Приступая к работе с аутентификацией на основе сертификата в Azure Active Directory Get started with certificate-based authentication in Azure Active Directory

Аутентификация на основе сертификата позволяет Azure Active Directory выполнять аутентификацию с помощью сертификата клиента на устройстве Windows, Android или iOS при подключении учетной записи Exchange Online к: Certificate-based authentication enables you to be authenticated by Azure Active Directory with a client certificate on a Windows, Android, or iOS device when connecting your Exchange online account to:

• мобильным приложениям Microsoft, таким как Microsoft Outlook и Microsoft Word; Microsoft mobile applications such as Microsoft Outlook and Microsoft Word
• клиентам Exchange ActiveSync (EAS). Exchange ActiveSync (EAS) clients

Настройка данной функции избавляет от необходимости ввода имени пользователя и пароля в определенных почтовых клиентах и приложениях Microsoft Office на мобильных устройствах. Configuring this feature eliminates the need to enter a username and password combination into certain mail and Microsoft Office applications on your mobile device.

В этой статье: This topic:

• Показано, как настроить и использовать аутентификацию на основе сертификата для пользователей клиентов в тарифных планах Office 365 корпоративный, бизнес, для образования и для US Gov организаций. Provides you with the steps to configure and utilize certificate-based authentication for users of tenants in Office 365 Enterprise, Business, Education, and US Government plans. В тарифных планах Office 365 China, US Government Defense и US Government Federal доступна предварительная версия этой функции. This feature is available in preview in Office 365 China, US Government Defense, and US Government Federal plans.
• Предполагается, что у вас уже настроены инфраструктура открытых ключей (PKI) и AD FS. Assumes that you already have a public key infrastructure (PKI) and AD FS configured.

Требования Requirements

Для настройки аутентификации на основе сертификата должны выполняться следующие условия: To configure certificate-based authentication, the following statements must be true:

• Проверка подлинности на основе сертификатов (CBA) поддерживается только для федеративных сред для приложений браузера, собственных клиентов, использующих библиотеки современной проверки подлинности (ADAL) или MSAL. Certificate-based authentication (CBA) is only supported for Federated environments for browser applications, native clients using modern authentication (ADAL), or MSAL libraries. Единственным исключением является решение Exchange Active (EAS) для Exchange Online (EXO), которое можно использовать для федеративных и управляемых учетных записей. The one exception is Exchange Active Sync (EAS) for Exchange Online (EXO), which can be used for federated and managed accounts.
• Корневой центр сертификации и все промежуточные центры сертификации должны быть настроены в Azure Active Directory. The root certificate authority and any intermediate certificate authorities must be configured in Azure Active Directory.
• У каждого центра сертификации должен быть список отзыва сертификатов (CRL), на который можно сослаться с помощью URL-адреса для Интернета. Each certificate authority must have a certificate revocation list (CRL) that can be referenced via an internet-facing URL.
• В Azure Active Directory должен быть настроен хотя бы один центр сертификации. You must have at least one certificate authority configured in Azure Active Directory. Соответствующие действия описаны в разделе Настройка центров сертификации. You can find related steps in the Configure the certificate authorities section.
• Для клиентов Exchange ActiveSync сертификат клиента должен иметь адрес электронной почты пользователя в Exchange Online либо в имени участника, либо в значении имени RFC822 в поле «альтернативное имя субъекта». For Exchange ActiveSync clients, the client certificate must have the user’s routable email address in Exchange online in either the Principal Name or the RFC822 Name value of the Subject Alternative Name field. Azure Active Directory сопоставляет значение RFC822 с атрибутом прокси-адреса в каталоге. Azure Active Directory maps the RFC822 value to the Proxy Address attribute in the directory.
• Устройство клиента должно иметь доступ хотя бы к одному центру сертификации, выдающему сертификаты клиента. Your client device must have access to at least one certificate authority that issues client certificates.
• Для аутентификации вашего клиента должен быть выдан сертификат клиента. A client certificate for client authentication must have been issued to your client.

Максимальный размер списка отзыва сертификатов для Azure Active Directory для успешной загрузки и кэширования — 20 МБ, а время, необходимое для загрузки списка отзыва сертификатов, не должно превышать 10 секунд. The maximum size of a CRL for Azure Active Directory to successfully download and cache is 20MB, and the time required to download the CRL must not exceed 10 seconds. Если Azure Active Directory не удается скачать список отзыва сертификатов, проверка подлинности на основе сертификатов с использованием сертификатов, выданных соответствующим ЦС, завершится ошибкой. If Azure Active Directory can’t download a CRL, certificate based authentications using certificates issued by the corresponding CA will fail. Рекомендации по обеспечению того, чтобы файлы списков отзыва сертификатов находящегося в пределах ограничений по размеру, позволяют обеспечить срок действия сертификата в пределах разумных пределов и очистки сертификатов с истекшим сроком действия. Best practices to ensure CRL files are within size constraints are to keep certificate lifetimes to within reasonable limits and to clean up expired certificates.

Шаг 1. Выбор платформы устройства Step 1: Select your device platform

При выборе платформы устройства для начала необходимо ознакомиться со следующими сведениями: As a first step, for the device platform you care about, you need to review the following:

• Поддержка мобильных приложений Office The Office mobile applications support
• Особые требования к реализации The specific implementation requirements

Эта информация доступна для следующих платформ устройств: The related information exists for the following device platforms:

Шаг 2. Настройка центров сертификации Step 2: Configure the certificate authorities

Чтобы настроить в Azure Active Directory центры сертификации, для каждого центра сертификации отправьте следующие данные: To configure your certificate authorities in Azure Active Directory, for each certificate authority, upload the following:

• открытую часть сертификата в формате CER ; The public portion of the certificate, in .cer format
• URL-адреса для Интернета, по которым находятся списки отзыва сертификатов (CRL). The internet-facing URLs where the Certificate Revocation Lists (CRLs) reside

Схема для центра сертификации выглядит следующим образом: The schema for a certificate authority looks as follows:

1. Запустите Windows PowerShell с правами администратора. Start Windows PowerShell with administrator privileges.
2. Установите модуль Azure AD версии 2.0.0.33 или более поздней. Install the Azure AD module version 2.0.0.33 or higher.

В качестве первого шага настройки необходимо установить подключение к клиенту. As a first configuration step, you need to establish a connection with your tenant. Когда будет установлено подключение к клиенту, вы сможете просмотреть, добавить, удалить или изменить доверенные центры сертификации, определенные в каталоге. As soon as a connection to your tenant exists, you can review, add, delete, and modify the trusted certificate authorities that are defined in your directory.

Подключение Connect

Чтобы установить подключение к клиенту, используйте командлет Connect-AzureAD: To establish a connection with your tenant, use the Connect-AzureAD cmdlet:

Получение Retrieve

Чтобы получить доверенные центры сертификации, определенные в каталоге, используйте командлет Get-AzureADTrustedCertificateAuthority: To retrieve the trusted certificate authorities that are defined in your directory, use the Get-AzureADTrustedCertificateAuthority cmdlet.

Добавить Add

Чтобы создать доверенный центр сертификации, используйте командлет New-AzureADTrustedCertificateAuthority и задайте правильное значение атрибута crlDistributionPoint. To create a trusted certificate authority, use the New-AzureADTrustedCertificateAuthority cmdlet and set the crlDistributionPoint attribute to a correct value:

Удалить Remove

Чтобы удалить доверенный центр сертификации, используйте командлет Remove-AzureADTrustedCertificateAuthority: To remove a trusted certificate authority, use the Remove-AzureADTrustedCertificateAuthority cmdlet:

Изменить Modify

Чтобы изменить доверенный центр сертификации, используйте командлет Set-AzureADTrustedCertificateAuthority: To modify a trusted certificate authority, use the Set-AzureADTrustedCertificateAuthority cmdlet:

Шаг 3. Настройка отзыва Step 3: Configure revocation

Чтобы отозвать сертификат клиента, Azure Active Directory извлекает список отзыва сертификатов (CRL) из URL-адресов, переданных вместе с информацией центра сертификации, и кэширует его. To revoke a client certificate, Azure Active Directory fetches the certificate revocation list (CRL) from the URLs uploaded as part of certificate authority information and caches it. Метка времени последней публикации (свойство Дата вступления в силу ) в списке отзыва сертификатов обеспечивает допустимость этого списка. The last publish timestamp (Effective Date property) in the CRL is used to ensure the CRL is still valid. Список отзыва сертификатов периодически опрашивается для отзыва доступа к сертификатам, которые числятся в этом списке. The CRL is periodically referenced to revoke access to certificates that are a part of the list.

Если требуется более быстрый отзыв (например, если пользователь потерял устройство), то маркер авторизации пользователя можно сделать недействительным. If a more instant revocation is required (for example, if a user loses a device), the authorization token of the user can be invalidated. Чтобы сделать маркер авторизации недействительным, с помощью Windows PowerShell определите поле StsRefreshTokenValidFrom для этого пользователя. To invalidate the authorization token, set the StsRefreshTokenValidFrom field for this particular user using Windows PowerShell. Поле StsRefreshTokenValidFrom необходимо обновить для каждого пользователя, доступ для которого будет отозван. You must update the StsRefreshTokenValidFrom field for each user you want to revoke access for.

Чтобы отзыв оставался в силе, для свойства Дата вступления в силу списка отзыва сертификатов необходимо указать дату, которая наступит после даты, заданной в поле StsRefreshTokenValidFrom, а также убедиться, что этот сертификат есть в списке отзыва сертификатов. To ensure that the revocation persists, you must set the Effective Date of the CRL to a date after the value set by StsRefreshTokenValidFrom and ensure the certificate in question is in the CRL.

Ниже описан процесс обновления и аннулирования маркера авторизации с помощью поля StsRefreshTokenValidFrom . The following steps outline the process for updating and invalidating the authorization token by setting the StsRefreshTokenValidFrom field.

Чтобы настроить отзыв сертификата, выполните следующие действия: To configure revocation:

1. Используя учетные данные администратора, подключитесь к службе MSOL: Connect with admin credentials to the MSOL service:

1. Получите текущее значение StsRefreshTokensValidFrom для пользователя: Retrieve the current StsRefreshTokensValidFrom value for a user:

1. Настройте новое значение StsRefreshTokensValidFrom для пользователя, равное текущей метке времени: Configure a new StsRefreshTokensValidFrom value for the user equal to the current timestamp:

Задаваемая дата должна быть в будущем. The date you set must be in the future. Если дата не в будущем, свойство StsRefreshTokensValidFrom не будет задано. If the date is not in the future, the StsRefreshTokensValidFrom property is not set. Если дата в будущем, для StsRefreshTokensValidFrom задается актуальное время (не дата, указанная командой Set-MsolUser). If the date is in the future, StsRefreshTokensValidFrom is set to the current time (not the date indicated by Set-MsolUser command).

Шаг 4. Тестирование конфигурации Step 4: Test your configuration

Тестирование сертификата Testing your certificate

В качестве первой проверки конфигурации попытайтесь войти в Outlook Web Access или SharePoint Online, используя браузер на устройстве. As a first configuration test, you should try to sign in to Outlook Web Access or SharePoint Online using your on-device browser.

Успешный вход подтверждает, что: If your sign-in is successful, then you know that:

• для тестируемого устройства подготовлен сертификат пользователя; The user certificate has been provisioned to your test device
• службы AD FS настроены правильно. AD FS is configured correctly

Тестирование мобильных приложений Office Testing Office mobile applications

Чтобы протестировать аутентификацию на основе сертификата в мобильном приложении Office, выполните следующие действия: To test certificate-based authentication on your mobile Office application:

1. На тестируемом устройстве установите мобильное приложение Office (например, OneDrive). On your test device, install an Office mobile application (for example, OneDrive).
2. Запустите приложение. Launch the application.
3. Введите свое имя пользователя, а затем выберите сертификат пользователя, который хотите использовать. Enter your username, and then select the user certificate you want to use.

Вы должны без проблем войти в систему. You should be successfully signed in.

Тестирование клиентских приложений Exchange ActiveSync Testing Exchange ActiveSync client applications

Для доступа к Exchange ActiveSync (EAS) с использованием аутентификации на основе сертификата приложению должен быть доступен профиль EAS, содержащий сертификат клиента. To access Exchange ActiveSync (EAS) via certificate-based authentication, an EAS profile containing the client certificate must be available to the application.

В профиле EAS должны содержаться следующие сведения: The EAS profile must contain the following information:

сертификат пользователя, который будет использоваться для аутентификации; The user certificate to be used for authentication

конечная точка EAS (например, outlook.office365.com). The EAS endpoint (for example, outlook.office365.com)

Профиль EAS можно настроить и поместить на устройство с помощью системы управления мобильными устройствами (MDM), такой как Intune, либо вручную поместить сертификат в профиль EAS на устройстве. An EAS profile can be configured and placed on the device through the utilization of Mobile device management (MDM) such as Intune or by manually placing the certificate in the EAS profile on the device.

Тестирование клиентских приложений EAS на Android Testing EAS client applications on Android

Чтобы протестировать аутентификацию на основе сертификата, выполните следующие действия: To test certificate authentication:

1. Настройте профиль EAS в приложении, удовлетворяющем требованиям, изложенным в предыдущем разделе. Configure an EAS profile in the application that satisfies the requirements in the prior section.
2. Откройте приложение и убедитесь, что почта синхронизируется. Open the application, and verify that mail is synchronizing.