Häufig gestellte Fragen zur zertifikatbasierten Authentifizierung von Microsoft Entra

In diesem Artikel werden häufig gestellte Fragen zur Funktionsweise der zertifikatbasierten Authentifizierung (CBA) von Microsoft Entra behandelt. Überprüfen Sie nach aktualisierten Inhalten.

Warum wird keine Option zum Anmelden bei Microsoft Entra ID mithilfe von Zertifikaten angezeigt, nachdem ich meinen Benutzernamen eingegeben habe?

Ein Administrator muss die CBA für den Mandanten aktivieren, um die Option zum Anmelden mithilfe eines Zertifikats für Benutzer zur Verfügung zu stellen. Weitere Informationen finden Sie in Schritt 3: Konfigurieren der Authentifizierungsbindungsrichtlinie.

Wo erhalte ich weitere Diagnoseinformationen, nachdem eine Benutzeranmeldung fehlschlägt?

Wählen Sie auf der Fehlerseite "Weitere Details " aus, um Ihren Mandantenadministrator zu unterstützen. Der Mandantenadministrator kann die Anmeldeprotokolle überprüfen, um den Fehler zu untersuchen. Wenn beispielsweise ein Benutzerzertifikat widerrufen wird und sich in der Zertifizierungssperrliste (CRL) befindet, schlägt die Authentifizierung wie beabsichtigt fehl.

Wie aktivieren wir Microsoft Entra CBA?

1. Melden Sie sich beim Microsoft Entra Admin Center an, dem mindestens die Rolle des Authentifizierungsrichtlinienadministrators zugewiesen ist.
2. Wechseln Sie zuRichtlinien für >>.
3. Wählen Sie die zertifikatbasierte Authentifizierungsrichtlinie aus.
4. Wählen Sie auf der Registerkarte "Aktivieren" und "Ziel" die Option "Aktivieren" aus.

Ist Microsoft Entra CBA ein kostenloses Feature?

Microsoft Entra CBA ist ein kostenloses Feature.

Jede Edition von Microsoft Entra ID enthält Microsoft Entra CBA.

Weitere Informationen zu Features in jeder Microsoft Entra Edition finden Sie unter Microsoft Entra-Preise.

Unterstützt Microsoft Entra CBA eine alternative ID als Benutzername anstelle von userPrincipalName?

Nein. Derzeit wird die Anmeldung mit einem Nicht-UPN-Wert, z. B. einer alternativen E-Mail, nicht unterstützt.

Kann ich mehr als einen CRL-Verteilungspunkt für eine Zertifizierungsstelle haben?

Nein, pro Zertifizierungsstelle wird nur ein CRL-Verteilungspunkt (CRL Distribution Point, CDP) unterstützt.

Kann ich eine NICHT-HTTP-URL für ein CDP verwenden?

Nein. CDP unterstützt nur HTTP-URLs.

Wie finde ich die CRL für eine Zertifizierungsstelle, oder wie behebt ich den Fehler "AADSTS2205015: Fehler bei der Zertifikatsperrliste (Certificate Revocation List, CRL)-Signaturüberprüfung"?

Laden Sie die CRL herunter, und vergleichen Sie das Zertifizierungsstellenzertifikat und die CRL-Informationen, um zu überprüfen, ob der crlDistributionPoint Wert für die Zertifizierungsstelle gültig ist, die Sie hinzufügen möchten. Sie können die CRL für die entsprechende Zertifizierungsstelle konfigurieren, indem Sie die Aussteller-Antragstellerschlüssel-ID (SKI) der Zertifizierungsstelle mit dem Autoritätsschlüsselbezeichner (AKI) der CRL (CA Issuer SKI == CRL AKI) abgleichen.

In der folgenden Tabelle und Abbildung wird gezeigt, wie Informationen aus dem Zertifizierungsstellenzertifikat den Attributen der heruntergeladenen CRL zugeordnet werden.

Zertifizierungsstellenzertifikatinformationen	=	Heruntergeladene CRL-Informationen
Betreff	=	Emittent
Subject Key Identifier (SKI)	=	Zertifizierungsstellenschlüssel-ID (KeyID)

Wie kann ich die Zertifizierungsstellenkonfiguration überprüfen?

Es ist wichtig sicherzustellen, dass die Konfiguration der Zertifizierungsstelle im Vertrauensspeicher dazu führt, dass die Fähigkeit von Microsoft Entra, die Vertrauenskette der Zertifizierungsstelle zu überprüfen, führt. Darüber hinaus sollte die Zertifikatsperrliste (Certificate Revocation List, CRL) erfolgreich vom konfigurierten CRL-Verteilungspunkt (CRL) der Zertifizierungsstelle abgerufen werden. Um diese Aufgabe zu unterstützen, empfiehlt es sich, das PowerShell-Modul "MSIdentity Tools " zu installieren und Test-MsIdCBATrustStoreConfiguration auszuführen. Dieses PowerShell-Cmdlet überprüft die Konfiguration der Microsoft Entra-Mandantenzertifizierungsstelle und Zeigt Fehler/Warnungen auf häufige Probleme bei der Fehlkonfiguration an.

Werden Änderungen an der Richtlinie für Authentifizierungsmethoden sofort wirksam?

Die Richtlinie wird zwischengespeichert. Nach einer Richtlinienaktualisierung kann es bis zu einer Stunde dauern, bis die Änderungen wirksam werden.

Warum wird die CBA-Option angezeigt, nachdem sie fehlschlägt?

Die Authentifizierungsmethoderichtlinie zeigt dem Benutzer immer alle verfügbaren Authentifizierungsmethoden an, sodass er die Anmeldung mit jeder von ihnen gewünschten Methode wiederholen kann.

Die Microsoft Entra-ID blendet die verfügbaren Methoden nicht basierend auf dem Erfolg oder Fehler einer Anmeldung aus.

Warum schlägt die CBA-Schleife nach einem Fehler fehl?

Der Browser speichert das Zertifikat zwischen, nachdem die Zertifikatauswahl angezeigt wurde. Wenn der Benutzer die Authentifizierung erneut anwendet, wird das zwischengespeicherte Zertifikat automatisch verwendet. Der Benutzer sollte den Browser schließen und dann eine neue Sitzung erneut öffnen, um CBA erneut zu versuchen.

Warum werden keine Identitätsnachweise zum Registrieren anderer Authentifizierungsmethoden als Option angezeigt, wenn ich einzelstufige Zertifikate verwende?

Ein Benutzer gilt als fähig für die mehrstufige Authentifizierung (MFA), wenn der Benutzer in der Richtlinie für Authentifizierungsmethoden den Gültigkeitsbereich für CBA hat. Diese Richtlinienanforderung bedeutet, dass ein Benutzer den Identitätsnachweis nicht als Teil seiner Authentifizierung verwenden kann, um andere verfügbare Methoden zu registrieren.

Wie kann ich einzelstufige Zertifikate verwenden, um MFA abzuschließen?

Wir unterstützen single-factor CBA, um MFA zu erhalten. CBA single-factor with passwordless phone sign-in and CBA single-factor with FIDO2 are the two supported combinations to get MFA by using single-factor certificates.

Weitere Informationen finden Sie unter MFA mit einstufigen Zertifikaten.

Fehler beim Update der certificateUserIds, da es sich um einen vorhandenen Wert handelt. Wie kann ein Administrator alle Benutzerobjekte abfragen, die denselben Wert haben?

Mandantenadministratoren können Microsoft Graph-Abfragen ausführen, um alle Benutzer zu finden, die einen bestimmten certificateUserIds Wert haben. Weitere Informationen finden Sie unter certificateUserIds Graph-Abfragen.

Dieser Befehl gibt z. B. alle Benutzerobjekte zurück, die den Wert bob@contoso.com in certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Kann Microsoft Entra CBA auf Microsoft Surface Hub verwendet werden?

Ja. CBA funktioniert sofort einsatzbereit für die meisten Kombinationen von Smartcard- und Smartcardleser. Wenn für die Kombination von Smartcard und Smartcardleser andere Treiber erforderlich sind, müssen Sie die Treiber installieren, bevor Sie die Kombination von Smartcard und Smartcardleser auf Surface Hub verwenden können.

Verwandte Inhalte

Wenn Ihre Frage hier nicht beantwortet wird, lesen Sie die folgenden verwandten Artikel:

• Übersicht über microsoft Entra CBA
• Technische Konzepte von Microsoft Entra CBA
• Microsoft Entra CBA auf iOS-Geräten
• Microsoft Entra CBA auf Android-Geräten
• Einrichten von Microsoft Entra CBA
• Windows-Smartcardanmeldung mit Microsoft Entra CBA
• Zertifikatbenutzer-IDs
• Migrieren von Verbundbenutzern

In diesem Artikel werden häufig gestellte Fragen zur Funktionsweise der zertifikatbasierten Authentifizierung (CBA) von Microsoft Entra behandelt. Überprüfen Sie nach aktualisierten Inhalten.

Ein Administrator muss die CBA für den Mandanten aktivieren, um die Option zum Anmelden mithilfe eines Zertifikats für Benutzer zur Verfügung zu stellen. Weitere Informationen finden Sie in Schritt 3: Konfigurieren der Authentifizierungsbindungsrichtlinie.

Wählen Sie auf der Fehlerseite "Weitere Details " aus, um Ihren Mandantenadministrator zu unterstützen. Der Mandantenadministrator kann die Anmeldeprotokolle überprüfen, um den Fehler zu untersuchen. Wenn beispielsweise ein Benutzerzertifikat widerrufen wird und sich in der Zertifizierungssperrliste (CRL) befindet, schlägt die Authentifizierung wie beabsichtigt fehl.

1. Melden Sie sich beim Microsoft Entra Admin Center an, dem mindestens die Rolle des Authentifizierungsrichtlinienadministrators zugewiesen ist.
2. Wechseln Sie zuRichtlinien für >>.
3. Wählen Sie die zertifikatbasierte Authentifizierungsrichtlinie aus.
4. Wählen Sie auf der Registerkarte "Aktivieren" und "Ziel" die Option "Aktivieren" aus.

Microsoft Entra CBA ist ein kostenloses Feature.

Jede Edition von Microsoft Entra ID enthält Microsoft Entra CBA.

Weitere Informationen zu Features in jeder Microsoft Entra Edition finden Sie unter Microsoft Entra-Preise.

Nein. Derzeit wird die Anmeldung mit einem Nicht-UPN-Wert, z. B. einer alternativen E-Mail, nicht unterstützt.

Nein, pro Zertifizierungsstelle wird nur ein CRL-Verteilungspunkt (CRL Distribution Point, CDP) unterstützt.

Nein. CDP unterstützt nur HTTP-URLs.

Laden Sie die CRL herunter, und vergleichen Sie das Zertifizierungsstellenzertifikat und die CRL-Informationen, um zu überprüfen, ob der crlDistributionPoint Wert für die Zertifizierungsstelle gültig ist, die Sie hinzufügen möchten. Sie können die CRL für die entsprechende Zertifizierungsstelle konfigurieren, indem Sie die Aussteller-Antragstellerschlüssel-ID (SKI) der Zertifizierungsstelle mit dem Autoritätsschlüsselbezeichner (AKI) der CRL (CA Issuer SKI == CRL AKI) abgleichen.

In der folgenden Tabelle und Abbildung wird gezeigt, wie Informationen aus dem Zertifizierungsstellenzertifikat den Attributen der heruntergeladenen CRL zugeordnet werden.

Zertifizierungsstellenzertifikatinformationen	=	Heruntergeladene CRL-Informationen
Betreff	=	Emittent
Subject Key Identifier (SKI)	=	Zertifizierungsstellenschlüssel-ID (KeyID)

Es ist wichtig sicherzustellen, dass die Konfiguration der Zertifizierungsstelle im Vertrauensspeicher dazu führt, dass die Fähigkeit von Microsoft Entra, die Vertrauenskette der Zertifizierungsstelle zu überprüfen, führt. Darüber hinaus sollte die Zertifikatsperrliste (Certificate Revocation List, CRL) erfolgreich vom konfigurierten CRL-Verteilungspunkt (CRL) der Zertifizierungsstelle abgerufen werden. Um diese Aufgabe zu unterstützen, empfiehlt es sich, das PowerShell-Modul "MSIdentity Tools " zu installieren und Test-MsIdCBATrustStoreConfiguration auszuführen. Dieses PowerShell-Cmdlet überprüft die Konfiguration der Microsoft Entra-Mandantenzertifizierungsstelle und Zeigt Fehler/Warnungen auf häufige Probleme bei der Fehlkonfiguration an.

Die Richtlinie wird zwischengespeichert. Nach einer Richtlinienaktualisierung kann es bis zu einer Stunde dauern, bis die Änderungen wirksam werden.

Die Authentifizierungsmethoderichtlinie zeigt dem Benutzer immer alle verfügbaren Authentifizierungsmethoden an, sodass er die Anmeldung mit jeder von ihnen gewünschten Methode wiederholen kann.

Die Microsoft Entra-ID blendet die verfügbaren Methoden nicht basierend auf dem Erfolg oder Fehler einer Anmeldung aus.

Der Browser speichert das Zertifikat zwischen, nachdem die Zertifikatauswahl angezeigt wurde. Wenn der Benutzer die Authentifizierung erneut anwendet, wird das zwischengespeicherte Zertifikat automatisch verwendet. Der Benutzer sollte den Browser schließen und dann eine neue Sitzung erneut öffnen, um CBA erneut zu versuchen.

Ein Benutzer gilt als fähig für die mehrstufige Authentifizierung (MFA), wenn der Benutzer in der Richtlinie für Authentifizierungsmethoden den Gültigkeitsbereich für CBA hat. Diese Richtlinienanforderung bedeutet, dass ein Benutzer den Identitätsnachweis nicht als Teil seiner Authentifizierung verwenden kann, um andere verfügbare Methoden zu registrieren.

Wir unterstützen single-factor CBA, um MFA zu erhalten. CBA single-factor with passwordless phone sign-in and CBA single-factor with FIDO2 are the two supported combinations to get MFA by using single-factor certificates.

Weitere Informationen finden Sie unter MFA mit einstufigen Zertifikaten.

Mandantenadministratoren können Microsoft Graph-Abfragen ausführen, um alle Benutzer zu finden, die einen bestimmten certificateUserIds Wert haben. Weitere Informationen finden Sie unter certificateUserIds Graph-Abfragen.

Dieser Befehl gibt z. B. alle Benutzerobjekte zurück, die den Wert bob@contoso.com in certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Ja. CBA funktioniert sofort einsatzbereit für die meisten Kombinationen von Smartcard- und Smartcardleser. Wenn für die Kombination von Smartcard und Smartcardleser andere Treiber erforderlich sind, müssen Sie die Treiber installieren, bevor Sie die Kombination von Smartcard und Smartcardleser auf Surface Hub verwenden können.

Verwandte Inhalte

Wenn Ihre Frage hier nicht beantwortet wird, lesen Sie die folgenden verwandten Artikel:

• Übersicht über microsoft Entra CBA
• Technische Konzepte von Microsoft Entra CBA
• Microsoft Entra CBA auf iOS-Geräten
• Microsoft Entra CBA auf Android-Geräten
• Einrichten von Microsoft Entra CBA
• Windows-Smartcardanmeldung mit Microsoft Entra CBA
• Zertifikatbenutzer-IDs
• Migrieren von Verbundbenutzern