Introduction à l'authentification basée sur des certificats dans Microsoft Entra ID avec fédération

L’authentification basée sur un certificat (CBA) avec fédération permet à Microsoft Entra ID de vous authentifier avec un certificat client sur un appareil Windows, Android ou iOS lors de la connexion de votre compte Exchange online à :

• Applications mobiles Microsoft telles que Microsoft Outlook et Microsoft Word
• Des clients Exchange ActiveSync (EAS).

La configuration de cette fonctionnalité élimine la nécessité d’entrer une combinaison de nom d’utilisateur et de mot de passe dans certaines applications courrier et Microsoft Office sur votre appareil mobile.

Cette rubrique :

• Fournit les étapes pour configurer et utiliser l'authentification basée sur les certificats (CBA) pour les utilisateurs de locataires dans les offres Office 365 Entreprise, Business, Éducation et Gouvernement américain.
• Suppose que vous disposez déjà d’une infrastructure à clé publique (PKI) et d’AD FS configurée.

Exigences

Pour configurer le CBA avec la fédération, les conditions suivantes doivent être remplies :

• L’authentification basée sur des certificats avec fédération est prise en charge uniquement pour les environnements fédérés, que ce soit pour les applications web, pour les clients natifs utilisant l’authentification moderne ou pour les bibliothèques MSAL. L’une des exceptions est Exchange Active Sync (EAS) pour Exchange Online (EXO), qui peut être utilisée pour les comptes fédérés et gérés. Pour configurer Microsoft Entra CBA sans avoir besoin de fédération, consultez Comment configurer l’authentification basée sur des certificats Microsoft Entra.
• L’autorité de certification racine et toutes les autorités de certification intermédiaires doivent être configurées dans l’ID Microsoft Entra.
• Chaque autorité de certification doit avoir une liste de révocation de certificats (CRL) qui peut être référencée via une URL accessible sur Internet.
• Vous devez avoir au moins une autorité de certification configurée dans l’ID Microsoft Entra. Vous trouverez les étapes associées dans la section Configurer les autorités de certification .
• Pour les clients Exchange ActiveSync, le certificat client doit avoir l’adresse e-mail routable de l'utilisateur dans Exchange Online, soit dans le Nom principal, soit dans la valeur Nom RFC822 du champ Nom alternatif du sujet. Microsoft Entra ID mappe la valeur RFC822 à l’attribut Adresse du proxy dans le répertoire.
• Votre appareil client doit avoir accès à au moins une autorité de certification qui émet des certificats clients.
• Un certificat client pour l’authentification du client doit avoir été émis à votre client.

Étape 1 : Sélectionner votre plateforme d’appareils

Pour la plateforme de l'appareil qui vous intéresse, vous devez passer en revue les éléments suivants :

• La prise en charge des applications mobiles Office
• Exigences d’implémentation spécifiques

Les informations associées existent pour les plateformes d’appareils suivantes :

• Android
• Ios

Étape 2 : Configurer les autorités de certification

Pour configurer vos autorités de certification dans Microsoft Entra ID, pour chaque autorité de certification, chargez les éléments suivants :

• Partie publique du certificat, au format .cer
• URL accessibles sur Internet où résident les listes de révocation de certificats (CRL)

Le schéma d’une autorité de certification se présente comme suit :

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Pour la configuration, vous pouvez utiliser Microsoft Graph PowerShell :

1. Démarrez Windows PowerShell avec des privilèges d’administrateur.

2. Installez Microsoft Graph PowerShell :

       Install-Module Microsoft.Graph
   

Au cours d’une première étape de configuration, vous devez établir une connexion avec votre locataire. Dès qu’une connexion à votre locataire existe, vous pouvez passer en revue, ajouter, supprimer et modifier les autorités de certification approuvées définies dans votre annuaire.

Connecter

Pour établir une connexion avec votre locataire, utilisez Connect-MgGraph :

    Connect-MgGraph

Récupération

Pour récupérer les autorités de certification approuvées définies dans votre répertoire, utilisez Get-MgOrganizationCertificateBasedAuthConfiguration.

    Get-MgOrganizationCertificateBasedAuthConfiguration

Pour ajouter, modifier ou supprimer une autorité de certification, utilisez le Centre d’administration Microsoft Entra :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur général .

2. Accédez à Entra ID>Score d’identité sécurisée>Autorités de certification.

3. Pour charger une CA, sélectionnez Charger :

   1. Sélectionnez le fichier d’autorité de certification.

   2. Sélectionnez Oui si l’autorité de certification est un certificat racine, sinon sélectionnez Non.

   3. Pour l'URL de la liste de révocation de certificats, définissez l'URL accessible depuis Internet pour la liste de révocation de base de l'autorité de certification qui contient tous les certificats révoqués. Si l’URL n’est pas définie, l’authentification avec des certificats révoqués n’échoue pas.

   4. Pour l’URL de liste de révocation de certificats Delta, définissez l’URL accessible sur Internet pour la liste de révocation de certificats qui contient tous les certificats révoqués depuis la dernière liste de révocation de certificats de base publiée.

   5. Sélectionnez Ajouter.

      

4. Pour supprimer un certificat d’autorité de certification, sélectionnez le certificat, puis sélectionnez Supprimer.

5. Sélectionnez Colonnes pour ajouter ou supprimer des colonnes.

Étape 3 : Configurer la révocation

Pour révoquer un certificat client, l’ID Microsoft Entra extrait la liste de révocation de certificats (CRL) des URL chargées dans le cadre des informations d’autorité de certification et les met en cache. Le dernier horodatage de publication (propriété Date effective) dans la CRL est utilisé pour garantir que la CRL est toujours valide. La CRL est référencée périodiquement pour révoquer l’accès à des certificats qui font partie de la liste.

Si une révocation plus instantanée est requise (par exemple, si un utilisateur perd un appareil), le jeton d’autorisation de l’utilisateur peut être invalidé. Pour invalider le jeton d’autorisation, définissez le champ StsRefreshTokensValidFrom pour cet utilisateur particulier à l’aide de Windows PowerShell. Vous devez mettre à jour le champ StsRefreshTokensValidFrom pour chaque utilisateur pour lequel vous souhaitez révoquer l’accès.

Pour vous assurer que la révocation persiste, vous devez définir la date d’effet de la liste de révocation de certificats sur une date après la valeur définie par StsRefreshTokensValidFrom et vérifier que le certificat en question se trouve dans la liste de révocation de certificats.

Les étapes suivantes décrivent le processus de mise à jour et d’invalidation du jeton d’autorisation en définissant le champ StsRefreshTokensValidFrom .

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

La date que vous définissez doit être à l’avenir. Si la date n’est pas à l’avenir, la propriété StsRefreshTokensValidFrom n’est pas définie. Si la date est à l’avenir, StsRefreshTokensValidFrom est défini sur l’heure actuelle (et non la date indiquée par Set-MsolUser commande).

Étape 4 : Tester votre configuration

Test de votre certificat

En guise de premier test de configuration, vous devez essayer de vous connecter à Outlook Web Access ou SharePoint Online à l’aide de votre navigateur sur appareil.

Si votre connexion réussit, vous savez que :

• Le certificat utilisateur a été provisionné sur votre appareil de test
• AD FS est configuré correctement

Test des applications mobiles Office

1. Sur votre appareil de test, installez une application mobile Office (par exemple, OneDrive).
2. Lancez l’application.
3. Entrez votre nom d’utilisateur, puis sélectionnez le certificat utilisateur que vous souhaitez utiliser.

Vous devez être connecté.

Test des applications clientes Exchange ActiveSync

Pour accéder à Exchange ActiveSync (EAS) via l’authentification basée sur des certificats, un profil EAS contenant le certificat client doit être disponible pour l’application.

Le profil EAS doit contenir les informations suivantes :

• Certificat utilisateur à utiliser pour l’authentification

• Point de terminaison EAS (par exemple, outlook.office365.com)

Un profil EAS peut être configuré et placé sur l’appareil via l’utilisation de la gestion des appareils mobiles (GPM) telle que Microsoft Intune ou en plaçant manuellement le certificat dans le profil EAS sur l’appareil.

Test des applications clientes EAS sur Android

1. Configurez un profil EAS dans l’application qui répond aux exigences de la section précédente.
2. Ouvrez l’application et vérifiez que le courrier est synchronisé.

Étapes suivantes

Informations supplémentaires sur l’authentification basée sur des certificats sur les appareils Android.

Informations supplémentaires sur l’authentification basée sur des certificats sur les appareils iOS.