Tento článek se zabývá nejčastějšími dotazy týkajícími se fungování ověřování založeného na certifikátech (CBA) společnosti Microsoft Entra. Pokračujte v kontrole aktualizovaného obsahu.
Proč se po zadání uživatelského jména nezobrazuje možnost přihlásit se k MICROSOFT Entra ID pomocí certifikátů?
Správce musí pro tenanta povolit CBA, aby byl pro uživatele k dispozici možnost přihlášení pomocí certifikátu. Další informace najdete v kroku 3: Konfigurace zásad vazby ověřování.
Kde můžu získat další diagnostické informace po neúspěšném přihlášení uživatele?
Na chybové stránce získáte další informace, které vám pomůžou správci tenanta. Správce tenanta může zkontrolovat sestavu přihlášení a prozkoumat ji. Pokud je například odvolaný uživatelský certifikát a je součástí seznamu odvolaných certifikátů, ověřování selže správně. Pokud chcete získat další diagnostické informace, zkontrolujte sestavu přihlášení.
Jak může správce povolit Jazyk CBA microsoftu Entra?
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
- Přejděte do zásad ověřování>ochrany.>
- Vyberte zásadu: Ověřování na základě certifikátů.
- Na kartě Povolit a Cíl vyberte přepínač Povolit a povolte ověřování pomocí certifikátů.
Je Microsoft Entra CBA bezplatnou funkcí?
Ověřování na základě certifikátů je bezplatná funkce. Každá edice Microsoft Entra ID zahrnuje Microsoft Entra CBA. Další informace o funkcích v jednotlivých edicích Microsoft Entra naleznete v tématu o cenách Microsoft Entra.
Podporuje Microsoft Entra CBA alternativní ID jako uživatelské jméno místo userPrincipalName?
Ne, přihlášení s použitím hodnoty jiného typu, například alternativního e-mailu, se teď nepodporuje.
Můžu mít více než jeden distribuční bod seznamu CRL (CDP) pro certifikační autoritu (CA)?
Ne, pro každou certifikační autoritu se podporuje jenom jeden CDP.
Můžu mít adresy URL jiné než http pro CDP?
Ne, CDP podporuje pouze adresy URL HTTP.
Návody najít seznam odvolaných certifikátů pro certifikační autoritu nebo jak můžu vyřešit chybu AADSTS2205015: Ověření seznamu odvolaných certifikátů (CRL) selhalo?
Stáhněte si seznam CRL a porovnejte certifikát certifikační autority a informace o seznamu CRL a ověřte platnost hodnoty crlDistributionPoint pro certifikační autoritu, kterou chcete přidat. Seznam CRL můžete nakonfigurovat na odpovídající certifikační autoritu tak, že odpovídající certifikační autoritě SKI přiřadíte AKI seznamu CRL (CA Issuer SKI == CRL AKI) Následující tabulka a obrázek ukazují, jak mapovat informace z certifikátu certifikační autority na atributy staženého seznamu CRL.
| Informace o certifikátu certifikační autority | = | Stažené informace o seznamu CRL |
|---|---|---|
| Předmět | = | Issuer |
| Identifikátor klíče subjektu | = | Identifikátor klíče autority (KeyID) |
Návody ověřit konfiguraci certifikační autority?
Je důležité zajistit, aby konfigurace certifikační autority ve výsledku úložiště důvěryhodnosti byla schopnost Microsoft Entra ID ověřit řetěz důvěryhodnosti certifikační autority a úspěšně získat seznam odvolaných certifikátů (CRL) z nakonfigurovaného distribučního bodu CRL certifikační autority (CDP). Pokud chcete s touto úlohou pomoct, doporučujeme nainstalovat modul PowerShellu nástrojů MSIdentity a spustit Test-MsIdCBATrustStoreConfiguration. Tato rutina PowerShellu zkontroluje konfiguraci certifikační autority tenanta Entra a zobrazí chyby a upozornění pro běžné problémy s chybnou konfigurací.
Návody zapnout nebo vypnout kontrolu odvolání certifikátu pro konkrétní certifikační autoritu?
Důrazně doporučujeme zakázat kontrolu seznamu odvolaných certifikátů ( CRL), protože nebudete moct odvolat certifikáty. Pokud ale potřebujete prozkoumat problémy s kontrolou seznamu CRL, můžete aktualizovat důvěryhodnou certifikační autoritu a nastavit atribut crlDistributionPoint na "".
Použijte rutinu Set-AzureADTrustedCertificateAuthority :
$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]
Je pro velikost seznamu CRL limit?
Platí následující omezení velikosti seznamu CRL:
- Limit interaktivního přihlášení ke stažení: 20 MB (Globální azure zahrnuje GCC), 45 MB pro (Azure US Government, včetně GCC High, Oddělení obrany)
- Limit stahování služby: 65 MB (Globální azure zahrnuje GCC), 150 MB pro (Azure US Government, včetně GCC High, Oddělení obrany)
Když stahování seznamu CRL selže, zobrazí se následující zpráva:
Seznam odvolaných certifikátů stažený z {uri} překročil maximální povolenou velikost ({size} bajtů) pro seznamy CRL v MICROSOFT Entra ID. Zkuste to znovu za několik minut. Pokud problém přetrvává, obraťte se na správce tenanta.
Stahování zůstává na pozadí s vyššími limity.
Kontrolujeme dopad těchto limitů a plánujeme je odebrat.
Zobrazuje se platná sada koncových bodů seznamu odvolaných certifikátů (CRL), ale proč se mi nezobrazuje odvolání seznamu odvolaných certifikátů?
- Ujistěte se, že je distribuční bod seznamu CRL nastavený na platnou adresu URL PROTOKOLU HTTP.
- Ujistěte se, že distribuční bod seznamu CRL je přístupný prostřednictvím internetové adresy URL.
- Ujistěte se, že velikosti seznamu CRL jsou v mezích limitů.
Návody okamžitě odvolat certifikát?
Pokud chcete certifikát odvolat ručně, postupujte podle pokynů.
Projeví se změny zásad metod ověřování okamžitě?
Zásady se ukládají do mezipaměti. Po aktualizaci zásad může trvat až hodinu, než se změny projeví.
Proč se po selhání zobrazí možnost ověřování na základě certifikátu?
Zásady metody ověřování vždy zobrazují všechny dostupné metody ověřování pro uživatele, aby se mohli znovu přihlásit pomocí libovolné metody, kterou preferují. Microsoft Entra ID neskryje dostupné metody na základě úspěchu nebo selhání přihlášení.
Proč se smyčka ověřování na základě certifikátů (CBA) po selhání nezdaří?
Prohlížeč certifikát ukládá do mezipaměti po zobrazení výběru certifikátu. Pokud uživatel opakuje pokusy, použije se certifikát uložený v mezipaměti automaticky. Uživatel by měl prohlížeč zavřít a znovu otevřít novou relaci a zkusit jazyk CBA znovu.
Proč se při použití jednofaktorových certifikátů neověřuje registrace jiných metod ověřování?
Uživatel je považován za schopný vícefaktorové ověřování, pokud je uživatel v oboru ověřování na základě certifikátu v zásadách metod ověřování. Tento požadavek na zásadu znamená, že uživatel nemůže použít ověření v rámci ověřování k registraci dalších dostupných metod.
Jak můžu k dokončení vícefaktorového ověřování použít jednofaktorové certifikáty?
K získání vícefaktorového ověřování máme podporu pro jednofaktorové CBA. CBA SF + přihlášení k telefonu bez hesla (PSI) a CBA SF + FIDO2 jsou dvě podporované kombinace pro získání vícefaktorového ověřování pomocí jednofaktorových certifikátů. Vícefaktorové ověřování s jednofaktorovými certifikáty
Aktualizace CertificateUserIds selže s hodnotou, která už existuje. Jak může správce dotazovat všechny objekty uživatele se stejnou hodnotou?
Správci tenanta můžou spouštět dotazy MS Graph, aby našli všechny uživatele s danou hodnotou certificateUserId. Další informace najdete v grafových dotazech CertificateUserIds.
GET všechny uživatelské objekty, které mají hodnotu 'bob@contoso.com' hodnota v certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Po nakonfigurování koncového bodu seznamu CRL se koncoví uživatelé nemůžou přihlásit a zobrazí se jim následující diagnostická zpráva: http AADSTS500173: Nelze stáhnout CRL. Neplatný stavový kód Zakázáno z distribučního bodu seznamu CRL errorCode: 500173 '''
To se běžně projevuje, když nastavení pravidla brány firewall blokuje přístup ke koncovému bodu seznamu CRL.
Dá se Microsoft Entra CBA používat na SurfaceHubu?
Ano. To funguje mimo krabici pro většinu kombinací čipových karet / čtečky čipových karet. Pokud kombinace čipové karty / čtečky čipových karet vyžaduje další ovladače, musí být nainstalovány před použitím kombinace čipové karty / čtečky čipových karet na surface hubu.
Další kroky
Pokud tady nenajdete odpověď na vaši otázku, projděte si následující související témata:
- Přehled jazyka Microsoft Entra CBA
- Podrobné technické informace pro Microsoft Entra CBA
- Microsoft Entra CBA na zařízeních s iOSem
- Microsoft Entra CBA na zařízeních s Androidem
- Jak nakonfigurovat Jazyk CBA microsoftu Entra
- Přihlášení čipové karty systému Windows pomocí jazyka Microsoft Entra CBA
- ID uživatele certifikátu
- Migrace federovaných uživatelů