Nejčastější dotazy týkající se ověřování založeného na certifikátech Microsoft Entra

Tento článek se zabývá nejčastějšími dotazy týkajícími se fungování ověřování založeného na certifikátech (CBA) společnosti Microsoft Entra. Zkontrolujte aktualizovaný obsah.

Proč se po zadání uživatelského jména nezobrazuje možnost přihlásit se k MICROSOFT Entra ID pomocí certifikátů?

Správce musí pro tenanta zapnout CBA, aby bylo možné se přihlásit pomocí certifikátu dostupného uživatelům. Další informace najdete v kroku 3: Konfigurace zásad vazby ověřování.

Kde získám další diagnostické informace po selhání přihlášení uživatele?

Na chybové stránce vyberte Další podrobnosti , abyste mohli správci tenanta pomoct. Správce tenanta může zkontrolovat protokoly přihlášení a prošetřit chybu. Pokud je například odvolaný uživatelský certifikát a je v seznamu odvolaných certifikátů (CRL), ověřování selže podle očekávání.

Jak zapneme Jazyk CBA microsoftu Entra?

1. Přihlaste se do Centra pro správu Microsoft Entra s přiřazenou rolí správce zásad ověřování .
2. Přejděte dozásad>>.
3. Vyberte zásady ověřování založené na certifikátech .
4. Na kartě Povolit a Cíl vyberte Povolit.

Je Microsoft Entra CBA bezplatnou funkcí?

Microsoft Entra CBA je bezplatná funkce.

Každá edice Microsoft Entra ID zahrnuje Microsoft Entra CBA.

Další informace o funkcích v jednotlivých edicích Microsoft Entra naleznete v tématu o cenách Microsoft Entra.

Podporuje Microsoft Entra CBA alternativní ID jako uživatelské jméno místo userPrincipalName?

Ne. V současné době se přihlášení nepodporuje pomocí hodnoty jiného typu než UPN, například alternativního e-mailu.

Můžu mít více než jeden distribuční bod seznamu CRL pro certifikační autoritu?

Ne, pro každou certifikační autoritu (CA) se podporuje jenom jeden distribuční bod seznamu CRL (CDP).

Můžu pro CDP použít adresu URL jiného typu než HTTP?

Ne. CDP podporuje jenom adresy URL HTTP.

Jak zjistím seznam CRL pro certifikační autoritu nebo jak můžu vyřešit chybu "AADSTS2205015: Seznam odvolaných certifikátů (CRL) selhal ověření podpisu"?

Stáhněte seznam CRL a porovnejte certifikát certifikační autority a informace o seznamu CRL a ověřte, jestli crlDistributionPoint je hodnota platná pro certifikační autoritu, kterou chcete přidat. CRL můžete nakonfigurovat na odpovídající certifikační autoritu tak, že shodíte identifikátor klíče subjektu vystavitele certifikační autority (SKI) s identifikátorem klíče autority (AKI) seznamu CRL (CA Issuer SKI == CRL AKI).

Následující tabulka a obrázek ukazují, jak mapovat informace z certifikátu certifikační autority na atributy staženého seznamu CRL.

Informace o certifikátu certifikační autority	=	Stažené informace o seznamu CRL
Předmět	=	Emitent
Identifikátor klíče subjektu (SKI)	=	Identifikátor klíče autority (KeyID)

Jak ověřím konfiguraci certifikační autority?

Je důležité zajistit, aby konfigurace certifikační autority v úložišti důvěryhodnosti způsobovat schopnost Microsoft Entra ověřit řetěz důvěryhodnosti certifikační autority. Kromě toho by měl úspěšně získat seznam odvolaných certifikátů (CRL) z nakonfigurovaného distribučního bodu CRL certifikační autority (CDP). Pokud chcete s touto úlohou pomoct, doporučujeme nainstalovat modul PowerShellu nástrojů MSIdentity a spustit Test-MsIdCBATrustStoreConfiguration. Tato rutina PowerShellu zkontroluje konfiguraci certifikační autority tenanta Microsoft Entra a zobrazí chyby a upozornění pro běžné problémy s chybnou konfigurací.

Projeví se změny zásad ověřování okamžitě?

Zásady se ukládají do mezipaměti. Po aktualizaci zásad může trvat až hodinu, než se změny projeví.

Proč se po selhání zobrazí možnost CBA?

Zásady metody ověřování vždy zobrazují všechny dostupné metody ověřování pro uživatele, aby se mohli znovu přihlásit pomocí libovolné metody, kterou preferují.

Id Microsoft Entra neskryje dostupné metody na základě úspěchu nebo selhání přihlášení.

Proč se smyčka CBA po selhání nezdaří?

Prohlížeč certifikát ukládá do mezipaměti po zobrazení výběru certifikátu. Pokud uživatel opakuje ověřování, certifikát uložený v mezipaměti se automaticky použije. Uživatel by měl prohlížeč zavřít a znovu otevřít novou relaci a zkusit CBA znovu.

Proč se při použití jednofaktorových certifikátů nezobrazuje ověření identity pro registraci jiných metod ověřování?

Uživatel je považován za schopný vícefaktorové ověřování (MFA), pokud je uživatel v oboru pro CBA v zásadách metod ověřování. Tento požadavek na zásady znamená, že uživatel nemůže jako součást ověřování použít ověření identity k registraci dalších dostupných metod.

Jak můžu k dokončení vícefaktorového ověřování použít jednofaktorové certifikáty?

Pro získání vícefaktorového ověřování podporujeme jednofaktorové CBA. Jednofaktorové ověřování CBA s jednotným přihlašováním k telefonu bez hesla a jednofaktorové ověřování pomocí jednofaktorového ověřování pomocí jednofaktorových certifikátů jsou dvě podporované kombinace jazyka CBA s využitím jednofaktorového ověřování.

Další informace najdete v tématu Vícefaktorové ověřování s jednofaktorovými certifikáty.

Aktualizace certificateUserIds selže, protože se jedná o existující hodnotu. Jak může správce dotazovat všechny objekty uživatele, které mají stejnou hodnotu?

Správci tenantů můžou spouštět dotazy Microsoft Graphu, aby našli všechny uživatele, kteří mají určitou certificateUserIds hodnotu. Další informace najdete v tématu certificateUserIds Grafové dotazy.

Tento příkaz například vrátí všechny objekty uživatele, které mají hodnotu bob@contoso.com v certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Dá se Microsoft Entra CBA používat na Microsoft Surface Hubu?

Ano. CBA funguje bez použití pro většinu kombinací čipových karet a čtečky čipových karet. Pokud kombinace čipových karet a čtečky čipových karet vyžadují další ovladače, musíte ovladače nainstalovat, abyste mohli použít kombinaci čipových karet a čtečky čipových karet na Zařízení Surface Hub.

Související obsah

Pokud tady nenajdete odpověď na vaši otázku, projděte si následující související články:

• Přehled jazyka Microsoft Entra CBA
• Technické koncepty Microsoft Entra CBA
• Microsoft Entra CBA na zařízeních s iOSem
• Microsoft Entra CBA na zařízeních s Androidem
• Nastavení jazyka Microsoft Entra CBA
• Přihlášení pomocí čipové karty Windows pomocí jazyka Microsoft Entra CBA
• ID uživatele certifikátu
• Migrace federovaných uživatelů

Tento článek se zabývá nejčastějšími dotazy týkajícími se fungování ověřování založeného na certifikátech (CBA) společnosti Microsoft Entra. Zkontrolujte aktualizovaný obsah.

Správce musí pro tenanta zapnout CBA, aby bylo možné se přihlásit pomocí certifikátu dostupného uživatelům. Další informace najdete v kroku 3: Konfigurace zásad vazby ověřování.

Na chybové stránce vyberte Další podrobnosti , abyste mohli správci tenanta pomoct. Správce tenanta může zkontrolovat protokoly přihlášení a prošetřit chybu. Pokud je například odvolaný uživatelský certifikát a je v seznamu odvolaných certifikátů (CRL), ověřování selže podle očekávání.

1. Přihlaste se do Centra pro správu Microsoft Entra s přiřazenou rolí správce zásad ověřování .
2. Přejděte dozásad>>.
3. Vyberte zásady ověřování založené na certifikátech .
4. Na kartě Povolit a Cíl vyberte Povolit.

Microsoft Entra CBA je bezplatná funkce.

Každá edice Microsoft Entra ID zahrnuje Microsoft Entra CBA.

Další informace o funkcích v jednotlivých edicích Microsoft Entra naleznete v tématu o cenách Microsoft Entra.

Ne. V současné době se přihlášení nepodporuje pomocí hodnoty jiného typu než UPN, například alternativního e-mailu.

Ne, pro každou certifikační autoritu (CA) se podporuje jenom jeden distribuční bod seznamu CRL (CDP).

Ne. CDP podporuje jenom adresy URL HTTP.

Stáhněte seznam CRL a porovnejte certifikát certifikační autority a informace o seznamu CRL a ověřte, jestli crlDistributionPoint je hodnota platná pro certifikační autoritu, kterou chcete přidat. CRL můžete nakonfigurovat na odpovídající certifikační autoritu tak, že shodíte identifikátor klíče subjektu vystavitele certifikační autority (SKI) s identifikátorem klíče autority (AKI) seznamu CRL (CA Issuer SKI == CRL AKI).

Následující tabulka a obrázek ukazují, jak mapovat informace z certifikátu certifikační autority na atributy staženého seznamu CRL.

Informace o certifikátu certifikační autority	=	Stažené informace o seznamu CRL
Předmět	=	Emitent
Identifikátor klíče subjektu (SKI)	=	Identifikátor klíče autority (KeyID)

Je důležité zajistit, aby konfigurace certifikační autority v úložišti důvěryhodnosti způsobovat schopnost Microsoft Entra ověřit řetěz důvěryhodnosti certifikační autority. Kromě toho by měl úspěšně získat seznam odvolaných certifikátů (CRL) z nakonfigurovaného distribučního bodu CRL certifikační autority (CDP). Pokud chcete s touto úlohou pomoct, doporučujeme nainstalovat modul PowerShellu nástrojů MSIdentity a spustit Test-MsIdCBATrustStoreConfiguration. Tato rutina PowerShellu zkontroluje konfiguraci certifikační autority tenanta Microsoft Entra a zobrazí chyby a upozornění pro běžné problémy s chybnou konfigurací.

Zásady se ukládají do mezipaměti. Po aktualizaci zásad může trvat až hodinu, než se změny projeví.

Zásady metody ověřování vždy zobrazují všechny dostupné metody ověřování pro uživatele, aby se mohli znovu přihlásit pomocí libovolné metody, kterou preferují.

Id Microsoft Entra neskryje dostupné metody na základě úspěchu nebo selhání přihlášení.

Prohlížeč certifikát ukládá do mezipaměti po zobrazení výběru certifikátu. Pokud uživatel opakuje ověřování, certifikát uložený v mezipaměti se automaticky použije. Uživatel by měl prohlížeč zavřít a znovu otevřít novou relaci a zkusit CBA znovu.

Uživatel je považován za schopný vícefaktorové ověřování (MFA), pokud je uživatel v oboru pro CBA v zásadách metod ověřování. Tento požadavek na zásady znamená, že uživatel nemůže jako součást ověřování použít ověření identity k registraci dalších dostupných metod.

Pro získání vícefaktorového ověřování podporujeme jednofaktorové CBA. Jednofaktorové ověřování CBA s jednotným přihlašováním k telefonu bez hesla a jednofaktorové ověřování pomocí jednofaktorového ověřování pomocí jednofaktorových certifikátů jsou dvě podporované kombinace jazyka CBA s využitím jednofaktorového ověřování.

Další informace najdete v tématu Vícefaktorové ověřování s jednofaktorovými certifikáty.

Správci tenantů můžou spouštět dotazy Microsoft Graphu, aby našli všechny uživatele, kteří mají určitou certificateUserIds hodnotu. Další informace najdete v tématu certificateUserIds Grafové dotazy.

Tento příkaz například vrátí všechny objekty uživatele, které mají hodnotu bob@contoso.com v certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Ano. CBA funguje bez použití pro většinu kombinací čipových karet a čtečky čipových karet. Pokud kombinace čipových karet a čtečky čipových karet vyžadují další ovladače, musíte ovladače nainstalovat, abyste mohli použít kombinaci čipových karet a čtečky čipových karet na Zařízení Surface Hub.

Související obsah

Pokud tady nenajdete odpověď na vaši otázku, projděte si následující související články:

• Přehled jazyka Microsoft Entra CBA
• Technické koncepty Microsoft Entra CBA
• Microsoft Entra CBA na zařízeních s iOSem
• Microsoft Entra CBA na zařízeních s Androidem
• Nastavení jazyka Microsoft Entra CBA
• Přihlášení pomocí čipové karty Windows pomocí jazyka Microsoft Entra CBA
• ID uživatele certifikátu
• Migrace federovaných uživatelů