Authentification basée sur les certificats avec Office 365

Secure Mail prend en charge l’authentification basée sur les certificats (également appelée authentification basée sur le client) avec Office 365. Les utilisateurs Secure Mail équipés d’appareils iOS et Android peuvent bénéficier de l’authentification basée sur les certificats pour se connecter à Office 365. Lorsqu’ils se connectent à Secure Mail, les utilisateurs s’authentifient à l’aide d’un certificat client, au lieu de taper leurs informations d’identification. Cet article explique comment configurer l’authentification basée sur les certificats pour Office 365.

La prise en charge de l’authentification basée sur les certificats dans Secure Mail existe pour les configurations d’Exchange sur site. Si vous aviez déjà configuré l’authentification basée sur les certificats dans Endpoint Management, vous configurez maintenant Exchange Online, Azure Active Directory et Active Directory Federation Services (ADFS) sur Windows Server. Les utilisateurs avec les versions 10 et ultérieures de Secure Mail peuvent alors tirer parti de l’authentification basée sur les certificats pour se connecter à leurs comptes Office 365.

Si vous n’avez pas configuré l’authentification basée sur les certificats, vous devez d’abord activer la fonctionnalité dans la console Endpoint Management, Pour de plus amples informations, consultez Authentification certificat client ou certificat + domaine. Vous activez ensuite l’authentification basée sur les certificats pour Exchange Online, Azure (AD) et ADFS sur Windows Server.

Les procédures décrites dans cet article supposent que vous avez activé l’authentification basée sur les certificats dans Endpoint Management.

La figure suivante montre comment les composants impliqués dans l’authentification basée sur les certificats s’intègrent.

Image des composants d'authentification basés sur certificat

Conditions préalables

  • Une copie du certificat (X.509) généré à partir de l’autorité de certification (CA) lors de la configuration des entités PKI dans la console Endpoint Management.
  • L’autorité de certification doit avoir une liste de révocation de certificats (CRL) qui peut être référencée via une URL.
  • Dans le champ Autre nom de l’objet du certificat, incluez l’adresse e-mail de l’utilisateur dans la valeur Nom RFC822 ou Nom Principal. Par exemple, consultez la figure suivante.

Image du champ Autre nom de l'objet du certificat

Les étapes suivantes vous indiquent comment configurer l’authentification basée sur les certificats pour Exchange Online, Azure AD et ADFS sur Windows Server.

Cet article récapitule les instructions de configuration de Microsoft. Si vous rencontrez des problèmes avec les étapes de configuration des composants Microsoft, nous vous recommandons de consulter la documentation Microsoft pour plus d’informations.

Pour activer Exchange Online

Microsoft Exchange Online utilise les fonctionnalités d’authentification moderne du locataire Office 365. Ces fonctionnalités activent des fonctionnalités d’authentification telles que l’authentification multifacteur (AMF) à l’aide de cartes à puce, de l’authentification basée sur les certificats et de fournisseurs d’identité tiers SAML. Par défaut, l’authentification moderne n’est pas activée dans Exchange Online. Pour activer l’authentification moderne, procédez comme suit

  1. Connectez-vous à Exchange Online PowerShell. Pour plus d’informations, veuillez consulter la documentation Microsoft.
  2. Exécutez la commande suivante.

    Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

  3. Pour vérifier que la modification a réussi, exécutez la commande suivante.

    `Get-OrganizationConfig | Format-Table -Auto Name,OAuth*`

Pour configurer Azure AD

Exchange Online envoie une commande prompt=login à Azure AD dans une requête. Par défaut, Azure AD traduit cette commande dans la requête à ADFS en tant que wauth=usernamepassworduri.

Par défaut, Azure AD invite ADFS à effectuer une authentification U/P (nom d’utilisateur/mot de passe). Azure AD envoie également la commande 'wfresh=0' qui invite Azure AD à ignorer l’état de l’authentification unique (SSO) et à effectuer une nouvelle authentification.

  1. Modifiez le comportement Azure AD par défaut Set PromptLoginBehavior.

    • Connectez-vous à Office 365 PowerShell. Pour plus d’informations, veuillez consulter la documentation Microsoft.
    • Exécutez la commande suivante dans Office 365 PowerShell.

      Remarque :

      Le domaine est le même que le domaine du serveur de messagerie.

    Set-MSOLDomainFederationSettings -domainname <domain> -PromptLoginBehavior Disabled

  2. Configurez les autorités de certification dans Azure AD. Chargez la partie publique du certificat racine, comme indiqué dans la liste précédente d’exigences.

    • Connectez-vous à Azure AD PowerShell. Pour plus d’informations, veuillez consulter la documentation Microsoft.
    • Exécutez l’ensemble suivant de commandes dans Azure AD PowerShell. Le fichier .cer est disponible localement sur l’ordinateur.

    $cert=Get-Content -Encoding byte "[LOCATION OF THE CER FILE]" $new_ca=New-Object -TypeName Microsoft.Open.AzureAD.Model.CertificateAuthorityInformation $new_ca.AuthorityType=0 $new_ca.TrustedCertificate=$cert New-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $new_ca

  3. Configurez la révocation dans Azure AD.

    Pour révoquer un certificat client, Azure AD récupère et met en cache la liste de révocation des certificats (CRL) à partir des URL, qui ont été chargées dans le cadre des informations sur l’autorité de certification. Le dernier horodatage de publication (Effective Dateproperty) dans la liste CRL est utilisé pour garantir que la liste CRL est toujours valide. La liste de révocation est régulièrement référencée pour révoquer l’accès des certificats qui font partie de la liste. Pour garantir que la révocation persiste, vous devez définir la date d’effet de la liste CRL à une date postérieure à la valeur définie par StsRefreshTokenValidFrom.

    Assurez-vous également que le certificat en question figure dans la liste de révocation. Les étapes suivantes décrivent comment mettre à jour et invalider le jeton d’autorisation en définissant le champ StsRefreshTokenValidFrom.

    • Connectez-vous au service MSOL. Pour plus d’informations, veuillez consulter la documentation Microsoft.
    • Récupérez la valeur de StsRefreshTokensValidFrom pour un utilisateur valide en exécutant les commandes suivantes.

      $user = Get-MsolUser -UserPrincipalName test@yourdomain.com $user.StsRefreshTokensValidFrom

    • Configurez une nouvelle valeur StsRefreshTokensValidFrom pour l’utilisateur qui soit égale à l’horodatage actuel en exécutant la commande suivante.

      Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/15/2017")

La date spécifiée doit être dans le futur. Si la date n’est pas dans le futur, la propriété StsRefreshTokensValidFrom n’est pas définie. Si la date est dans le futur, StsRefreshTokensValidFrom est définie sur l’heure actuelle (et non la date indiquée par la commande Set-MsolUser).

Pour configurer ADFS

Vous effectuez deux étapes principales pour configurer ADFS.

  • Activez les certificats comme méthode d’authentification.
  • Configurer des revendications dans un jeton ADFS.
  1. Activez les certificats comme méthode d’authentification.

    • Ouvrez la console de gestion d’ADFS et accédez à Service > Méthodes d’authentification > Editer les méthodes d’authentification principale.

      Image de l'écran Méthodes d'authentification

    • Sous Extranet, sélectionnez la case Authentification par certificat.

    • Sous Intranet, sélectionnez éventuellement la case Authentification par certificat.

    La plupart de vos appareils qui utilisent l’authentification par certificat sont susceptibles de provenir exclusivement de l’extranet. C’est pour cette raison que la sélection de l’intranet est facultative.

    Image des options Extranet

  2. Configurez des revendications dans le jeton ADFS.

    Azure AD envoie l’émetteur et le numéro de série à ADFS afin qu’ADFS puisse révoquer ou refuser l’authentification dans des scénarios d’accès différents. Si un appareil est perdu ou volé, par exemple, l’administrateur peut mettre à jour la liste de révocation. Azure AD révoque ensuite l’accès à l’aide de l’authentification par certificat. Pour configurer des revendications, procédez comme suit.

    • Accédez à Service > Descriptions des revendications > Ajouter une description de revendication.

      Image de l'écran Ajouter une description de revendication

    • Dans l’approbation de fournisseur de revendications Active Directory, ajoutez les deux règles suivantes. Ces règles indiquent à ADFS d’autoriser un utilisateur Active Directory à s’authentifier en SSO.

      Serial Number of the Client Certificate - http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>

      Issuer of the client certificate - http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>

Les figures suivantes sont des exemples de champs remplis.

Image des propriétés du numéro de série

Image des propriétés de l'émetteur

Authentification basée sur les certificats avec Office 365