Partilhar via

O que é a autenticação baseada em certificado do Microsoft Entra?

Sua organização pode usar a autenticação baseada em certificado (CBA) do Microsoft Entra para permitir ou exigir que os usuários se autentiquem diretamente usando certificados X.509 autenticados na ID do Microsoft Entra para entrada no aplicativo e no navegador.

Use o recurso para adotar uma autenticação resistente a phishing e autenticar usando certificados X.509 em sua infraestrutura de chave pública (PKI).

O que é o Microsoft Entra CBA?

Antes de o suporte gerenciado na nuvem para CBA para Microsoft Entra ID estar disponível, uma organização tinha que implementar CBA federado para que os usuários se autenticassem usando certificados X.509 contra o Microsoft Entra ID. Incluía a implantação dos Serviços de Federação do Active Directory (AD FS). Com o Microsoft Entra CBA, pode-se autenticar diretamente contra o Microsoft Entra ID e eliminar a necessidade de AD FS federado, para um ambiente simplificado e redução de custos.

As próximas figuras mostram como o Microsoft Entra CBA simplifica seu ambiente eliminando o AD FS federado.

CBA com AD FS federado

Diagrama que mostra o CBA com federação.

Microsoft Entra CBA

Diagrama que mostra o Microsoft Entra CBA.

Principais benefícios de usar o Microsoft Entra CBA

Benefício Descrição
Experiência de utilizador melhorada - Os utilizadores que precisam de CBA agora podem autenticar-se diretamente contra o Microsoft Entra ID e não precisam investir em AD FS federada.
- Você pode usar o centro de administração para mapear facilmente campos de certificado para atributos de objeto de usuário para procurar o usuário no locatário (associações de nome de usuário de certificado)
- Use o centro de administração para configurar políticas de autenticação para ajudar a determinar quais certificados são de fator único versus multifator.
Fácil de implantar e administrar - Microsoft Entra CBA é um recurso gratuito. Você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.
- Não há necessidade de implantações locais complexas ou configuração de rede.
- Autenticate diretamente contra o Microsoft Entra ID.
Seguro - As senhas locais não precisam ser armazenadas na nuvem de forma alguma.
- Protege suas contas de usuário trabalhando perfeitamente com as políticas de Acesso Condicional do Microsoft Entra, incluindo autenticação multifator (MFA) resistente a phishing. O MFA requer uma edição licenciada e o bloqueio da autenticação herdada.
- Suporte a autenticação forte. Os administradores podem definir políticas de autenticação por meio dos campos de certificado, como emissor ou identificador de objeto de política (OID de política), para determinar quais certificados se qualificam como fator único versus multifator.
- O recurso funciona perfeitamente com as funcionalidades de Acesso Condicional e capacidade de reforço da autenticação para impor MFA, ajudando a proteger os seus utilizadores.

Cenários suportados

Os seguintes cenários são suportados:

  • Login do usuário em aplicativos baseados em navegador da Web em todas as plataformas

  • Inícios de sessão de utilizadores nas aplicações móveis do Office em plataformas iOS e Android, e nas aplicações nativas do Office no Windows, incluindo o Outlook e o OneDrive.

  • Login de usuário em navegadores nativos para dispositivos móveis

  • Regras granulares de autenticação para MFA usando o assunto do emissor do certificado e o Policy OID

  • Vinculações de certificados a contas de usuário usando qualquer um dos campos do certificado:

    • SubjectAlternativeName (SAN), PrincipalNamee RFC822Name
    • SubjectKeyIdentifier (SKI) e SHA1PublicKey
    • IssuerAndSubject e IssuerAndSerialNumber

  • Associações de certificados a contas de utilizador utilizando qualquer um dos atributos do objeto de utilizador.

    • userPrincipalName
    • onPremisesUserPrincipalName
    • certificateUserIds

Cenários não suportados

Os seguintes cenários não são suportados:

  • Não há suporte para sugestões de autoridade de certificação (CA). A lista de certificados que aparece para os usuários na interface do usuário do seletor de certificados não tem escopo.
  • Apenas um ponto de distribuição de CRL (CDP) para uma autoridade de certificação confiável é suportado.
  • A CDP pode ser apenas URLs HTTP. Não suportamos URLs OCSP (Online Certificate Status Protocol) ou LDAP (Lightweight Directory Access Protocol).
  • A palavra-passe como método de autenticação não pode ser desativada. A opção para entrar usando uma senha aparece, mesmo quando o método Microsoft Entra CBA está disponível para o usuário.

Limitação conhecida com certificados do Windows Hello for Business

Embora o Windows Hello for Business possa ser usado para MFA no Microsoft Entra ID, o Windows Hello for Business não é suportado para MFA nova. Você pode optar por registrar certificados para seus usuários usando a chave/par de chaves do Windows Hello for Business. Quando configurados corretamente, os certificados do Windows Hello for Business podem ser usados para MFA no Microsoft Entra ID.

Os certificados do Windows Hello for Business são compatíveis com o Microsoft Entra CBA nos navegadores Microsoft Edge e Chrome. Atualmente, os certificados do Windows Hello for Business não são compatíveis com o Microsoft Entra CBA em cenários que não sejam navegadores, como em aplicativos do Office 365. Uma resolução é usar a opção Entrar no Windows Hello ou a chave de segurança para entrar (quando estiver disponível). Esta opção não usa certificados para autenticação e evita o problema com o Microsoft Entra CBA. A opção pode não estar disponível em alguns aplicativos anteriores.

Fora do âmbito de aplicação

Os seguintes cenários estão fora do escopo do Microsoft Entra CBA:

  • Criar ou fornecer uma infraestrutura de chave pública (PKI) para criar certificados de cliente. Você deve configurar sua própria PKI e provisionar certificados para seus usuários e dispositivos.

Conteúdo relacionado

  • Last updated on