycję Zapisz.

    8. Aby usunąć certyfikat urzędu certyfikacji, wybierz certyfikat i wybierz pozycję Usuń.

      Diagram przedstawiający sposób usuwania certyfikatu urzędu certyfikacji.

    9. Wybierz pozycję Kolumny , aby dodać lub usunąć kolumny.

    10. Wybierz pozycję Odśwież , aby odświeżyć listę urzędów certyfikacji.

Przekazywanie wszystkich urzędów certyfikacji za pomocą przekazywania infrastruktury kluczy publicznych do obiektu kontenera PKI

  1. Aby przekazać wszystkie urzędy certyfikacji jednocześnie do kontenera PKI:

    1. Utwórz obiekt kontenera PKI lub otwórz go.
    2. Wybierz pozycję Przekaż infrastrukturę kluczy publicznych.
    3. Wprowadź adres URL dostępny z Internetu http, w którym jest dostępny plik p7b.
    4. Wprowadź sumę kontrolną SHA256 pliku.
    5. Wybierz przekazywanie.
    6. Przekazywanie infrastruktury kluczy publicznych jest procesem asynchronicznym. Po przekazaniu każdego urzędu certyfikacji jest on dostępny w infrastrukturze kluczy publicznych. Ukończenie przekazywania infrastruktury kluczy publicznych może potrwać do 30 minut.
    7. Wybierz pozycję Odśwież , aby odświeżyć urzędy certyfikacji.

    Aby wygenerować sumę kontrolną SHA256 pliku PKI p7b, uruchom następujące polecenie:

    Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Edytowanie infrastruktury kluczy publicznych

  1. Aby edytować infrastrukturę kluczy publicznych, wybierz pozycję ... w wierszu infrastruktury kluczy publicznych i wybierz pozycję Edytuj.
  2. Wprowadź nową nazwę infrastruktury kluczy publicznych i wybierz pozycję Zapisz.

Edytowanie urzędu certyfikacji

  1. Aby edytować urząd certyfikacji, wybierz pozycję ... w wierszu urzędu certyfikacji i wybierz pozycję Edytuj.
  2. Wprowadź nowe wartości dla typu urzędu certyfikacji (root/intermediate), adres URL listy CRL, adres URL listy CRL delty, flaga włączona wskazówek wystawcy zgodnie z potrzebami i wybierz pozycję Zapisz.

Przywracanie infrastruktury kluczy publicznych

  1. Wybierz kartę Usunięte infrastruktury kluczy publicznych.
  2. Wybierz infrastrukturę kluczy publicznych i wybierz pozycję Przywróć infrastrukturę kluczy publicznych.

Przywracanie urzędu certyfikacji

  1. Wybierz kartę Usunięte urzędy certyfikacji .
  2. Wybierz plik urzędu certyfikacji i wybierz pozycję Przywróć urząd certyfikacji.

Opis atrybutu isIssuerHintEnabled w urzędach certyfikacji

Wskazówki wystawcy wysyłają z powrotem zaufane wskazanie urzędu certyfikacji w ramach uzgadniania protokołu Transport Layer Security (TLS). Lista zaufanych urzędów certyfikacji jest ustawiona na temat urzędów certyfikacji przekazanych przez dzierżawę w magazynie zaufania Entra. Aby uzyskać więcej informacji na temat wskazówek dotyczących wystawców, zobacz Opis wskazówek wystawcy.

Domyślnie nazwy podmiotów wszystkich urzędów certyfikacji w magazynie zaufania Firmy Microsoft Entra są wysyłane jako wskazówki. Jeśli chcesz wysłać wskazówkę tylko z określonymi urzędami certyfikacji, ustaw atrybut wskazówki wystawcy isIssuerHintEnabled na truewartość .

Istnieje limit znaków 16 KB dla wskazówek wystawcy (nazwa podmiotu urzędu certyfikacji), które serwer może wysłać z powrotem do klienta TLS. Dobrym rozwiązaniem jest ustawienie atrybutu isIssuerHintEnabled na wartość true tylko dla urzędów certyfikacji wystawiających certyfikaty użytkowników.

Jeśli wiele pośrednich urzędów certyfikacji z tego samego certyfikatu głównego wystawia certyfikaty użytkownika końcowego, domyślnie wszystkie certyfikaty są wyświetlane w selektorze certyfikatów. Jeśli jednak ustawisz wartość dla określonych urzędów certyfikacji, w selektorze certyfikatów są wyświetlane tylko odpowiednie certyfikaty użytkownika. Aby włączyć parametr isIssuerHintEnabled, edytuj urząd certyfikacji i zaktualizuj wartość na true.

Konfigurowanie urzędów certyfikacji przy użyciu interfejsów API programu Microsoft Graph

Interfejsy API programu Microsoft Graph mogą służyć do konfigurowania urzędów certyfikacji. W poniższych przykładach pokazano, jak używać programu Microsoft Graph do uruchamiania operacji Tworzenia, odczytu, aktualizacji lub usuwania (CRUD) dla infrastruktury kluczy publicznych lub urzędu certyfikacji.

Tworzenie obiektu kontenera PKI

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Pobieranie wszystkich obiektów infrastruktury kluczy publicznych

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Pobieranie obiektu PKI według identyfikatora infrastruktury kluczy publicznych

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/
ConsistencyLevel: eventual

Przekazywanie urzędów certyfikacji za pomocą pliku p7b

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
    	"uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
    	"sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Pobieranie wszystkich urzędów certyfikacji w infrastrukturze kluczy publicznych

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities
ConsistencyLevel: eventual

Pobieranie określonego urzędu certyfikacji w ramach infrastruktury kluczy publicznych według identyfikatora urzędu certyfikacji

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
ConsistencyLevel: eventual

Aktualizowanie flagi wskazówek wystawcy określonego urzędu certyfikacji

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Skonfiguruj urzędy certyfikacji (CA) przy użyciu programu PowerShell Dla tej konfiguracji możesz użyć programu [Microsoft Graph PowerShell] (/powershell/microsoftgraph/installation).

  1. Uruchom program PowerShell z uprawnieniami administratora.

  2. Zainstaluj i zaimportuj zestaw MICROSOFT Graph PowerShell SDK.

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Połącz się z dzierżawą i zaakceptuj wszystko.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Dziennik inspekcji

Wszystkie operacje CRUD na infrastrukturze PKI lub urzędzie certyfikacji w magazynie zaufania są rejestrowane w dziennikach inspekcji firmy Microsoft Entra.

Diagram dzienników inspekcji.

Często zadawane pytania

Pytanie: Dlaczego przekazywanie infrastruktury kluczy publicznych kończy się niepowodzeniem?

Odpowiedź: Sprawdź, czy plik PKI jest prawidłowy i czy można uzyskać do tego dostęp bez żadnych problemów. Maksymalny rozmiar pliku PKI powinien być

Pytanie: Jaka jest umowa dotycząca poziomu usług (SLA) dotycząca przekazywania infrastruktury kluczy publicznych?

Odpowiedź: Przekazywanie infrastruktury PKI jest operacją asynchroniczną i ukończenie może potrwać do 30 minut.

Pytanie: Jak wygenerować sumę kontrolną SHA256 dla pliku PKI?

Odpowiedź: Aby wygenerować sumę kontrolną SHA256 pliku PKI.p7b, uruchom następujące polecenie:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Krok 2. Włączanie usługi CBA w dzierżawie

Ważne

Użytkownik jest uważany za zdolny do uwierzytelniania wieloskładnikowego , gdy użytkownik znajduje się w zakresie uwierzytelniania opartego na certyfikatach w zasadach Metod uwierzytelniania . To wymaganie zasad oznacza, że użytkownik nie może użyć weryfikacji w ramach uwierzytelniania w celu zarejestrowania innych dostępnych metod. Jeśli użytkownicy nie mają dostępu do certyfikatów, zostaną zablokowani i nie będą mogli zarejestrować innych metod uwierzytelniania wieloskładnikowego. Administratorzy zasad uwierzytelniania muszą włączyć usługę CBA tylko dla użytkowników, którzy mają ważne certyfikaty. Nie dołączaj wszystkich użytkowników do cba. Używaj tylko grup użytkowników z dostępnymi prawidłowymi certyfikatami. Aby uzyskać więcej informacji, zobacz Microsoft Entra multifactor authentication (Uwierzytelnianie wieloskładnikowe firmy Microsoft).

Aby włączyć cba w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do pozycji Grupy> wybierz pozycję > i utwórz grupę dla użytkowników cba.

  3. Przejdź do strony Metody>uwierzytelniania ochrony Uwierzytelnianie> oparte na certyfikatach.

  4. W obszarze Włącz i cel wybierz pozycję Włącz.

  5. Wybierz pozycję Dodaj grupy , aby wybrać określone grupy, takie jak utworzone przez Ciebie. Użyj określonych grup, a nie wszystkich użytkowników.

    Zrzut ekranu przedstawiający sposób włączania cba.

Po włączeniu uwierzytelniania opartego na certyfikatach w dzierżawie wszyscy użytkownicy w dzierżawie zobaczą opcję logowania się przy użyciu certyfikatu. Tylko użytkownicy, którzy są włączeni dla cba, mogą uwierzytelniać się przy użyciu certyfikatu X.509.

Uwaga

Administrator sieci powinien zezwolić na dostęp do punktu końcowego uwierzytelniania certyfikatów dla środowiska chmury klienta oprócz login.microsoftonline.comprogramu . Wyłącz inspekcję protokołu TLS w punkcie końcowym uwierzytelniania certyfikatu, aby upewnić się, że żądanie certyfikatu klienta zakończy się powodzeniem w ramach uzgadniania protokołu TLS.

Krok 3. Konfigurowanie zasad powiązania uwierzytelniania

Zasady powiązania uwierzytelniania pomagają określić siłę uwierzytelniania na jeden czynnik lub wieloskładnik. Domyślny poziom ochrony certyfikatów w dzierżawie to uwierzytelnianie jednoskładnikowe.

Administrator zasad uwierzytelniania może zmienić wartość domyślną z pojedynczego składnika na wieloskładnikową i skonfigurować niestandardowe reguły zasad. Reguły powiązań uwierzytelniania mapować atrybuty certyfikatu, takie jak Wystawca lub Identyfikator obiektu zasad (OID) lub Wystawca i Identyfikator OID zasad, na wartość i wybierz domyślny poziom ochrony dla tej reguły. Można utworzyć wiele reguł.

Aby zmodyfikować ustawienia domyślne dzierżawy w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do strony Zasady metod> uwierzytelniania ochrony.>

  3. W obszarze Zarządzanie wybierz pozycję Metody>uwierzytelniania oparte na certyfikatach.

    Zrzut ekranu przedstawiający zasady uwierzytelniania.

  4. Wybierz pozycję Konfiguruj , aby skonfigurować powiązanie uwierzytelniania i powiązanie nazwy użytkownika.

  5. Atrybut poziomu ochrony ma wartość domyślną uwierzytelniania jednoskładnikowego. Wybierz pozycję Uwierzytelnianie wieloskładnikowe , aby zmienić wartość domyślną na MFA.

    Uwaga

    Domyślna wartość poziomu ochrony jest w mocy, jeśli nie zostaną dodane żadne reguły niestandardowe. W przypadku dodawania reguł niestandardowych poziom ochrony zdefiniowany na poziomie reguły jest zamiast tego honorowany.

    Zrzut ekranu przedstawiający sposób zmiany domyślnych zasad na uwierzytelnianie wieloskładnikowe.

  6. Można również skonfigurować niestandardowe reguły powiązań uwierzytelniania, aby ułatwić określenie poziomu ochrony certyfikatów klienta. Można go skonfigurować przy użyciu pól Podmiot wystawcy lub Identyfikator OID zasad w certyfikacie.

    Reguły powiązań uwierzytelniania mapuje atrybuty certyfikatu (wystawca lub identyfikator OID zasad) na wartość i wybierz domyślny poziom ochrony dla tej reguły. Można utworzyć wiele reguł.

    Aby dodać reguły niestandardowe, wybierz pozycję Dodaj regułę.

    Zrzut ekranu przedstawiający sposób dodawania reguły.

    Aby utworzyć regułę według wystawcy certyfikatów, wybierz pozycję Wystawca certyfikatu.

    1. Wybierz identyfikator wystawcy certyfikatu z pola listy.

    2. Wybierz pozycję Uwierzytelnianie wieloskładnikowe, Powiązanie niskiej koligacji, a następnie kliknij przycisk Dodaj. Po wyświetleniu monitu kliknij pozycję Potwierdzam , aby zakończyć dodawanie reguły.

      Zrzut ekranu przedstawiający zasady uwierzytelniania wieloskładnikowego.

    Aby utworzyć regułę według OID zasad, wybierz pozycję OID zasad.

    1. Wprowadź wartość identyfikatora OID zasad.

    2. Wybierz pozycję Uwierzytelnianie wieloskładnikowe, Powiązanie niskiej koligacji, a następnie kliknij przycisk Dodaj. Po wyświetleniu monitu kliknij pozycję Potwierdzam , aby zakończyć dodawanie reguły.

      Zrzut ekranu przedstawiający mapowanie na OID zasad.

    Aby utworzyć regułę według identyfikatora OID wystawcy i zasad:

    1. Wybierz pozycję Wystawca certyfikatu i identyfikator OID zasad.

    2. Wybierz wystawcę i wprowadź identyfikator OID zasad.

    3. W obszarze Siła uwierzytelniania wybierz pozycję Uwierzytelnianie jednoskładnikowe lub uwierzytelnianie wieloskładnikowe.

    4. W obszarze Powiązanie koligacji wybierz pozycję Niski.

      Zrzut ekranu przedstawiający sposób wybierania powiązania o niskiej koligacji.

    5. Wybierz Dodaj.

      Zrzut ekranu przedstawiający sposób dodawania powiązania o niskiej koligacji.

    6. Uwierzytelnij się przy użyciu certyfikatu z identyfikatorem OID zasad 3.4.5.6 i wystawionym przez CN=CBATestRootProd. Uwierzytelnianie powinno zostać przekazane i uzyskać oświadczenie wieloskładnikowe.

Ważne

Istnieje znany problem polegający na tym, że administrator zasad uwierzytelniania dzierżawy firmy Microsoft konfiguruje regułę zasad uwierzytelniania CBA przy użyciu identyfikatora OID wystawcy i zasad. Problem ma wpływ na niektóre scenariusze rejestracji urządzeń, w tym:

  • Rejestracja w usłudze Windows Hello dla firm
  • Rejestracja klucza zabezpieczeń FIDO2
  • Logowanie za pomocą telefonu bez hasła systemu Windows

Nie ma to wpływu na rejestrację urządzeń przy użyciu dołączania urządzenia w miejscu pracy, identyfikatora Firmy Microsoft i hybrydowego dołączania urządzeń firmy Microsoft Entra. Reguły zasad uwierzytelniania CBA przy użyciu identyfikatora OID wystawcy LUB zasad nie mają wpływu. Aby rozwiązać ten problem, administratorzy powinni:

  • Edytuj reguły zasad uwierzytelniania oparte na certyfikatach, które korzystają zarówno z opcji wystawcy, jak i identyfikatora OID zasad. Usuń wymaganie identyfikatora OID wystawcy lub zasad i zapisz. -Lub-
  • Usuń regułę zasad uwierzytelniania, która używa identyfikatora OID wystawcy i zasad. Utwórz reguły, które używają tylko identyfikatora OID wystawcy lub zasad.

Pracujemy nad rozwiązaniem problemu.

Aby utworzyć regułę według wystawcy i numeru seryjnego:

  1. Dodaj zasady powiązania uwierzytelniania. Zasady wymagają, aby każdy certyfikat wystawiony przez CN=CBATestRootProd z identyfikatorem policyOID 1.2.3.4.6 wymaga tylko powiązania wysokiej koligacji. Są używane wystawcy i numer seryjny.

    Zrzut ekranu przedstawiający wystawcę i numer seryjny dodany do centrum administracyjnego firmy Microsoft Entra.

  2. Wybierz pole certyfikatu. W tym przykładzie wybierzmy pozycję Wystawca i Numer seryjny.

    Zrzut ekranu przedstawiający sposób wybierania wystawcy i numeru seryjnego.

  3. Jedynym obsługiwanym atrybutem użytkownika jest CertificateUserIds. Wybierz Dodaj.

    Zrzut ekranu przedstawiający sposób dodawania wystawcy i numeru seryjnego.

  4. Wybierz pozycję Zapisz.

    Dziennik logowania pokazuje, które powiązanie zostało użyte do logowania, oraz szczegóły certyfikatu.

    Zrzut ekranu przedstawiający dziennik logowania.

  5. Wybierz przycisk OK , aby zapisać dowolną regułę niestandardową.

Ważne

Wprowadź identyfikator PolicyOID przy użyciu formatu identyfikatora obiektu. Jeśli na przykład zasady certyfikatu mają wartość Wszystkie zasady wystawiania, wprowadź identyfikator OID jako 2.5.29.32.0 podczas dodawania reguły. Ciąg Wszystkie zasady wystawiania jest nieprawidłowy dla edytora reguł i nie zostanie zastosowany.

Krok 4. Konfigurowanie zasad powiązania nazwy użytkownika

Zasady powiązania nazwy użytkownika pomagają zweryfikować certyfikat użytkownika. Domyślnie mapujemy główną nazwę w certyfikacie na UserPrincipalName w obiekcie użytkownika, aby określić użytkownika.

Administrator zasad uwierzytelniania może zastąpić ustawienie domyślne i utworzyć mapowanie niestandardowe. Aby określić sposób konfigurowania powiązania nazwy użytkownika, zobacz Jak działa powiązanie nazwy użytkownika.

Aby zapoznać się z innymi scenariuszami korzystającymi z atrybutu certificateUserIds, zobacz Identyfikatory użytkowników certyfikatów.

Ważne

Jeśli zasady powiązania nazwy użytkownika używają zsynchronizowanych atrybutów, takich jak certificateUserIds, onPremisesUserPrincipalName i atrybut userPrincipalName obiektu użytkownika, należy pamiętać, że konta z uprawnieniami administracyjnymi w usłudze Active Directory (takie jak te z delegowanymi prawami do obiektów użytkownika lub praw administracyjnych na serwerze Microsoft Entra Connect) mogą wprowadzać zmiany wpływające na te atrybuty w identyfikatorze Entra firmy Microsoft.

  1. Utwórz powiązanie nazwy użytkownika, wybierając jedno z pól certyfikatu X.509 do powiązania z jednym z atrybutów użytkownika. Kolejność powiązania nazwy użytkownika reprezentuje poziom priorytetu powiązania. Pierwszy ma najwyższy priorytet i tak dalej.

    Zrzut ekranu przedstawiający zasady powiązania nazwy użytkownika.

    Jeśli określone pole certyfikatu X.509 zostanie znalezione w certyfikacie, ale identyfikator Entra firmy Microsoft nie znajdzie obiektu użytkownika przy użyciu tej wartości, uwierzytelnianie zakończy się niepowodzeniem. Identyfikator Entra firmy Microsoft próbuje na liście ściągnięcia następnego powiązania.

  2. Wybierz Zapisz, aby zapisać zmiany.

Ostateczna konfiguracja wygląda następująco:

Zrzut ekranu przedstawiający ostateczną konfigurację.

Krok 5. Testowanie konfiguracji

W tej sekcji opisano sposób testowania certyfikatu i niestandardowych reguł powiązań uwierzytelniania.

Testowanie certyfikatu

Jako pierwszy test konfiguracji należy spróbować zalogować się do portalu MyApps przy użyciu przeglądarki na urządzeniu.

  1. Wprowadź nazwę główną użytkownika (UPN).

    Zrzut ekranu przedstawiający główną nazwę użytkownika.

  2. Wybierz Dalej.

    Zrzut ekranu przedstawiający logowanie przy użyciu certyfikatu.

    Jeśli włączono inne metody uwierzytelniania, takie jak logowanie na telefon lub FIDO2, użytkownicy mogą zobaczyć inny ekran logowania.

    Zrzut ekranu przedstawiający alternatywne logowanie.

  3. Wybierz pozycję Zaloguj się przy użyciu certyfikatu.

  4. Wybierz prawidłowy certyfikat użytkownika w interfejsie użytkownika selektora certyfikatów klienta i wybierz przycisk OK.

    Zrzut ekranu przedstawiający interfejs użytkownika selektora certyfikatów.

  5. Użytkownicy powinni być zalogowani do portalu MyApps.

Jeśli logowanie zakończyło się pomyślnie, wiesz, że:

  • Certyfikat użytkownika jest aprowizowany na urządzeniu testowym.
  • Identyfikator entra firmy Microsoft jest poprawnie skonfigurowany z zaufanymi urzędami certyfikacji.
  • Powiązanie nazwy użytkownika jest poprawnie skonfigurowane, a użytkownik zostanie znaleziony i uwierzytelniony.

Testowanie niestandardowych reguł powiązań uwierzytelniania

Przyjrzyjmy się scenariuszowi, w którym weryfikujemy silne uwierzytelnianie. Tworzymy dwie reguły zasad uwierzytelniania: jedną przy użyciu wystawcy podlegającego uwierzytelnianiu jednoskładnikowemu, a drugą przy użyciu identyfikatora OID zasad w celu spełnienia uwierzytelniania wieloskładnikowego.

  1. Utwórz regułę podmiotu wystawcy z poziomem ochrony jako uwierzytelnianie jednoskładnikowe i wartość ustawioną na wartość Podmiot urzędów certyfikacji. Na przykład:

    CN = WoodgroveCA

  2. Utwórz regułę identyfikatora OID zasad z poziomem ochrony jako uwierzytelnianie wieloskładnikowe i wartość ustawioną na jeden z identyfikatorów OID zasad w certyfikacie. Na przykład 1.2.3.4.

    Zrzut ekranu przedstawiający regułę OID zasad.

  3. Utwórz zasady dostępu warunkowego dla użytkownika, aby wymagać uwierzytelniania wieloskładnikowego, wykonując kroki opisane w temacie Dostęp warunkowy — wymaganie uwierzytelniania wieloskładnikowego.

  4. Przejdź do portalu MyApps. Wprowadź nazwę UPN i wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający główną nazwę użytkownika.

  5. Wybierz pozycję Zaloguj się przy użyciu certyfikatu.

    Zrzut ekranu przedstawiający logowanie przy użyciu certyfikatu.

    Jeśli włączono inne metody uwierzytelniania, takie jak logowanie na telefonie lub klucze zabezpieczeń, użytkownicy mogą zobaczyć inny ekran logowania.

    Zrzut ekranu przedstawiający alternatywne logowanie.

  6. Wybierz certyfikat klienta i wybierz pozycję Informacje o certyfikacie.

    Zrzut ekranu przedstawiający selektor klienta.

  7. Zostanie wyświetlony certyfikat i można zweryfikować wartości identyfikatora OID wystawcy i zasad. Zrzut ekranu wystawcy.

  8. Aby wyświetlić wartości OID zasad, wybierz pozycję Szczegóły.

    Zrzut ekranu przedstawiający szczegóły uwierzytelniania.

  9. Wybierz certyfikat klienta i wybierz przycisk OK.

  10. Identyfikator OID zasad w certyfikacie jest zgodny ze skonfigurowaną wartością 1.2.3.4 i spełnia uwierzytelnianie wieloskładnikowe. Podobnie wystawca w certyfikacie odpowiada skonfigurowanej wartości CN=WoodgroveCA i spełnia uwierzytelnianie jednoskładnikowe.

  11. Ponieważ reguła identyfikatora OID zasad ma pierwszeństwo przed regułą wystawcy, certyfikat spełnia uwierzytelnianie wieloskładnikowe.

  12. Zasady dostępu warunkowego dla użytkownika wymagają uwierzytelniania wieloskładnikowego i certyfikat spełnia wymagania wieloskładnikowe, aby użytkownik mógł zalogować się do aplikacji.

Testowanie zasad powiązania nazwy użytkownika

Zasady powiązania nazwy użytkownika pomagają zweryfikować certyfikat użytkownika. Istnieją trzy powiązania obsługiwane dla zasad powiązania nazwy użytkownika:

  • IssuerAndSerialNumber>CertificateUserIds
  • IssuerAndSubject>CertificateUserIds
  • Identyfikatory użytkownika podmiotu>

Domyślnie identyfikator Entra firmy Microsoft mapuje nazwę główną w certyfikacie na UserPrincipalName w obiekcie użytkownika w celu określenia użytkownika. Administrator zasad uwierzytelniania może zastąpić ustawienie domyślne i utworzyć mapowanie niestandardowe, jak wyjaśniono wcześniej.

Administrator zasad uwierzytelniania musi włączyć nowe powiązania. Aby przygotować się, muszą upewnić się, że prawidłowe wartości dla odpowiednich powiązań nazwy użytkownika są aktualizowane w atrybucie CertificateUserIds obiektu użytkownika:

  • W przypadku użytkowników tylko w chmurze użyj centrum administracyjnego microsoft Entra lub interfejsów API programu Microsoft Graph, aby zaktualizować wartość w polach CertificateUserIds.
  • W przypadku użytkowników synchronizowanych lokalnie użyj programu Microsoft Entra Connect, aby zsynchronizować wartości ze środowiska lokalnego, postępując zgodnie z regułami programu Microsoft Entra Connect lub synchronizując wartość AltSecId.

Ważne

Format wartości Wystawca, Podmiot i Numer seryjny powinny być w odwrotnej kolejności ich formatu w certyfikacie. Nie dodawaj żadnego miejsca w wystawcy ani podmiotu.

Ręczne mapowanie wystawcy i numeru seryjnego

Oto przykład ręcznego mapowania wystawcy i numeru seryjnego. Wartość wystawcy, która ma zostać dodana, to:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Zrzut ekranu przedstawiający wartość wystawcy.

Aby uzyskać poprawną wartość numeru seryjnego, uruchom następujące polecenie i zapisz wartość wyświetlaną w polach CertificateUserIds. Składnia polecenia to:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Na przykład:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Oto przykład polecenia certutil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Wartość SerialNumber do dodania w identyfikatorze CertificateUserId to:

b24134139f069b4997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Ręczne mapowanie problemu i tematu

Oto przykład ręcznego mapowania problemu i tematu. Wartość wystawcy to:

Zrzut ekranu przedstawiający wartość wystawcy w przypadku użycia z wieloma powiązaniami.

Wartość Temat to:

Zrzut ekranu przedstawiający wartość Temat.

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Ręczne mapowanie tematu

Oto przykład ręcznego mapowania tematu. Wartość Temat to:

Zrzut ekranu przedstawiający inną wartość tematu.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testowanie powiązania koligacji

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do strony Zasady metod> uwierzytelniania ochrony.>

  3. W obszarze Zarządzanie wybierz pozycję Metody>uwierzytelniania oparte na certyfikatach.

  4. Wybierz Konfiguruj.

  5. Ustaw wymagane powiązanie koligacji na poziomie dzierżawy.

    Ważne

    Zachowaj ostrożność przy użyciu ustawienia koligacji całej dzierżawy. Możesz zablokować całą dzierżawę, jeśli zmienisz powiązanie wymaganej koligacji dla dzierżawy i nie masz odpowiednich wartości w obiekcie użytkownika. Podobnie, jeśli tworzysz regułę niestandardową, która ma zastosowanie do wszystkich użytkowników i wymaga powiązania z wysoką koligacją, użytkownicy w dzierżawie mogą zostać zablokowani.

    Zrzut ekranu przedstawiający sposób ustawiania wymaganego powiązania koligacji.

  6. Aby przetestować, wybierz pozycję Wymagane powiązanie koligacji, aby mieć wartość Niska.

  7. Dodaj powiązanie o wysokiej koligacji, takie jak SKI. Wybierz pozycję Dodaj regułę w obszarze Powiązanie nazwy użytkownika.

  8. Wybierz pozycję SKI i wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający sposób dodawania powiązania koligacji.

    Po zakończeniu reguła wygląda następująco:

    Zrzut ekranu przedstawiający ukończone powiązanie koligacji.

  9. Zaktualizuj wszystkie obiekty użytkownika CertificateUserIds atrybutu, aby mieć poprawną wartość SKI z certyfikatu użytkownika. Aby uzyskać więcej informacji, zobacz Obsługiwane wzorce dla identyfikatorów CertificateUserIDs.

  10. Utwórz regułę niestandardową dla powiązania uwierzytelniania.

  11. Wybierz Dodaj.

    Zrzut ekranu przedstawiający niestandardowe powiązanie uwierzytelniania.

    Po zakończeniu reguła wygląda następująco:

    Zrzut ekranu przedstawiający regułę niestandardową.

  12. Zaktualizuj użytkownika CertificateUserIds poprawną wartość SKI z certyfikatu za pomocą identyfikatora OID zasad 9.8.7.5.

  13. Przetestuj przy użyciu certyfikatu z identyfikatorem OID zasad 9.8.7.5 i użytkownik powinien zostać uwierzytelniony za pomocą powiązania SKI i uzyskać uwierzytelnianie wieloskładnikowe tylko przy użyciu certyfikatu.

Włączanie cba przy użyciu interfejsu API programu Microsoft Graph

Aby włączyć cba i skonfigurować powiązania nazw użytkowników przy użyciu interfejsu API programu Graph, wykonaj następujące kroki.

  1. Przejdź do Eksploratora programu Microsoft Graph.

  2. Wybierz pozycję Zaloguj się do Eksploratora programu Graph i zaloguj się do dzierżawy.

  3. Wykonaj kroki, aby wyrazić zgodę na delegowane uprawnienie Policy.ReadWrite.AuthenticationMethod.

  4. POBIERZ wszystkie metody uwierzytelniania:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. POBIERZ konfigurację metody uwierzytelniania certyfikatu x509:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Domyślnie metoda uwierzytelniania certyfikatu x509 jest wyłączona. Aby umożliwić użytkownikom logowanie się przy użyciu certyfikatu, należy włączyć metodę uwierzytelniania i skonfigurować zasady powiązania uwierzytelniania i nazwy użytkownika za pomocą operacji aktualizacji. Aby zaktualizować zasady, uruchom żądanie PATCH.

    Treść żądania:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. 204 No content Otrzymasz kod odpowiedzi. Uruchom ponownie żądanie GET, aby upewnić się, że zasady zostały poprawnie zaktualizowane.

  8. Przetestuj konfigurację, logując się przy użyciu certyfikatu spełniającego zasady.

Włączanie cba przy użyciu programu Microsoft PowerShell

  1. Otwórz program PowerShell.
  2. Nawiązywanie połączenia z programem Microsoft Graph: 
    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
  3. Utwórz zmienną do definiowania grupy dla użytkowników CBA: 
    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
  4. Zdefiniuj treść żądania: 
    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5
  5. Uruchom żądanie PATCH: 
    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Następne kroki