Autenticação baseada em certificado com o Office 365

O Secure Mail dá suporte a autenticação baseada em certificado (também conhecido como autenticação baseada em cliente) com o Office 365. Usuários do Secure Mail com dispositivos iOS e Android podem aproveitar a autenticação baseada em certificado ao conectar-se com o Office 365. Quando eles fazem login no Secure Mail, os usuários se autenticam usando um certificado de cliente, em vez de digitar suas credenciais. Este artigo descreve como configurar a autenticação baseada em certificado para o Office 365.

O suporte para a autenticação baseada em certificado no Secure Mail não existe para as configurações do Exchange no local. Se você já tiver definido a autenticação baseada em certificado no Endpoint Management, agora pode configurar Exchange Online, Azure Active Directory e Active Directory Federation Services (ADFS) no Windows Server. Em seguida, os usuários com a versão 10 e posteriores do Secure Mail podem aproveitar a autenticação baseada em certificado para se conectar às suas contas do Office 365.

Se você não tiver configurado a autenticação baseada em certificado, você deve primeiro ativar o recurso no console Endpoint Management. Para mais detalhes, consulte Autenticação de certificado cliente ou certificado e domínio. Em seguida, você deve ativar o certificado de autenticação para o Exchange online, Azure (AD) e ADFS no Windows Server.

Os procedimentos neste artigo pressupõem que você tenha ativado a autenticação baseada em certificado no Endpoint Management.

A figura a seguir mostra como se integram os componentes envolvidos na autenticação baseada em certificado.

Imagem de componentes de autenticação baseados em certificado

Pré-requisitos

  • Uma cópia do certificado (x.509) gerada a partir da autoridade de certificação (CA) quando você configurou as Entidades de PKI no console Endpoint Management.
  • A autoridade de certificação deve ter uma lista de certificados revogados (CRL) que pode ser referenciada por meio de uma URL.
  • No campo Nome alternativo da entidade, inclua o endereço de email do usuário em Nome RFC822 ou o valor de Nome Principal. Por exemplo, consulte a figura a seguir.

Imagem do campo de nome alternativo da entidade do certificado

Os passos seguintes mostram como você deve configurar a autenticação baseada em certificado para o Exchange online, Azure AD e ADFS no Windows Server.

Este artigo resume as diretrizes de configuração da Microsoft. Se você tiver problemas com as etapas para configurar os componentes da Microsoft, recomendamos que você consulte a documentação da Microsoft para obter mais informações.

Para ativar o Exchange Online

O Microsoft Exchange Online usa recursos modernos de autenticação do locatário do Office 365. Esses recursos permitem que os recursos de autenticação como a autenticação multifator (MFA) por meio de cartões inteligentes, autenticação baseada em certificado e provedores de identidade SAML de terceiros. Por padrão, autenticação moderna não está ativada no Exchange Online. Para ativar a autenticação moderna, faça o seguinte:

  1. Conecte-se ao Exchange PowerShell on-line. Para obter detalhes, consulte a documentação da Microsoft.
  2. Digite o seguinte comando.

    Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

  3. Para verificar se a alteração foi bem-sucedida, execute o seguinte comando.

    `Get-OrganizationConfig | Format-Table -Auto Name,OAuth*`

Para configurar o Azure AD

O Exchange Online envia um comando prompt=login para o Azure AD em uma solicitação. Por padrão, o Azure AD converte este comando na solicitação para ADFS como wauth=usernamepassworduri.

Por padrão, o Azure AD solicita ADFS para fazer a autenticação U/P. O Azure AD também envia o comando 'wfresh=0', que avisa ao Azure AD para ignorar o estado de logon único (SSO) e fazer uma nova autenticação.

  1. Altere o comportamento do padrão Azure AD de Set PromptLoginBehavior.

    • Conecte-se ao PowerShell do Office 365. Para obter detalhes, consulte a documentação da Microsoft.
    • Execute o seguinte comando no Office 365 PowerShell.

      Nota:

      O domínio é o mesmo que o domínio do servidor de email.

    Set-MSOLDomainFederationSettings -domainname <domain> -PromptLoginBehavior Disabled

  2. Configure as autoridades de certificação no Azure AD. Carregue a parte pública do certificado raiz, conforme discutido na lista anterior de pré-requisitos.

    • Conecte-se ao PowerShell do Azure AD. Para obter detalhes, consulte a documentação da Microsoft.
    • Execute o seguinte conjunto de comandos no Azure AD PowerShell. O arquivo. cer está disponível localmente no computador.

    $cert=Get-Content -Encoding byte "[LOCATION OF THE CER FILE]" $new_ca=New-Object -TypeName Microsoft.Open.AzureAD.Model.CertificateAuthorityInformation $new_ca.AuthorityType=0 $new_ca.TrustedCertificate=$cert New-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $new_ca

  3. Configure a revogação no Azure AD.

    Para revogar um certificado de cliente, o Azure AD busca e armazena em cache a lista de certificados revogados (CRL) das URLs que foram carregados como parte das informações da autoridade de certificação. O último carimbo de data/hora de publicação (Effective Dateproperty) na CRL é usado para garantir que a CRL ainda é válida. A CRL é referenciada periodicamente para revogar o acesso aos certificados que fazem parte da lista. Para garantir que a revogação continue, você deve definir a Data efetiva da CRL como uma data após o valor definido por StsRefreshTokenValidFrom.

    Verifique também se o certificado em questão está na CRL. As etapas a seguir descrevem o processo para atualizar e invalidar o token de autorização definindo o campo StsRefreshTokenValidFrom.

    • Conecte-se ao serviço de MSOL. Para obter detalhes, consulte a documentação da Microsoft.
    • Recupere o valor atual de StsRefreshTokensValidFrom para um usuário válido executando os comandos a seguir.

      $user = Get-MsolUser -UserPrincipalName test@yourdomain.com $user.StsRefreshTokensValidFrom

    • Configure um novo valor de StsRefreshTokensValidFrom para o usuário igual ao carimbo de data/hora atual executando o seguinte comando.

      Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/15/2017")

A data que você definir deve estar no futuro. Se a data não estiver no futuro, a propriedade StsRefreshTokensValidFrom não será definida. Se a data estiver no futuro, StsRefreshTokensValidFrom será definida como a hora atual (não a data indicada pelo comando Set-MsolUser).

Para configurar o ADFS

Você deve concluir duas etapas principais para configurar o ADFS.

  • Ative certificados como um método de autenticação.
  • Configure solicitações em um token ADFS.
  1. Ative certificados como um método de autenticação.

    • Abra o console de gerenciamento do ADFS e, em seguida, navegue até Service > Authentication Methods > Edit Primary Authentication Methods.

      Imagem da tela de métodos de autenticação

    • Em Extranet, marque a caixa de seleção Certificate Authentication.

    • Em Intranet, opcionalmente marque a caixa de seleção Certificate Authentication.

    A maioria dos dispositivos que usa autenticação de certificado provavelmente vêm apenas da extranet. Por isso, a seleção de Intranet é opcional.

    Imagem das opções de Extranet

  2. Configure reivindicações no token ADFS.

    O Azure AD envia o emissor e o número de série para o ADFS para que o ADFS possa revogar ou negar autenticação em cenários de acesso diferentes. Se um dispositivo for perdido ou roubado, por exemplo, o administrador pode atualizar a CRL. Em seguida, o Azure AD revoga o acesso usando a autenticação de certificado. Para configurar solicitações, faça o seguinte.

    • Navegue até Service > Claim Descriptions > Add Claim Description.

      Imagem da tela de adição da descrição de reivindicação

    • No Active Directory Claims Provider trust, adicione as duas regras a seguir. Essas regras indicam ao ADFS para permitir que um usuário do Active Directory passe ao autenticar.

      Serial Number of the Client Certificate - http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>

      Issuer of the client certificate - http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>

As figuras a seguir são exemplos dos campos preenchidos.

Imagem das propriedades do número de série

Imagem das propriedades do emissor

Autenticação baseada em certificado com o Office 365