Aracılığıyla paylaş

Federasyon ile Microsoft Entra Id'de sertifika tabanlı kimlik doğrulamayı kullanmaya başlama

  • Makale

Federasyon ile sertifika tabanlı kimlik doğrulaması (CBA), Exchange çevrimiçi hesabınızı aşağıdakilere bağlarken Microsoft Entra Id'nin Windows, Android veya iOS cihazında bir istemci sertifikasıyla kimliğinizi doğrulamasını sağlar:

  • Microsoft Outlook ve Microsoft Word gibi Microsoft mobil uygulamaları
  • Exchange ActiveSync (EAS) istemcileri

Bu özelliği yapılandırmak, mobil cihazınızdaki belirli posta ve Microsoft Office uygulamalarına kullanıcı adı ve parola bileşimi girme gereksinimini ortadan kaldırır.

Not

Alternatif olarak, kuruluşlar federasyona gerek kalmadan Microsoft Entra CBA'yı dağıtabilir. Daha fazla bilgi için bkz. Microsoft Entra Idkarşı Microsoft Entra sertifika tabanlı kimlik doğrulamasına genel bakış.

Bu konu:

  • Office 365 Kurumsal, İş, Eğitim ve US Government planlarındaki kiracı kullanıcıları için CBA yapılandırma ve kullanma adımlarını sağlar.
  • Zaten bir ortak anahtar altyapısı (PKI) ve AD FS yapılandırdığınız varsayılır.

Gereksinimler

CBA'yı federasyonla yapılandırmak için aşağıdaki deyimlerin doğru olması gerekir:

  • Federasyonlu CBA yalnızca tarayıcı uygulamaları, modern kimlik doğrulaması kullanan yerel istemciler veya MSAL kitaplıkları için Federasyon ortamlarında desteklenir. Tek özel durum, federasyon ve yönetilen hesaplar için kullanılabilen Exchange Online (EXO) için Exchange Active Sync 'dir (EAS). Federasyona gerek kalmadan Microsoft Entra CBA'yı yapılandırmak için bkz. Microsoft Entra sertifika tabanlı kimlik doğrulamasını yapılandırma.
  • Kök sertifika yetkilisi ve ara sertifika yetkilileri, Microsoft Entra Kimliği'nde yapılandırılmalıdır.
  • Her sertifika yetkilisinin, İnternet'e yönelik URL aracılığıyla başvurulabilen bir sertifika iptal listesi (CRL) olmalıdır.
  • Microsoft Entra Id'de yapılandırılmış en az bir sertifika yetkiliniz olmalıdır. İlgili adımları Sertifika yetkililerini yapılandırma bölümünde bulabilirsiniz.
  • Exchange ActiveSync istemciler için, istemci sertifikasının kullanıcının Exchange Online'daki yönlendirilebilir e-posta adresi, Konu Alternatif Ad alanının Ana Ad veya RFC822 Ad değeri içinde olmalıdır. Microsoft Entra Id, RFC822 değerini dizindeki Proxy Adresi özniteliğiyle eşler.
  • İstemci cihazınızın, istemci sertifikaları veren en az bir sertifika yetkilisine erişimi olmalıdır.
  • İstemci kimlik doğrulaması için bir istemci sertifikası istemcinize verilmiş olmalıdır.

Önemli

Microsoft Entra Id'nin başarıyla indirilmesi ve önbelleğe alınması için crl boyutu üst sınırı 20 MB'tır ve CRL'yi indirmek için gereken süre 10 saniyeyi geçmemelidir. Microsoft Entra Id bir CRL'yi indiremezse, ilgili CA tarafından verilen sertifikaları kullanan sertifika tabanlı kimlik doğrulamaları başarısız olur. CRL dosyalarının boyut kısıtlamaları içinde olduğundan emin olmak için en iyi yöntemler, sertifika yaşam sürelerini makul sınırlar içinde tutmak ve süresi dolan sertifikaları temizlemektir.

1. Adım: Cihaz platformunuzu seçin

İlk adım olarak, önemsediğiniz cihaz platformu için aşağıdakileri gözden geçirmeniz gerekir:

  • Office mobil uygulamaları desteği
  • Belirli uygulama gereksinimleri

İlgili bilgiler aşağıdaki cihaz platformları için mevcuttur:

2. Adım: Sertifika yetkililerini yapılandırma

Sertifika yetkililerinizi Microsoft Entra Id'de yapılandırmak için, her sertifika yetkilisi için aşağıdakileri karşıya yükleyin:

  • Sertifikanın .cer biçimdeki ortak bölümü
  • Sertifika İptal Listelerinin (CRL) bulunduğu İnternet'e yönelik URL'ler

Sertifika yetkilisi şeması aşağıdaki gibi görünür:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Yapılandırma için Microsoft Graph PowerShellkullanabilirsiniz:

  1. Windows PowerShell'i yönetici ayrıcalıklarıyla başlatın.

  2. Microsoft Graph PowerShell'i yükleyin:

        Install-Module Microsoft.Graph

İlk yapılandırma adımı olarak, kiracınızla bir bağlantı kurmanız gerekir. Kiracınıza bir bağlantı olduğunda dizininizde tanımlanan güvenilen sertifika yetkililerini gözden geçirebilir, ekleyebilir, silebilir ve değiştirebilirsiniz.

Bağlanmak

Kiracınızla bağlantı kurmak için connect-mggraphkullanın:

    Connect-MgGraph

Geri Getirmek

Dizininizde tanımlanan güvenilen sertifika yetkililerini almak için Get-MgOrganizationCertificateBasedAuthConfigurationkullanın.

    Get-MgOrganizationCertificateBasedAuthConfiguration

CA eklemek, değiştirmek veya kaldırmak için Microsoft Entra yönetim merkezini kullanın:

  1. Microsoft Entra yönetim merkezineGenel Yöneticiolarak oturum açın.

  2. Koruma>Daha fazlasını göster>Güvenlik Merkezi (veya Kimlik Güvenlik Skoru) >Sertifika yetkililerine göz atın.

  3. CA yüklemek için Yükleöğesini seçin:

    1. CA dosyasını seçin.

    2. CA bir kök sertifikaysa Evet seçin, aksi takdirde Hayırseçeneğini belirleyin.

    3. Sertifika İptal Listesi URL'siiçin, iptal edilen tüm sertifikaları içeren CA temel CRL'si için İnternet'e yönelik URL'yi ayarlayın. URL ayarlanmazsa, iptal edilen sertifikalarla kimlik doğrulaması başarısız olmaz.

    4. Delta Sertifika İptal Listesi URL'siiçin, son temel CRL yayımlandıktan sonra iptal edilen tüm sertifikaları içeren CRL için İnternet'e yönelik URL'yi ayarlayın.

    5. Ekle'ı seçin.

      Sertifika yetkilisi dosyasının yüklenmesi için ekran görüntüsü.

  4. CA sertifikasını silmek için sertifikayı seçin ve Silöğesini seçin.

  5. Sütun eklemek veya silmek için Sütunlar seçeneğini seçin.

3. Adım: İptali yapılandırma

Bir istemci sertifikasını iptal etmek için Microsoft Entra ID, sertifika yetkilisi bilgilerinin bir parçası olarak karşıya yüklenen URL'lerden sertifika iptal listesini (CRL) getirir ve önbelleğe alır. CRL'deki son yayımlama zaman damgası (Geçerlilik Tarihi özelliği), CRL'nin hala geçerli olduğundan emin olmak için kullanılır. CRL'ye, listenin bir parçası olan sertifikalara erişimi iptal etmek için düzenli aralıklarla başvurulur.

Daha hızlı bir iptal gerekiyorsa (örneğin, bir kullanıcı bir cihazı kaybederse), kullanıcının yetkilendirme belirteci geçersiz kılınabilir. Yetkilendirme belirtecini geçersiz hale getirmek için, Windows PowerShell kullanarak bu kullanıcının stsRefreshTokenValidFrom alanını ayarlayın. Erişimini iptal etmek istediğiniz her kullanıcı için StsRefreshTokenValidFrom alanını güncelleştirmeniz gerekir.

İptal işleminin devam etmesini sağlamak için CRL'nin Geçerlilik Tarihi StsRefreshTokenValidFrom tarafından ayarlanan değerden sonraki bir tarihe ayarlamanız ve söz konusu sertifikanın CRL'de olduğundan emin olmanız gerekir.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesiokuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşimde bulunabilmek için Microsoft Graph PowerShell geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için bkz. Geçiş hakkında SSS. Not: MSOnline'ın Sürümleri 1.0.x, 30 Haziran 2024'den sonra kesintiye neden olabilir.

Aşağıdaki adımlarda, StsRefreshTokenValidFrom alanını ayarlayarak yetkilendirme belirtecini güncelleştirme ve geçersiz kılma işlemi özetlenmiştir.

  1. PowerShell'e bağlanın:

    Connect-MgGraph

  2. Bir kullanıcı için geçerli StsRefreshTokensValidFrom değerini alın:

            $user = Get-MsolUser -UserPrincipalName test@yourdomain.com`
        $user.StsRefreshTokensValidFrom

  3. Geçerli zaman damgasına eşit kullanıcı için yeni bir StsRefreshTokensValidFrom değeri yapılandırın:

            Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/05/2021")

Ayarladığınız tarih gelecekte olmalıdır. Tarih gelecekte değilse, StsRefreshTokensValidFrom özelliği ayarlanmaz. Tarih gelecekteyse, StsRefreshTokensValidFrom geçerli saate ayarlanır (Set-MsolUser komutu tarafından belirtilen tarih değil).

4. Adım: Yapılandırmanızı test edin

Sertifikanızı test etme

İlk yapılandırma testi olarak,cihaz içi tarayıcınızı kullanarak Outlook Web Access oturum açmayı veya SharePoint Online denemeniz gerekir.

Oturum açma işleminiz başarılı olursa şunları biliyorsunuzdur:

  • Kullanıcı sertifikası test cihazınıza sağlandı
  • AD FS doğru yapılandırıldı

Office mobil uygulamalarını test etme

  1. Test cihazınızda bir Office mobil uygulaması (örneğin, OneDrive) yükleyin.
  2. Uygulamayı başlatın.
  3. Kullanıcı adınızı girin ve kullanmak istediğiniz kullanıcı sertifikasını seçin.

Başarıyla oturum açmış olmanız gerekir.

Exchange ActiveSync istemci uygulamalarını test etme

Sertifika tabanlı kimlik doğrulaması aracılığıyla Exchange ActiveSync'e (EAS) erişmek için, istemci sertifikasını içeren bir EAS profilinin uygulama tarafından kullanılabilir olması gerekir.

EAS profili aşağıdaki bilgileri içermelidir:

  • Kimlik doğrulaması için kullanılacak kullanıcı sertifikası

  • EAS uç noktası (örneğin, outlook.office365.com)

Bir EAS profili, Microsoft Intune gibi Mobil cihaz yönetimi (MDM) kullanımı aracılığıyla veya sertifikayı cihazdaki EAS profiline el ile yerleştirerek yapılandırılabilir ve cihaza yerleştirilebilir.

Android'de EAS istemci uygulamalarını test etme

  1. Önceki bölümde yer alan gereksinimleri karşılayan bir EAS profili yapılandırın.
  2. Uygulamayı açın ve postanın eşitlendiğini doğrulayın.

Sonraki adımlar

Android cihazlarda sertifika tabanlı kimlik doğrulaması hakkında ek bilgiler.

iOS cihazlarında sertifika tabanlı kimlik doğrulaması hakkında ek bilgiler.