A diagram showing how Foxpass Cloud PKI, MDM, and Microsoft Entra ID work together for certificate-based authentication.
Foxpass Cloud PKI issues Client Authentication certificates to devices via the organization’s MDM (such as Intune, Jamf, Iru/Kandji, or Addigy).
Devices present these certificates when signing into Microsoft Entra ID using CBA.
Entra validates the certificate chain, user mapping, and EKU before granting access to cloud apps.

如何使用 Foxpass Cloud PKI 配置 Microsoft Entra CBA

Foxpass Team

阅读时间：6分钟

已更新 June 9, 2026

立即使用 Foxpass

使用基于身份和证书的身份验证保护 Wi-Fi 网络安全

免费试用

介绍和背景

基于证书的身份验证（CBA）是保护对 Microsoft 365、Azure portal 及其他受 Entra 保护应用访问的最强方式之一。许多组织希望获得 CBA 的优势，例如具备抗网络钓鱼能力的身份验证、免密码以及强大的设备身份，但并不想运营证书颁发机构，也不想为 Microsoft Cloud PKI 额外付费。

Foxpass Cloud PKI 提供完全托管的私有 PKI，可跨所有设备平台运行，并可与 Entra ID 无缝集成，以极低开销实现 CBA。本指南将带您了解：

使用 Foxpass Cloud PKI 的 Entra CBA 架构
Foxpass Cloud PKI 如何签发 ClientAuth 证书
如何使用 MDM 部署证书
如何设置 Entra CBA
如何将同一证书用于 Wi-Fi/VPN 与 Foxpass Cloud RADIUS

按照本指南操作，很快就能使用 Foxpass 作为专用 PKI 完成可用的 CBA 部署。

Entra CBA 与 Foxpass Cloud PKI 的参考架构

一张图示，展示 Foxpass Cloud PKI、MDM 和 Microsoft Entra ID 如何协同实现基于证书的身份验证。Foxpass Cloud PKI 通过组织的 MDM（例如 Intune、Jamf、Iru/Kandji 或 Addigy）向设备签发客户端身份验证证书。设备在使用 CBA 登录 Microsoft Entra ID 时会出示这些证书。Entra 在授予对云应用的访问权限之前，会先验证证书链、用户映射和 EKU。

前提条件和要求

Foxpass 要求清单

已启用 Foxpass Cloud PKI
客户端 CA 已创建并导出
SCEP 端点已创建
MDM 集成和/或 BYOD 安装程序

Microsoft Entra 要求清单

Entra ID 租户
已启用基于证书的身份验证
已上传来自 Foxpass 的客户端 CA
已定义 SAN（UPN/电子邮件）映射

MDM 需求检查清单

SCEP 配置文件功能

分步配置指南

1. 在 Foxpass 中验证或创建您的客户端 CA

Foxpass Cloud PKI 需要一个 Client CA（签发证书颁发机构）来为 Microsoft Entra CBA 和 EAP-TLS Wi-Fi/VPN 使用的设备证书签名。

登录 Foxpass Console，然后前往 RADIUS → EAP-TLS
如果尚不存在 Client CA，请立即创建一个：
1. 在“Client Certificate Authorities”下，点击“Create new Client CA”
2. 如有需要，可编辑 CA 名称、CA 有效期和证书有效期，然后点击 "Create CA"

3. 在“Client Certificate Authorities”下，点击“Download CA”以保存供稍后使用

创建客户端 CA 后，Foxpass 会自动签发客户端身份验证（ClientAuth）EKU 证书、具有正确密钥用法扩展的证书，以及 SAN/Subject 值来自 MDM 注册的证书。

2. 确保存在 Foxpass SCEP 端点

所有受支持的 MDM 都使用 SCEP 向 Foxpass 申请和续订证书。

前往 Foxpass Console → RADIUS → SCEP
如果已显示 SCEP 服务器 URL（唯一端点），请继续执行步骤 4
点击“Create SCEP Endpoint”，然后指定名称、验证类型、身份验证类型，并从前面的步骤 1 中选择客户端 CA
请记下 "Unique Endpoint" 和 "Challenge Password"，稍后会用到

3. 通过您的 MDM 或 Foxpass BYOD 证书安装程序部署证书

在 Client CA 和 SCEP 终端节点就位后，MDM 即可为 Entra CBA 签发设备证书。

Foxpass 支持具备 SCEP 功能的 MDM（Microsoft Intune、Jamf、Iru (Kandji)、Addigy 等），以及 Foxpass BYOD 证书安装程序（基于 OAuth 的注册）。

MDM 会决定 Subject/SAN（UPN 或电子邮件）、续订行为以及密钥生成。Foxpass 对证书进行签名并处理吊销。

选项 A：Microsoft Intune

步骤 A1：创建 SCEP 证书配置文件

前往 Intune 管理中心
导航至设备 → 配置文件 → 创建配置文件
选择平台（Windows、iOS/iPadOS、macOS、Android）
配置文件类型：SCEP 证书
设置以下关键选项：

设置	值
SCEP 服务器 URL	Foxpass SCEP“唯一端点”
主题名称格式	{{UserPrincipalName}} 或 {{EmailAddress}}
密钥大小	2048 或 4096
密钥使用	数字签名，密钥加密
EKU	客户端身份验证
哈希算法	SHA-256
续订阈值	建议为 20–30%

步骤 A2：配置 SCEP 身份验证

身份验证类型 → 共享密钥
密钥 → Foxpass SCEP "质询密码"（来自 Foxpass Console）

步骤 A3：分配并验证

将配置文件分配给用户/设备组并验证：

由 Foxpass Client CA 签发的证书
SAN/主题与 UPN 或电子邮件匹配
EKU = 客户端身份验证

选项 B：Jamf / Iru (Kandji) / Addigy / Workspace ONE / Mosyle

Entra CBA 无需 Intune 即可进行证书预配。这意味着，即使在不由 Intune 管理的环境中，也可以使用 Entra CBA，包括混合 Apple 设备群、跨平台部署、教育环境、承包商/BYOD 设备，以及使用非 Microsoft MDM 的组织。

这些 MDM 与 Intune 遵循相同的底层逻辑，使用 SCEP 在设备上生成密钥，并向 Foxpass 请求证书。可在此查看各项的完整说明：

选项 C：BYOD 设备

使用 Foxpass BYOD 证书安装程序，并完成以下步骤：

用户使用 Microsoft Entra ID 的 OAuth 登录（注意：BYOD 安装程序的 Google 登录不能用于 Microsoft Entra CBA。CBA 需要映射到 Entra 身份的证书。)
Foxpass 签发 ClientAuth 证书
证书在本地安装（无需 MDM）

这非常适合承包商、学生设备（EDU）或非受管端点。

4. 将 Foxpass Client CA 上传到 Microsoft Entra

要使用此方法，Microsoft Entra 必须信任您的颁发 CA。

步骤 1：下载客户端 CA 证书

前往 Foxpass Console → RADIUS → EAP-TLS
下载客户端 CA 证书

第 2 步：将客户端 CA 上传到 Entra

前往 Entra Admin Center → Protection → 基于证书的身份验证 → 证书颁发机构
上传 Foxpass Client CA 证书

5. 配置 Microsoft Entra 基于证书的身份验证

在 Entra 管理中心中：

启用基于证书的身份验证
选择映射规则：
1. SAN → UPN（推荐）
2. SAN → 电子邮件
必需的 EKU → 客户端身份验证
可选：按发行者或证书策略限制

有关高级映射规则、EKU 要求、发行者约束以及 Entra CBA 配置的完整演练，请参阅 Microsoft Learn：
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication

6. 应用条件访问策略

创建条件访问策略：

用户：先从测试组开始
应用：Microsoft 365 或所有云应用
授予：要求基于证书的身份验证

可选增强功能：

阻止基于密码的登录
要求使用合规设备或已加入域的设备
添加 MFA 备用方式

7. 测试基于证书的身份验证

在装有 Foxpass 颁发证书的设备上：

访问 https://portal.office.com
输入用户名
浏览器提示输入证书
选择由 Foxpass 签发的证书
无需密码即可成功完成身份验证

如果使用证书进行身份验证时遇到任何问题，请确认发行者为 Foxpass Client CA，且 SAN/主题与 UPN/电子邮件匹配。

（可选）为 Wi‑Fi/VPN（EAP-TLS）使用相同的 Foxpass 证书

使用 Foxpass Cloud PKI 的一大优势是，为 Microsoft Entra CBA 签发的同一设备证书，也可通过 EAP-TLS 和 Foxpass Cloud RADIUS 用于安全的 Wi-Fi 或 VPN 访问。

借助 EAP-TLS，组织可以：

实施零信任网络访问
消除 Wi-Fi 和 VPN 密码
确保只有具有有效 Foxpass 颁发证书的设备才能加入
应用 VLAN 分配、设备信任规则或基于身份的策略
在 Entra CBA 云身份验证和网络访问中共享同一证书生命周期

结论

将 Foxpass Cloud PKI 与 Microsoft Entra CBA 和您的 MDM 搭配使用，可获得：

完全托管的私有 PKI
跨平台证书签发
自动化证书生命周期管理
用于 SaaS 访问和Wi-Fi/VPN 的统一证书身份（可选）
与 Intune、Jamf、Iru (Kandji)、Addigy 和 BYOD 无缝集成

此设置提供一种现代化的无密码、基于证书的方法，无需运行自己的 CA，即可同时保护身份和网络访问。

立即开始使用Foxpass吧！

开始免费试用，看看Foxpass如何自动化并保护您的Wi-Fi网络

免费试用

Foxpass Team

Foxpass 团队成员包括经验丰富的工程师、网络安全专家以及身份和访问管理领域的思想领袖。凭借在 Foxpass 尖端解决方案的开发和改进方面的多年实践经验，Foxpass 团队对现代网络安全的挑战和要求有着广泛而深入的理解。Foxpass 团队撰写的文章无一不体现了集体知识和专业技能，推动着我们持续为客户提供强大且可扩展的安全性。