共用方式為

建立和管理自訂條件式存取驗證強度

驗證強度等級是 Microsoft Entra 條件式存取政策的一種控制措施,指定用於存取資源的驗證方法組合。 身為管理員,您最多可以建立 15 個自訂驗證強度,以完全符合您的需求。

先決條件

  • 若要使用條件式存取,您的租用戶必須擁有 Microsoft Entra ID P1 授權。 如果您沒有此許可證,可以開始 免費試用

建立自訂驗證強度

  1. 請以至少安全管理員的身分登入Microsoft Entra 系統管理中心

  2. 流覽至 Entra ID>驗證方法>驗證強度

  3. 選取 [新驗證強度]

  4. 針對 [名稱],提供新驗證強度的描述性名稱。

  5. 對於 [描述],您可以提供選用的描述。

  6. 選取您要允許的可用方法,例如防 網路釣魚 MFA無密碼 MFA暫存存取通行證下的方法。

  7. 選取 [ 下一步 ],然後檢閱原則設定。

顯示建立自訂驗證強度的螢幕擷取畫面。

更新和刪除自定義驗證強度

您可以編輯自訂驗證強度。 如果條件式存取原則參考該驗證強度,您就無法刪除它,而且您必須確認任何編輯。

若要檢查條件式存取原則是否參考驗證強度,請移至 [條件式存取原則 ] 資料行。

設定通行金鑰的進階選項 (FIDO2)

您可以根據其驗證器證明 GUID (AAGUID) 來限制通行金鑰 (FIDO2) 的使用。 您可以使用此功能來要求特定製造商的 FIDO2 安全性金鑰才能存取資源:

  1. 建立自訂驗證強度之後,請選取 [通行金鑰 (FIDO2)>進階選項]。

    顯示通行金鑰進階選項連結的螢幕擷取畫面。

  2. 在 [新增 AAGUID] 旁邊,選取加號 (),+複製 AAGUID 值,然後選取 [儲存]。

    螢幕擷取畫面,示範如何新增驗證器證明 GUID。

設定憑證型驗證的進階選項

鑑別繫結原則中,您可以根據憑證簽發者或原則物件識別碼 (OID) 來設定憑證是否在系統中繫結至單一因素或多重要素驗證保護層次。 您也可以根據條件式存取驗證強度原則,要求特定資源的單一因素或多重要素驗證憑證。

藉由使用驗證強度的進階選項,您可以要求特定的憑證簽發者或原則 OID 來進一步限制登入應用程式。

例如,假設名為 Contoso 的組織會以三種不同類型的多重要素憑證向員工發行智慧卡。 一份證書用於機密許可,另一份用於秘密許可,第三份用於絕密許可。 每個憑證都透過其屬性來區分,例如簽發者或策略 OID。 Contoso 想要確保只有具有適當多重要素憑證的使用者才能存取每個分類的資料。

下一節說明如何使用 Microsoft Entra 系統管理中心和 Microsoft Graph 來設定憑證型驗證 (CBA) 的進階選項。

Microsoft Entra 系統管理中心

  1. 以系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 Entra ID>驗證方法>驗證強度

  3. 選取 [新驗證強度]

  4. 針對 [名稱],提供新驗證強度的描述性名稱。

  5. 對於 [描述],您可以提供選用的描述。

  6. 在憑證型驗證 (單一因素或多重要素) 選項下方,選取 進 階選項

    螢幕擷取畫面,顯示憑證型驗證進階選項的連結。

  7. 選取或輸入憑證簽發者,然後輸入允許的原則 OID。

    您可以在 租用戶憑證授權單位的憑證發行者下 拉式清單中選取憑證簽發者,以設定憑證簽發者。 下拉清單會顯示租戶的所有憑證頒發機構,無論它們是單一因素還是多因素。

    對於您要使用的憑證未上傳至租用戶中憑證授權單位的案例,您可以在 [ 依 SubjectkeyIdentifier 的其他憑證簽發者] 方塊中輸入憑證簽發者。 其中一個範例是外部使用者案例,其中使用者可以在主租用戶中進行驗證,而且會在資源租用戶上強制執行驗證強度。

    螢幕擷取畫面,顯示憑證簽發者和原則物件識別碼的組態選項。

    這些條件適用:

    • 如果您設定這兩個屬性 (憑證簽發者和原則 OID) ,使用者必須使用至少具有清單中其中一個簽發者 其中一個原則 OID 的憑證,才能滿足驗證強度。
    • 如果您只設定憑證簽發者屬性,則使用者必須使用至少具有其中一個簽發者的憑證,才能滿足鑑別強度。
    • 如果您只設定原則 OID 屬性,使用者必須使用至少具有其中一個原則 OID 的憑證,才能滿足驗證強度。

    注意

    您最多可以設定五個簽發者和五個 OID 來進行驗證強度。

  8. 選取 [下一步] 以檢閱設定,然後選取 [建立]。

Microsoft Graph

若要使用憑證 combinationConfigurations 來建立新的條件式存取驗證強度原則,請使用下列程式碼:

POST  /beta/identity/conditionalAccess/authenticationStrength/policies
{
    "displayName": "CBA Restriction",
    "description": "CBA Restriction with both IssuerSki and OIDs",
    "allowedCombinations": [
        " x509CertificateMultiFactor "
    ],
    "combinationConfigurations": [
        {
            "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
            "appliesToCombinations": [
                "x509CertificateMultiFactor"
            ],
            "allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
            "allowedPolicyOIDs": [
                "1.2.3.4.6",
                "1.2.3.4.5.6"
            ]
        }
    ]
}

若要將新 combinationConfiguration 資訊新增至現有原則,請使用下列程式碼:

POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations

{
    "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
    "allowedIssuerSkis": [
        "9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
    ],
    "allowedPolicyOIDs": [],
    "appliesToCombinations": [
        "x509CertificateSingleFactor "
    ]
}

了解限制

通行金鑰的進階選項 (FIDO2)

不同 Microsoft 雲端環境中的主機租戶和資源租戶的外部使用者不支援通行金鑰(FIDO2)的進階選項。

憑證型驗證的進階選項

  • 使用者在每個瀏覽器階段作業中只能使用一個憑證。 使用者使用憑證登入之後,憑證會在工作階段期間快取於瀏覽器內。 如果憑證不符合驗證強度需求,系統不會提示使用者選擇其他憑證。 使用者需要登出並重新登入才能重新啟動工作階段,然後選擇相關的憑證。

  • 憑證授權單位和使用者憑證應符合 X.509 v3 標準。 具體而言,若要強制執行簽發者主體金鑰識別碼 (SKI) 的 CBA 限制,憑證需要有效的授權單位金鑰識別碼 (AKI) 。

    顯示授權單位金鑰識別碼的螢幕擷取畫面。

    注意

    如果憑證不符合,使用者驗證可能會成功,但不符合驗證強度原則的簽發者 SKI 限制。

  • 在登入期間,Microsoft Entra ID 會考慮使用者憑證中的前五個原則 OID,並將其與驗證強度原則中設定的原則 OID 進行比較。 如果使用者憑證有五個以上的原則 OID,Microsoft Entra ID 會考慮符合驗證強度需求的前五個原則 OID (依字法順序)。

  • 針對企業對企業使用者,讓我們以 Contoso 邀請另一個組織 (Fabrikam) 的使用者加入其租用戶的範例為例。 在此情況下,Contoso 是資源租戶,而 Fabrikam 是本地主租戶。 存取權取決於跨租用戶存取設定:

    • 當跨租用戶存取設定為 [關閉] 時,表示 Contoso 不接受主租用戶執行的 MFA。 不支援資源租用戶上的憑證型驗證。
    • 當跨租用戶存取設定為 [開啟] 時,Fabrikam 和 Contoso 租用戶位於相同的 Microsoft 雲端 (Azure 商業雲端平台或適用於美國政府的 Azure 雲端平台) 上。 此外,Contoso 會信任在主租用戶上執行的 MFA。 在此情況下:
      • 系統管理員可以使用自訂驗證強度原則中的原則 OID 或依 SubjectkeyIdentifier 設定的其他憑證簽發者 來限制對特定資源的存取。
      • 系統管理員可以使用自訂驗證強度原則中的 [依 SubjectkeyIdentifier 設定的其他憑證簽發者 ] 來限制對特定資源的存取。
    • 當跨租用戶存取設定為 [ 開啟] 時,Fabrikam 和 Contoso 不會位於相同的 Microsoft 雲端上。 例如,Fabrikam 的租用戶位於 Azure 商業雲端平臺上,而 Contoso 的租使用者位於適用於美國政府的 Azure 雲端平臺上。 系統管理員無法在自訂驗證強度原則中使用簽發者識別碼或原則 OID 來限制對特定資源的存取。

針對驗證強度的進階選項進行疑難排解

使用者無法使用通行金鑰 (FIDO2) 登入

條件式存取系統管理員可以限制對特定安全性金鑰的存取。 當使用者嘗試使用無法使用的金鑰登入時,系統會顯示「您無法從這裡前往」訊息。 使用者必須重新啟動工作階段,並使用不同的通行金鑰 (FIDO2) 登入。

使用者使用受限制通行金鑰時登入錯誤的螢幕擷取畫面。

您需要檢查憑證簽發單位或政策 OID

您可以確認個人憑證內容符合驗證強度進階選項中的配置:

  1. 在使用者的裝置上,以管理員身分登入。

  2. 選取 [執行],輸入 certmgr.msc,然後選取 Enter 鍵。

  3. 選取 [ 個人>憑證],以滑鼠右鍵按一下憑證,然後移至 [詳細資料] 索引標籤。

螢幕擷取畫面,顯示用於選擇檢查憑證簽發者或原則 OID 的選項。

相關內容

  • Last updated on