A diagram showing how Foxpass Cloud PKI, MDM, and Microsoft Entra ID work together for certificate-based authentication. Foxpass Cloud PKI issues Client Authentication certificates to devices via the organization’s MDM (such as Intune, Jamf, Iru/Kandji, or Addigy). Devices present these certificates when signing into Microsoft Entra ID using CBA. Entra validates the certificate chain, user mapping, and EKU before granting access to cloud apps.

如何使用 Foxpass Cloud PKI 設定 Microsoft Entra CBA

Foxpass Team

閱讀時間：6 分鐘

更新 June 9, 2026

開始使用Foxpass

透過識別式和憑證式驗證保護您的 Wi-Fi 和網路

免費試用

簡介與背景

憑證式驗證（CBA）是保護 Microsoft 365、Azure portal 及其他受 Entra 保護應用程式存取權限的最強方式之一。許多組織希望享有 CBA 的優勢，例如具備抗網路釣魚能力的驗證、免密碼，以及強大的裝置身分識別，但又不想自行營運憑證授權單位，或另外支付 Microsoft Cloud PKI 的費用。

Foxpass Cloud PKI 提供完全託管的私有 PKI，可在所有裝置平台上運作，並可與 Entra ID 順暢整合，以最低的管理負擔啟用 CBA。本指南將帶您逐步了解：

使用 Foxpass Cloud PKI 的 Entra CBA 架構
Foxpass Cloud PKI 如何簽發 ClientAuth 憑證
如何使用 MDM 部署憑證
如何設定 Entra CBA
如何在 Wi‑Fi/VPN 中使用相同的憑證搭配 Foxpass Cloud RADIUS

按照本指南操作，很快就能完成可正常運作的 CBA 部署，並使用 Foxpass 作為您的私有 PKI。

Entra CBA 搭配 Foxpass Cloud PKI 的參考架構

顯示 Foxpass Cloud PKI、MDM 與 Microsoft Entra ID 如何共同運作以進行憑證式驗證的圖表。Foxpass Cloud PKI 透過組織的 MDM（例如 Intune、Jamf、Iru/Kandji 或 Addigy）向裝置簽發用戶端驗證憑證。裝置使用 CBA 登入 Microsoft Entra ID 時，會出示這些憑證。Entra 會先驗證憑證鏈、使用者對應和 EKU，然後才授予雲端應用程式的存取權限。

先決條件與要求

Foxpass 需求檢查清單

已啟用 Foxpass Cloud PKI
用戶端 CA 已建立並匯出
已建立 SCEP 端點
MDM 整合和／或 BYOD 安裝程式

Microsoft Entra 要求檢查清單

Entra ID 租用戶
已啟用憑證式驗證
已上傳來自 Foxpass 的用戶端 CA
已定義 SAN（UPN／電子郵件）對應

MDM 需求檢查清單

SCEP 設定檔功能

逐步設定指南

1. 在 Foxpass 中驗證或建立 Client CA

Foxpass Cloud PKI 需要 Client CA（簽發憑證授權單位），以簽署用於 Microsoft Entra CBA 和 EAP-TLS Wi-Fi/VPN 的裝置憑證。

登入 Foxpass Console，然後前往 RADIUS → EAP-TLS
如果尚未有用戶端 CA，請立即建立一個：
1. 在「Client Certificate Authorities」下，按一下「Create new Client CA」
2. 如有需要，可編輯 CA 名稱、CA 有效期及憑證有效期限，然後按一下 "Create CA"

3. 在「Client Certificate Authorities」下，按一下「Download CA」以儲存供稍後使用

建立用戶端 CA 後，Foxpass 會自動簽發用戶端驗證（ClientAuth）EKU 憑證、具有正確 Key Usage 延伸項目的憑證，以及從 MDM 註冊取得的 SAN/Subject 值。

2. 確認已存在 Foxpass SCEP 端點

所有支援的 MDM 都使用 SCEP 向 Foxpass 要求並更新憑證。

前往 Foxpass Console → RADIUS → SCEP
如果已顯示 SCEP Server URL（Unique Endpoint），請前往步驟 4
按一下「Create SCEP Endpoint」，然後指定名稱、驗證類型、驗證類型，並從前面的步驟 1 中選取用戶端 CA
請記下「Unique Endpoint」和「Challenge Password」，稍後會用到

3. 透過 MDM 或 Foxpass BYOD Certificate Installer 部署憑證

設定好 Client CA 和 SCEP 端點後，MDM 即可為 Entra CBA 簽發裝置憑證。

Foxpass 支援具備 SCEP 功能的 MDM（Microsoft Intune、Jamf、Iru（Kandji）、Addigy 等），以及 Foxpass BYOD Certificate Installer（以 OAuth 為基礎的註冊）。

您的 MDM 會決定 Subject/SAN（UPN 或電子郵件）、續期行為，以及金鑰產生。Foxpass 會簽署憑證並處理撤銷。

選項 A：Microsoft Intune

步驟 A1：建立 SCEP 憑證設定檔

前往 Intune Admin Center
前往裝置 → 設定檔 → 建立設定檔
選擇平台（Windows、iOS/iPadOS、macOS、Android）
設定檔類型：SCEP 憑證
設定以下關鍵設定：

設定	值
SCEP 伺服器 URL	Foxpass SCEP「Unique Endpoint」
主旨名稱格式	{{UserPrincipalName}} 或 {{EmailAddress}}
金鑰大小	2048 或 4096
金鑰用途	數位簽章、金鑰加密
EKU	用戶端驗證
雜湊演算法	SHA-256
續約門檻	建議為 20–30%

步驟 A2：設定 SCEP 驗證

驗證類型 → 共用密鑰
秘密 → Foxpass SCEP "Challenge Password"（來自 Foxpass Console）

步驟 A3：指派與驗證

將設定檔指派給使用者／裝置群組，並驗證：

由 Foxpass Client CA 簽發的憑證
SAN/Subject 符合 UPN 或電子郵件
EKU = 用戶端驗證

選項 B：Jamf / Iru (Kandji) / Addigy / Workspace ONE / Mosyle

Entra CBA 不需要 Intune 即可進行憑證佈建。這表示即使在未由 Intune 管理的環境中，也能使用 Entra CBA，包括混合的 Apple 裝置環境、跨平台部署、教育環境、承包商／BYOD 裝置，以及使用非 Microsoft MDM 的組織。

這些 MDM 與 Intune 採用相同的底層邏輯，使用 SCEP 在裝置上產生金鑰，並向 Foxpass 申請憑證。可在這裡找到各項的完整說明：

選項 C：BYOD 裝置

使用 Foxpass BYOD Certificate Installer，並完成以下步驟：

使用者使用 OAuth 搭配 Microsoft Entra ID 登入（注意：BYOD 安裝程式的 Google 登入無法用於 Microsoft Entra CBA。CBA 需要可對應至 Entra 身分的憑證。)
Foxpass 會核發 ClientAuth 憑證
憑證會安裝在本機（無需 MDM）

這非常適合承包商、學生裝置（EDU）或未受管理的端點。

4. 將 Foxpass Client CA 上傳至 Microsoft Entra

若要使用此方法，Microsoft Entra 必須信任發行憑證授權單位（CA）。

步驟 1：下載用戶端 CA 憑證

前往 Foxpass Console → RADIUS → EAP-TLS
下載用戶端 CA 憑證

步驟 2：將用戶端 CA 上傳至 Entra

前往 Entra Admin Center → Protection → 憑證式驗證 → 憑證授權單位
上傳 Foxpass Client CA 憑證

5. 設定 Microsoft Entra 憑證式驗證

在 Entra Admin Center 中：

啟用憑證式驗證
選擇對應規則：
1. SAN → UPN（建議）
2. SAN → 電子郵件
必要 EKU → 用戶端驗證
選填：依簽發者或憑證原則限制

如需進階對應規則、EKU 要求、簽發者限制，以及 Entra CBA 設定的完整操作說明，請參閱 Microsoft Learn：
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication

6. 套用條件式存取原則

建立條件式存取原則：

使用者：先從測試群組開始
應用程式：Microsoft 365 或所有雲端應用程式
授予：要求憑證式驗證

可選的增強功能：

封鎖以密碼為基礎的登入
要求裝置符合規範或已加入網域
新增 MFA 備援

7. 測試憑證式驗證

在具有 Foxpass 核發憑證的裝置上：

前往 https://portal.office.com
輸入使用者名稱
瀏覽器會提示輸入憑證
選取 Foxpass 核發的憑證
驗證成功，無需密碼

如果使用憑證進行驗證時遇到任何問題，請確認 Issuer 為 Foxpass Client CA，且 SAN/Subject 與 UPN／電子郵件相符。

（選填）針對 Wi-Fi/VPN（EAP-TLS）使用相同的 Foxpass 憑證

使用 Foxpass Cloud PKI 的一項優勢是，為 Microsoft Entra CBA 簽發的同一個裝置憑證，也可透過 EAP-TLS 搭配 Foxpass Cloud RADIUS 用於安全的 Wi-Fi 或 VPN 存取。

透過 EAP-TLS，組織可以：

強制執行零信任網路存取
免除 Wi-Fi 和 VPN 密碼
確保只有具備有效 Foxpass 核發憑證的裝置才能加入
套用 VLAN 指派、裝置信任規則或以身分為基礎的原則
在 Entra CBA 雲端驗證與網路存取之間共用相同的憑證生命週期

結論

將 Foxpass Cloud PKI 與 Microsoft Entra CBA 及 MDM 搭配使用，可帶來以下優勢：

全代管的私有 PKI
跨平台憑證簽發
自動化憑證生命週期管理
適用於 SaaS 存取和 Wi-Fi/VPN（選用）的統一憑證身分
與 Intune、Jamf、Iru (Kandji)、Addigy 和 BYOD 無縫整合

此設定提供現代化、無密碼且以憑證為基礎的方法，無需自行執行 CA，即可同時保護身分與網路存取。

現在就開始使用 Foxpass！

開始您的免費試用，看看 Foxpass 如何自動化並保障您的 Wi-Fi 網路安全