Vigtig opdatering for alle der benytter certifikater til Single Sign-on

Bruger I Kerberos SSO med certificate based authentication (CBA), fx til validering af intranet, fil/print-servere. Så bør du læse videre!

Siden maj 2022 har Microsoft arbejdet på en række initiativer der skal gøre brugen af certifikater via Active Directory Kerberos Key Distribution (KDC) endnu mere sikker. Fra den 11. februar 2025 skal klient-certifikater derfor have en user security identifier (SID) tilknyttet. Ændringen omfatter alle klienter, herunder Windows, Mac, iPhone og Android. Microsoft kalder denne ændring for “strong mapping”.

SID’en skal I inkludere i jeres certifikater via jeres device management-løsning (MDM). I dette blog-indlæg beskriver vi, hvordan du kan opdateringen implementeres i hhv. Intune, MobileIron, Jamf og Workspace ONE.

Vi anbefaler, at I aktiverer ’compatibility mode’ på jeres Domain Controllere inden i installerer Microsofts februar-2025 opdatering. Dermed udskyder I kravet til 10. september 2025, men på det tidspunkt skal jeres løsning være på plads. I kan læse mere om compatibility mode nederst i dette blog-indlæg.

Vi anbefaler, at I implementerer strong mapping i følgende trin:

1: Aktiver ‘compatibility mode’

2: Opdater SID’en i MDM-løsningen

3: Test certifikatet på et nyt device

4: Distribuer det nye certifikat til enhederne

5: Kontroller, at profilen er distribueret til alle enheder i god tid før 10. september.

Hvis I har spørgsmål eller I har brug for hjælp, er I altid velkomne til at skrive til os på [email protected].

Microsoft Intune

Der skal tilføjes et ny URI-tag til Subject Alternative Name (SAN) i jeres SCEP-profil(er).

1: Åben Intune Admin portalen

2: Gå til Devices->Configuration

3: Find alle ”SCEP certificate” policies. Der kan være flere til hver platform, men vi skal kun rette de profiler der er til users og ikke dem til devices.

4: Tilret SCEP profiler med en ny Attribut under Subject alternative name.

  • Attribute type: URI
  • Value: {{OnPremisesSecurityIdentifier}}

5: Herefter skal enhedernes certifikater fornyes, fx ved at oprette en ny SSO-profil eller lave en ændring til en eksisterende profil.

I denne artikel kan du læse mere om, hvordan du opdaterer jeres SCEP-profil: Implementing Strong Mapping in Microsoft Intune

Jamf Pro

For hhv ’Computers’ eller ’Devices’ skal du gøre følgende:

1: Åben Jamf Pro-konsollen

2: Gå Settings, Device Management, Inventory collection og kontroller at ”Collect user and location information from Directory Service” er slået til.

3: Vælg ’Devices’->Device Management->Extension Attributes

4: Opret en extension attribute (kald den fx OnPremisesSecurityIdentifier) med følgende værdier:

  • Data type = string
  • Inventory display = user and location
  • Input type = directory service attribute mapping
  • Hvis I benytter Entra ID skal du sætte Directory service attribute = OnPremisesSecurityIdentifier
  • Hvis I benytter klassisk AD skal du sætte Directory service attribute = ObjectSID

5: Find directory service attribute variabel for den extension attribute du lige har oprettet (Den kan fx hedde $EXTENSIONATTRIBUTE_4822)

6: Feltet opdateres for devices når Jamf Pro udfører næste inventory update for devicet

7: Gå til Configuration Profiles og vælg de profiler som bruges til Kerberos SSO.

  • I hver profil, gå til enten SCEP eller Certificate payload
  • Gå til Subject Alternative Name Value
  • Tilføj en SAN URI TYPE med SAN NAME: tag:microsoft.com,2022-09-14:sid:$EXTENSIONATTRIBUTE_# (indsæt værdien fra pkt. 5 i stedet for #)

Du kan finde Jamfs artikel her: Supporting Microsoft Active Directory Strong Certificate Mapping Requirements

MobileIron

Denne vejledning dækker MobileIron on-prem-produktet. Hvis I bruger MobileIron Cloud (Ivanti Neurons for UEM) kan I skrive til os, for at få vejledning.

1: Åben administrator-portalen

2: Gå til Policies & Configs->Configurations

3: Vælg den Certificate Enrollment-profile som udsteder certifikat fra dit PKI og som bruges til Kerberos SSO

4: Slå Microsoft User Security Identifier til i profilen

5: Herefter skal enhederne certifikater fornyes (fx ved at lave en rettelse i den SSO-profile som bruger det pågældende certifikat)

Du kan finde Ivantis vejledning her: Impact of KB5014754 on MobileIron Core

Workspace ONE

Hvis I bruges ADCS CA-integration og ikke SCEP/NDES:

1: Åben administrator-portalen

2: Gå til All Settings->System->Enterprise Integration->Certificates Authorites->Request Templates

3: For hver template der bruges til certifikater til Kerberos SSO skal tilrettes

  • Vælg Include Security Identifier (SID) i templaten og slå denne til
  • Gem den tilrettede template

4: Herefter skal enhederne certifikater fornyes (fx ved at finde den eller de profiler der indeholder Kerberos SSO-opsætning og re-push disse)

Du kan finde Omnissas vejledning til konfiguration af AD CS her: Changes in Certificate Management in UEM for Microsoft

Hvis du bruger SCEP/NDES har Omnissa endnu ikke frigivet en løsning. Den kommer i version 24.10.

Aktiver Compatibility Mode

Vi henviser til denne vejledning fra Microsoft: Vejledning fra Microsoft

Essensen er, at på alle jeres domain controllere skal følgende registry key sættes:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

StrongCertificateBindingEnforcement = 1

Enterprise Certificate Authorities