Blog

Vigtig opdatering for alle der benytter certifikater til Single Sign-on

Bruger I certificate based authentication (CBA), fx til validering af intranet, fil/print-servere? Så skal du læse videre! Fra 10. september 2025 vil alle autentificeringsforsøg der bruger certifikater uden en korrekt user security identifier (SID) blive afvist af Domain Controllers. Det betyder, at Wi-Fi, VPN, login og adgang til intranet-ressourcer via Kerberos SSO vil fejle.

Indledning
Bruger I certificate based authentication (CBA), fx til validering af intranet, fil/print-servere? Så skal du læse videre!

Som vi skrev om i januar, har Microsoft arbejdet på en række initiativer der skal gøre brugen af certifikater via Active Directory Kerberos Key Distribution (KDC) endnu mere sikker. Et af initiativer er, at klient-certifikater skal have en user security identifier (SID) tilknyttet. Ændring kaldes også for “strong mapping” og den træder i kraft med Microsofts Windows-opdatering efter 10. september 2025.

Certifikater der ikke indeholder et SID vil ikke længere kunne valideres. Brugere med gamle certifikater mister adgang til Wi-Fi, VPN og intranet-ressourcer via Kerberos SSO.

I dette blog-indlæg beskriver vi, hvordan du kan se, om jeres løsning er klar til 10. september 2025. Vi gennemgår også, hvordan opdateringen kan implementeres i hhv. Intune, Jamf, MobileIron og Workspace ONE.

Husk, at det kan tage lang tid at opdatere alle klientcertifikater. Vi opfordrer til, at I går i gang med at opdatere jeres systemer nu. Arbejdet involverer sandsynligvis flere afdelinger:

1. Netværk & sikkerhed
2. Active Directory/Identity team
3. Endpoint/Client management

Hvis I har spørgsmål eller I har brug for hjælp, er I altid velkomne til at skrive til os på [email protected].

Sådan undersøger du, om I bliver ramt af problemet 

1. Log ind på din domænecontroller med administratorrettigheder. 
2. Hvis ”System” event-loggen indeholder ID 39, 41, 40, 48 eller 49, så vil du blive ramt af problemet med strong mapping. 

Hvad sker der, hvis I ikke er klar? 

Fra 10. september 2025 vil alle autentificeringsforsøg der bruger certifikater uden korrekt SID blive afvist af Domain Controllers. Wi-Fi, VPN, login og adgang til intranet-ressourcer via Kerberos SSO vil fejle for brugere og enheder med gamle certifikater uden SID. 

Alle platforme der bruger Kerberos til SSO er påvirket: Windows, Mac, iOS og Android. 

Hvad skal jeg gøre nu? 

Vi anbefaler, at I implementerer strong mapping i følgende trin: 

1. Opdater SID’en i MDM-løsningen 
2. Test løsningen ved at afprøve de nye certifikatet fra et nyt device 
3. Distribuer det nye certifikat til jeres enheder 
4. Kontroller, at profilen er distribueret til alle enheder i god tid før 10. september.
   Nedenfor kan du se, hvordan SID’et opdateres i de mest udbredte MDM-platforme (Intune, Jamf, Workspace ONE og Ivanti/MobileIron)

Microsoft Intune 

Der skal tilføjes et ny URI-tag til Subject Alternative Name (SAN) i jeres SCEP-profil(er). 

1. Åbn Intune Admin portalen 
2. Gå til Devices->Configuration 
3. Find alle” SCEP certificate” policies. Der kan være flere forskellige platforme, men ret kun de profiler der er til users og ikke til devices. 
4. Tilføj SCEP-profilerne med en ny attribut under Subject Alternative name(SAN): 
   – Åbn Intune Admin portalen
   – Value: {{OnPremisesSecurityIdentifier}} 
5. Herefter skal enhederne certifikater fornyes (fx ved at lave en rettelse i den SSO-profile som bruger det pågældende certifikat). 

I denne artikel kan du læse mere om, hvordan du opdaterer jeres SCEP-profil: Implementing Strong Mapping in Microsoft Intune

Jamf Pro 

For hhv. ’Computers’ og ’Devices’ skal du gøre følgende: 

1. Åbn Jamf-Pro Portalen  
2. Gå til Settings, Device Management, Inventory collection og kontroller at ”Collect user and location information from Directory Service”er slået til. 
3. Gå til settings -> Computer Management -> Extension Attributes 
4. Opret en extension attribute (kald den fx OnPremisesSecurityIdentifier) med følgende værdier: 
   – Data type = String
   – Inventory display = User and location
   – Hvis I benytter Entra ID skal du sætte Directory service attribute = OnPremisesSecurityIdentifier 
   – Hvis I benytter klassisk AD, skal du sætte Directory service attribute = ObjectSID 
   – Hvis I benytter Entra ID, skal du sætte Directory service attribute = OnPremisesSecurityIdentifier
5. Find directory service attribute variabel for den extension attribute du lige har oprettet (Den kan fx hedde $EXTENSIONATTRIBUTE_4822) 
6. Feltet opdateres for devices når Jamf Pro udfører næste inventory update for enheden 
7. Gå til Configuration Profiles og vælg de profiler som bruges til Kerberos SSO. 
   I hver profil skal du:
   – Gå til enten SCEP eller Certificate payload
   – Gå til Subject Alternative Name Value 
   – Tilføj en SAN URI TYPE med SAN NAME:  
   tag:microsoft.com,2022-09-14:sid:$EXTENSIONATTRIBUTE_# 
   (indsæt værdien fra pkt. 5 i stedet for #) 

Du kan finde Jamfs vejledning her: Supporting Microsoft Active Directory Strong Certificate Mapping Requirements

MobileIron 

Denne vejledning dækker MobileIron on-prem-produktet. Hvis I bruger MobileIron Cloud (Ivanti Neurons for UEM) kan I skrive til os, for at få hjælp. 

1. Åbn administrator portalen 
2. Gå til Policies & Configs->Configurations 
3. Vælg den Certificate Enrollment-profile som udsteder certifikat fra dit PKI og som bruges til Kerberos SSO 
4. Slå Microsoft User Security Identifier til i profilen 
5. Herefter skal enhederne certifikater fornyes (fx ved at lave en rettelse i den SSO-profile som bruger det pågældende certifikat) 

Du kan finde Ivantis vejledning her: Impact of KB5014754 on MobileIron Core

Workspace ONE 

Workspace ONE har forskellige løsninger Udgangspunktet er følgende: 

1. Åbn administrator-portalen 
2. Gå til All Settings->System->Enterprise Integration->Certificates Authorities->Request Templates 
3. For hver template der bruges til certifikater til AD validering skal tilrettes. Vælg Include Security Identifier (SID) i templaten og slå denne til. Gem den tilrettede template 
4. Herefter skal enhederne certifikater fornyes (fx ved at finde den eller de profiler der indeholder Kerberos SSO-opsætning og re-push disse) 

Du kan finde Omnissas detaljerede vejledning til konfiguration her: Changes in Certificate Management in UEM for Microsoft

Vær opmærksom på, at der er forskellige løsninger afhængig af, om I benytter ADCS eller SCEP/NDES. Vær også opmærksom på, at kun de nyeste versioner af Workspace ONE understøtter SID-extension med SCEP. 

XenMobile 

Ifølge Citrix vil der først være understøttelse af SID’er i XenMobile 10.16 RP 6 som forventes frigivet i slutningen af august 2025. 

Om forfatteren