Introductie & achtergrond
Certificaatgebaseerde verificatie (CBA) is een van de sterkste manieren om toegang tot Microsoft 365, Azure portal en andere door Entra beveiligde applicaties te beschermen. Veel organisaties willen profiteren van de voordelen van CBA, zoals phishingbestendige authenticatie, het afschaffen van wachtwoorden en een sterke apparaatidentiteit, maar willen geen certificaatautoriteit beheren of extra betalen voor Microsoft Cloud PKI.
Foxpass Cloud PKI biedt een volledig beheerde private PKI die werkt op alle apparaatplatforms en naadloos integreert met Entra ID om CBA mogelijk te maken met minimale overhead. Deze gids geeft je een overzicht van:
De architectuur voor Entra CBA met Foxpass Cloud PKI
Hoe Foxpass Cloud PKI ClientAuth-certificaten uitgeeft
Hoe je certificaten implementeert met je MDM
Zo stel je Entra CBA in
Hoe je hetzelfde certificaat voor Wi-Fi/VPN gebruikt met Foxpass Cloud RADIUS
Volg deze handleiding en je hebt al snel een werkende CBA-implementatie waarbij Foxpass als je privé-PKI wordt gebruikt.
Referentiearchitectuur voor Entra CBA met Foxpass Cloud PKI
Een diagram dat laat zien hoe Foxpass Cloud PKI, MDM en Microsoft Entra ID samenwerken voor certificaatgebaseerde authenticatie.
Foxpass Cloud PKI geeft clientauthenticatiecertificaten uit aan apparaten via de MDM van de organisatie (zoals Intune, Jamf, Iru/Kandji of Addigy). Apparaten presenteren deze certificaten wanneer ze zich aanmelden bij Microsoft Entra ID met CBA. Entra valideert de certificaatketen, gebruikerstoewijzing en EKU voordat toegang tot cloudapps wordt verleend.
Vereisten en voorwaarden
Foxpass-vereistenchecklist
Foxpass Cloud PKI ingeschakeld
Client-CA gemaakt en geëxporteerd
SCEP-eindpunt aangemaakt
MDM-integratie en/of BYOD-installatieprogramma
Checklist met vereisten voor Microsoft Entra
Entra ID-tenant
Certificaatgebaseerde authenticatie ingeschakeld
Client-CA van Foxpass geüpload
SAN (UPN/e-mail) toewijzing gedefinieerd
Checklist met MDM-vereisten
Mogelijkheid voor SCEP-profiel
Stapsgewijze configuratiehandleiding
1. Verifieer of maak je Client CA in Foxpass aan
Foxpass Cloud PKI vereist een Client CA (uitgevende certificeringsinstantie) om apparaatcertificaten te ondertekenen die worden gebruikt voor Microsoft Entra CBA en EAP-TLS Wi‑Fi/VPN.
Log in op de Foxpass Console en ga naar RADIUS → EAP-TLS
Als er nog geen client-CA bestaat, maak er dan nu een aan:
Klik onder "Client Certificate Authorities," op "Create new Client CA"
Bewerk indien gewenst de CA-naam, de geldigheid van de CA en de geldigheidsperiode van het certificaat en klik vervolgens op "Create CA"
3. Klik onder "Client Certificate Authorities" op "Download CA" om het bestand op te slaan voor later
Zodra de client-CA is aangemaakt, geeft Foxpass automatisch clientverificatiecertificaten (ClientAuth) EKU-certificaten uit, certificaten met de juiste Key Usage-extensies en SAN-/Subject-waarden die afkomstig zijn uit je MDM-inschrijving.
2. Zorg ervoor dat er een Foxpass SCEP-eindpunt bestaat
Alle ondersteunde MDM's gebruiken SCEP om certificaten van Foxpass aan te vragen en te vernieuwen.
Ga naar Foxpass Console → RADIUS → SCEP
Als er al een SCEP Server URL (Unique Endpoint) wordt weergegeven, ga dan door naar stap 4
Klik op "Create SCEP Endpoint" en geef vervolgens een naam, verificatietype en authenticatietype op, en selecteer de Client CA uit stap 1 hierboven
Noteer de "Unique Endpoint" en het "Challenge Password" voor later
3. Implementeer certificaten via je MDM of Foxpass BYOD Certificate Installer
Zodra de Client CA en het SCEP-endpoint zijn ingesteld, kan je MDM apparaatcertificaten uitgeven voor Entra CBA.
Foxpass ondersteunt SCEP-compatibele MDM's (Microsoft Intune, Jamf, Iru (Kandji), Addigy en meer), evenals de Foxpass BYOD Certificate Installer (OAuth-gebaseerde inschrijving).
Je MDM bepaalt het Subject/SAN (UPN of e-mail), het vernieuwingsgedrag en de sleutelgeneratie. Foxpass ondertekent het certificaat en verzorgt de intrekking.
Optie A: Microsoft Intune
Stap A1: maak een SCEP-certificaatprofiel
Ga naar Intune Admin Center
Ga naar Devices → Configuration profiles → Profiel aanmaken
Kies platform (Windows, iOS/iPadOS, macOS, Android)
Profieltype: SCEP-certificaat
Stel de volgende belangrijke instellingen in:
Instelling | Waarde |
SCEP-server-URL | Foxpass SCEP ‘Uniek eindpunt’ |
Opmaak van de onderwerpnaam | {{UserPrincipalName}} of {{EmailAddress}} |
Sleutelgrootte | 2048 of 4096 |
Belangrijk gebruik | Digitale handtekening, sleutelversleuteling |
EKU | Clientauthenticatie |
Hashalgoritme | SHA-256 |
Verlengingsdrempel | Aanbevolen 20–30% |
Stap A2: SCEP-authenticatie configureren
Authenticatietype → Gedeeld geheim
Geheim → Foxpass SCEP "Challenge Password" (uit de Foxpass Console)
Stap A3: Toewijzen & valideren
Wijs een profiel toe aan gebruikers-/apparaatgroepen en verifieer:
Certificaat uitgegeven door Foxpass Client CA
SAN/onderwerp komt overeen met UPN of e-mail
EKU = Clientverificatie
Optie B: Jamf / Iru (Kandji) / Addigy / Workspace ONE / Mosyle
Entra CBA vereist geen Intune voor certificaatvoorziening. Dit betekent dat je Entra CBA zelfs kunt gebruiken in omgevingen die niet door Intune worden beheerd, waaronder gemengde Apple-omgevingen, platformonafhankelijke implementaties, EDU-omgevingen, apparaten van contractors/BYOD en organisaties die niet-Microsoft-MDM's gebruiken.
Deze MDM's volgen dezelfde onderliggende logica als Intune en gebruiken SCEP om sleutels op het apparaat te genereren en certificaten aan te vragen bij Foxpass. Hier vind je de volledige instructies voor elk:
Optie C: BYOD-apparaten
Gebruik het Foxpass BYOD Certificate Installer en voltooi de volgende stappen:
De gebruiker meldt zich aan met OAuth via Microsoft Entra ID (Opmerking: de Google-aanmelding van het BYOD-installatieprogramma kan niet worden gebruikt voor Microsoft Entra CBA. CBA vereist certificaten die zijn gekoppeld aan Entra-identiteiten.)
Foxpass geeft een ClientAuth-certificaat uit
Certificaat wordt lokaal geïnstalleerd (geen MDM vereist)
Dit is ideaal voor aannemers, apparaten van studenten (EDU) of onbeheerde endpoints.
4. Upload de Foxpass Client CA naar Microsoft Entra
Om deze methode te gebruiken, moet Microsoft Entra uw uitgevende CA vertrouwen.
Stap 1: Download het Client CA-certificaat
Ga naar Foxpass Console → RADIUS → EAP-TLS
Download het Client CA-certificaat
Stap 2: Upload de Client CA naar Entra
Ga naar Entra Admin Center → Protection → Certificate-Based Authentication → Certificate Authorities
Upload het Foxpass Client CA-certificaat
5. Microsoft Entra-certificaatverificatie configureren
In Entra Admin Center:
Certificaatgebaseerde authenticatie inschakelen
Kies toewijzingsregels:
SAN → UPN (aanbevolen)
SAN → e-mail
Vereiste EKU → Client Authentication
Optioneel: Beperk op issuer of certificaatbeleid
Raadpleeg Microsoft Learn voor geavanceerde toewijzingsregels, EKU-vereisten, issuer-beperkingen en een volledige walkthrough van de Entra CBA-configuratie:
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication
6. Pas beleid voor voorwaardelijke toegang toe
Maak een beleid voor voorwaardelijke toegang:
Gebruikers: begin met een testgroep
Apps: Microsoft 365 of alle cloud-apps
Toestaan: certificaatgebaseerde authenticatie vereisen
Optionele uitbreidingen:
Blokkeer aanmelding met wachtwoord
Vereis conforme apparaten of apparaten die lid zijn van het domein
MFA-terugval toevoegen
7. Test certificaatgebaseerde authenticatie
Op een apparaat met een door Foxpass uitgegeven certificaat:
Ga naar https://portal.office.com
Voer je gebruikersnaam in
De browser vraagt om een certificaat
Selecteer het door Foxpass uitgegeven certificaat
Authenticatie slaagt zonder wachtwoord
Als je problemen ondervindt bij het authenticeren met een certificaat, controleer dan of de Issuer Foxpass Client CA is en of de SAN/Subject overeenkomt met de UPN/e-mail.
(Optioneel) Gebruik hetzelfde Foxpass-certificaat voor Wi-Fi/VPN (EAP-TLS)
Een voordeel van het gebruik van Foxpass Cloud PKI is dat hetzelfde apparaatcertificaat dat is uitgegeven voor Microsoft Entra CBA ook kan worden gebruikt voor veilige Wi-Fi- of VPN-toegang via EAP-TLS met Foxpass Cloud RADIUS.
Met EAP-TLS kunnen organisaties:
Dwing Zero-Trust-netwerktoegang af
Elimineer wachtwoorden voor Wi-Fi en VPN
Zorg ervoor dat alleen apparaten met een geldig, door Foxpass uitgegeven certificaat verbinding mogen maken
Pas VLAN-toewijzing, apparaatvertrouwensregels of identiteitsgebaseerde beleidsregels toe
Deel dezelfde certificaatlevenscyclus voor Entra CBA-cloudauthenticatie en netwerktoegang
Conclusie
Door Foxpass Cloud PKI te gebruiken met Microsoft Entra CBA en je MDM krijg je:
Een volledig beheerde private PKI
Uitgifte van certificaten voor meerdere platforms
Geautomatiseerd certificaatlevenscyclusbeheer
Uniforme certificaatidentiteit voor SaaS-toegang en Wi-Fi/VPN (optioneel)
Naadloze integratie met Intune, Jamf, Iru (Kandji), Addigy en BYOD
Deze opzet biedt een moderne, wachtwoordloze, certificaatgebaseerde aanpak om zowel identiteit als netwerktoegang te beveiligen zonder je eigen CA te beheren.
