Microsoft Entra CBA configureren met Foxpass Cloud PKI

Introductie & achtergrond

Certificaatgebaseerde verificatie (CBA) is een van de sterkste manieren om toegang tot Microsoft 365, Azure portal en andere door Entra beveiligde applicaties te beschermen. Veel organisaties willen profiteren van de voordelen van CBA, zoals phishingbestendige authenticatie, het afschaffen van wachtwoorden en een sterke apparaatidentiteit, maar willen geen certificaatautoriteit beheren of extra betalen voor Microsoft Cloud PKI.

Foxpass Cloud PKI biedt een volledig beheerde private PKI die werkt op alle apparaatplatforms en naadloos integreert met Entra ID om CBA mogelijk te maken met minimale overhead. Deze gids geeft je een overzicht van:

• De architectuur voor Entra CBA met Foxpass Cloud PKI

• Hoe Foxpass Cloud PKI ClientAuth-certificaten uitgeeft

• Hoe je certificaten implementeert met je MDM

• Zo stel je Entra CBA in

• Hoe je hetzelfde certificaat voor Wi-Fi/VPN gebruikt met Foxpass Cloud RADIUS

Volg deze handleiding en je hebt al snel een werkende CBA-implementatie waarbij Foxpass als je privé-PKI wordt gebruikt.

Referentiearchitectuur voor Entra CBA met Foxpass Cloud PKI

Een diagram dat laat zien hoe Foxpass Cloud PKI, MDM en Microsoft Entra ID samenwerken voor certificaatgebaseerde authenticatie.
Foxpass Cloud PKI geeft clientauthenticatiecertificaten uit aan apparaten via de MDM van de organisatie (zoals Intune, Jamf, Iru/Kandji of Addigy). Apparaten presenteren deze certificaten wanneer ze zich aanmelden bij Microsoft Entra ID met CBA. Entra valideert de certificaatketen, gebruikerstoewijzing en EKU voordat toegang tot cloudapps wordt verleend.

Vereisten en voorwaarden

Foxpass-vereistenchecklist

• Foxpass Cloud PKI ingeschakeld

• Client-CA gemaakt en geëxporteerd

• SCEP-eindpunt aangemaakt

• MDM-integratie en/of BYOD-installatieprogramma

Checklist met vereisten voor Microsoft Entra

• Entra ID-tenant

• Certificaatgebaseerde authenticatie ingeschakeld

• Client-CA van Foxpass geüpload

• SAN (UPN/e-mail) toewijzing gedefinieerd

Checklist met MDM-vereisten

• Mogelijkheid voor SCEP-profiel

Stapsgewijze configuratiehandleiding

1. Verifieer of maak je Client CA in Foxpass aan

Foxpass Cloud PKI vereist een Client CA (uitgevende certificeringsinstantie) om apparaatcertificaten te ondertekenen die worden gebruikt voor Microsoft Entra CBA en EAP-TLS Wi‑Fi/VPN.

1. Log in op de Foxpass Console en ga naar RADIUS → EAP-TLS

2. Als er nog geen client-CA bestaat, maak er dan nu een aan:

   1. Klik onder "Client Certificate Authorities," op "Create new Client CA"

   2. Bewerk indien gewenst de CA-naam, de geldigheid van de CA en de geldigheidsperiode van het certificaat en klik vervolgens op "Create CA"

3. Klik onder "Client Certificate Authorities" op "Download CA" om het bestand op te slaan voor later

Zodra de client-CA is aangemaakt, geeft Foxpass automatisch clientverificatiecertificaten (ClientAuth) EKU-certificaten uit, certificaten met de juiste Key Usage-extensies en SAN-/Subject-waarden die afkomstig zijn uit je MDM-inschrijving.

2. Zorg ervoor dat er een Foxpass SCEP-eindpunt bestaat

Alle ondersteunde MDM's gebruiken SCEP om certificaten van Foxpass aan te vragen en te vernieuwen.

1. Ga naar Foxpass Console → RADIUS → SCEP

2. Als er al een SCEP Server URL (Unique Endpoint) wordt weergegeven, ga dan door naar stap 4

3. Klik op "Create SCEP Endpoint" en geef vervolgens een naam, verificatietype en authenticatietype op, en selecteer de Client CA uit stap 1 hierboven

4. Noteer de "Unique Endpoint" en het "Challenge Password" voor later

3. Implementeer certificaten via je MDM of Foxpass BYOD Certificate Installer

Zodra de Client CA en het SCEP-endpoint zijn ingesteld, kan je MDM apparaatcertificaten uitgeven voor Entra CBA.

Foxpass ondersteunt SCEP-compatibele MDM's (Microsoft Intune, Jamf, Iru (Kandji), Addigy en meer), evenals de Foxpass BYOD Certificate Installer (OAuth-gebaseerde inschrijving).

Je MDM bepaalt het Subject/SAN (UPN of e-mail), het vernieuwingsgedrag en de sleutelgeneratie. Foxpass ondertekent het certificaat en verzorgt de intrekking.

Optie A: Microsoft Intune

Stap A1: maak een SCEP-certificaatprofiel

1. Ga naar Intune Admin Center

2. Ga naar Devices → Configuration profiles → Profiel aanmaken

3. Kies platform (Windows, iOS/iPadOS, macOS, Android)

4. Profieltype: SCEP-certificaat

5. Stel de volgende belangrijke instellingen in:

Stap A2: SCEP-authenticatie configureren

• Authenticatietype → Gedeeld geheim

• Geheim → Foxpass SCEP "Challenge Password" (uit de Foxpass Console)

Stap A3: Toewijzen & valideren

Wijs een profiel toe aan gebruikers-/apparaatgroepen en verifieer:

• Certificaat uitgegeven door Foxpass Client CA

• SAN/onderwerp komt overeen met UPN of e-mail

• EKU = Clientverificatie

Optie B: Jamf / Iru (Kandji) / Addigy / Workspace ONE / Mosyle

Entra CBA vereist geen Intune voor certificaatvoorziening. Dit betekent dat je Entra CBA zelfs kunt gebruiken in omgevingen die niet door Intune worden beheerd, waaronder gemengde Apple-omgevingen, platformonafhankelijke implementaties, EDU-omgevingen, apparaten van contractors/BYOD en organisaties die niet-Microsoft-MDM's gebruiken.

Deze MDM's volgen dezelfde onderliggende logica als Intune en gebruiken SCEP om sleutels op het apparaat te genereren en certificaten aan te vragen bij Foxpass. Hier vind je de volledige instructies voor elk:

• Jamf Pro SCEP-configuratie

• Jamf School SCEP-configuratie

• Iru (Kandji) SCEP-configuratie

• Addigy SCEP-configuratie

• Workspace ONE SCEP-configuratie

• Mosyle SCEP-configuratie

Optie C: BYOD-apparaten

Gebruik het Foxpass BYOD Certificate Installer en voltooi de volgende stappen:

• De gebruiker meldt zich aan met OAuth via Microsoft Entra ID (Opmerking: de Google-aanmelding van het BYOD-installatieprogramma kan niet worden gebruikt voor Microsoft Entra CBA. CBA vereist certificaten die zijn gekoppeld aan Entra-identiteiten.)

• Foxpass geeft een ClientAuth-certificaat uit

• Certificaat wordt lokaal geïnstalleerd (geen MDM vereist)

Dit is ideaal voor aannemers, apparaten van studenten (EDU) of onbeheerde endpoints.

4. Upload de Foxpass Client CA naar Microsoft Entra

Om deze methode te gebruiken, moet Microsoft Entra uw uitgevende CA vertrouwen.

Stap 1: Download het Client CA-certificaat

• Ga naar Foxpass Console → RADIUS → EAP-TLS

• Download het Client CA-certificaat

Stap 2: Upload de Client CA naar Entra

• Ga naar Entra Admin Center → Protection → Certificate-Based Authentication → Certificate Authorities

• Upload het Foxpass Client CA-certificaat

5. Microsoft Entra-certificaatverificatie configureren

In Entra Admin Center:

1. Certificaatgebaseerde authenticatie inschakelen

2. Kies toewijzingsregels:

   1. SAN → UPN (aanbevolen)

   2. SAN → e-mail

3. Vereiste EKU → Client Authentication

4. Optioneel: Beperk op issuer of certificaatbeleid

Raadpleeg Microsoft Learn voor geavanceerde toewijzingsregels, EKU-vereisten, issuer-beperkingen en een volledige walkthrough van de Entra CBA-configuratie:
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication

6. Pas beleid voor voorwaardelijke toegang toe

Maak een beleid voor voorwaardelijke toegang:

• Gebruikers: begin met een testgroep

• Apps: Microsoft 365 of alle cloud-apps

• Toestaan: certificaatgebaseerde authenticatie vereisen

Optionele uitbreidingen:

• Blokkeer aanmelding met wachtwoord

• Vereis conforme apparaten of apparaten die lid zijn van het domein

• MFA-terugval toevoegen

7. Test certificaatgebaseerde authenticatie

Op een apparaat met een door Foxpass uitgegeven certificaat:

1. Ga naar https://portal.office.com

2. Voer je gebruikersnaam in

3. De browser vraagt om een certificaat

4. Selecteer het door Foxpass uitgegeven certificaat

5. Authenticatie slaagt zonder wachtwoord

Als je problemen ondervindt bij het authenticeren met een certificaat, controleer dan of de Issuer Foxpass Client CA is en of de SAN/Subject overeenkomt met de UPN/e-mail.

(Optioneel) Gebruik hetzelfde Foxpass-certificaat voor Wi-Fi/VPN (EAP-TLS)

Een voordeel van het gebruik van Foxpass Cloud PKI is dat hetzelfde apparaatcertificaat dat is uitgegeven voor Microsoft Entra CBA ook kan worden gebruikt voor veilige Wi-Fi- of VPN-toegang via EAP-TLS met Foxpass Cloud RADIUS.

Met EAP-TLS kunnen organisaties:

• Dwing Zero-Trust-netwerktoegang af

• Elimineer wachtwoorden voor Wi-Fi en VPN

• Zorg ervoor dat alleen apparaten met een geldig, door Foxpass uitgegeven certificaat verbinding mogen maken

• Pas VLAN-toewijzing, apparaatvertrouwensregels of identiteitsgebaseerde beleidsregels toe

• Deel dezelfde certificaatlevenscyclus voor Entra CBA-cloudauthenticatie en netwerktoegang

结论

Door Foxpass Cloud PKI te gebruiken met Microsoft Entra CBA en je MDM krijg je:

• Een volledig beheerde private PKI

• Uitgifte van certificaten voor meerdere platforms

• Geautomatiseerd certificaatlevenscyclusbeheer

• Uniforme certificaatidentiteit voor SaaS-toegang en Wi-Fi/VPN (optioneel)

• Naadloze integratie met Intune, Jamf, Iru (Kandji), Addigy en BYOD

Deze opzet biedt een moderne, wachtwoordloze, certificaatgebaseerde aanpak om zowel identiteit als netwerktoegang te beveiligen zonder je eigen CA te beheren.