Häufig gestellte Fragen im Zusammenhang mit der zertifikatbasierten Authentifizierung mit Microsoft Entra (Certificate-Based Authentication, CBA)

Ein Administrator muss die CBA für den Mandanten aktivieren, um Benutzern die Option zum Anmelden mit einem Zertifikat zur Verfügung zu stellen. Weitere Informationen finden Sie unter Schritt 3: Konfigurieren der Authentifizierungsbindungsrichtlinie.

Klicken Sie auf der Fehlerseite auf Weitere Informationen, um Ihren Mandantenadministrator zu unterstützen. Für die weitere Fehlersuche kann der Mandantenadministrator den Anmeldebericht überprüfen. Wenn beispielsweise ein Benutzerzertifikat widerrufen wurde, das Teil und einer Zertifikatsperrliste ist, schlägt die Authentifizierung ordnungsgemäß fehl. Um weitere Diagnoseinformationen abzurufen, überprüfen Sie den Anmeldebericht.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinien.
3. Wählen Sie die Richtlinie: Zertifikatbasierte Authentifizierung.
4. Aktivieren Sie auf der Registerkarte Aktivieren und Ziel den Schalter Aktivieren, um die zertifikatbasierte Authentifizierung zu ermöglichen.

Die zertifikatbasierte Authentifizierung ist eine kostenlose Funktion. Jede Edition von Microsoft Entra ID enthält Microsoft Entra CBA. Weitere Informationen über die Funktionen in jeder Microsoft Entra-Edition finden Sie unter Microsoft Entra-Preise.

Nein. Die Anmeldung mit einem Nicht-UPN-Wert, z. B. einer alternativen E-Mail, wird derzeit nicht unterstützt.

Nein, pro Zertifizierungsstelle wird nur ein CDP unterstützt.

Nein, vom CDP werden nur HTTP-URLs unterstützt.

Laden Sie die Zertifikatssperrliste herunter, und vergleichen Sie das Zertifikat der Zertifizierungsstelle mit den Informationen der Zertifikatssperrliste, um zu überprüfen, ob der Wert crlDistributionPoint für die hinzuzufügende Zertifizierungsstelle gültig ist. Sie können die Zertifikatssperrliste für die entsprechende Zertifizierungsstelle konfigurieren, indem Sie den Aussteller-SKI der Zertifizierungsstelle mit dem AKI der Zertifikatssperrliste abgleichen (Aussteller-SKI der Zertifizierungsstelle == AKI der Zertifikatssperrliste). Die folgende Tabelle und Grafik zeigen, wie Informationen aus dem Zertifizierungsstellenzertifikat den Attributen der heruntergeladenen Zertifikatssperrliste zugeordnet werden.

Es ist wichtig sicherzustellen, dass die Konfiguration der Zertifizierungsstelle im Vertrauensspeicherergebnis dazu führt, dass Microsoft Entra ID die Vertrauenskette der Zertifizierungsstelle überprüfen sowie die Zertifikatssperrliste (Certificate Revocation List, CRL) erfolgreich vom konfigurierten CRL-Verteilungspunkt (CRL Distribution Point, CDP) der Zertifizierungsstelle abrufen kann. Zur Unterstützung dieser Aufgabe empfiehlt es sich, das PowerShell-Modul MSIdentity Tools zu installieren undTest-MsIdCBATrustStoreConfiguration auszuführen. Dieses PowerShell-Cmdlet überprüft die Konfiguration der Entra-Mandantenzertifizierungsstelle und zeigt Fehler/Warnungen auf häufige Probleme bei der Fehlkonfiguration an.

Wir raten dringend davon ab, die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) zu deaktivieren, da Sie keine Zertifikate widerrufen können. Wenn Sie jedoch Probleme durch Überprüfen der Zertifikatsperrliste (CRL) untersuchen müssen, können Sie eine vertrauenswürdige Zertifizierungsstelle aktualisieren und das Attribut „crlDistributionPoint“ auf „"“ festlegen.

Verwenden Sie das Cmdlet Set-AzureADTrustedCertificateAuthority:

$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]

Für die Zertifikatsperrliste gelten die folgenden Größenbeschränkungen:

• Downloadgrenzwert bei interaktiver Anmeldung: 20 MB (Azure Global mit Government Community Cloud, GCC), 45 MB (Azure US Government mit GCC High, Dept. of Defense)
• Downloadgrenzwert für Dienste: 65 MB (Azure Global mit Government Community Cloud, GCC), 150 MB (Azure US Government mit GCC High, Dept. of Defense)

Wenn das Herunterladen einer Zertifikatsperrliste fehlschlägt, wird die folgende Meldung angezeigt:

„Die von {URI} heruntergeladene Zertifikatsperrliste hat die maximale zulässige Größe ({size} Bytes) für Zertifikatsperrlisten in Microsoft Entra ID überschritten. Wiederholen Sie den Vorgang in einigen Minuten. Wenn das Problem weiterhin besteht, wenden Sie sich an Ihre Mandantenadministratoren.“

Für das Herunterladen im Hintergrund gelten weiterhin höhere Grenzwerte.

Wir überprüfen die Auswirkungen dieser Grenzwerte und haben Pläne für deren Entfernung entwickelt.

• Stellen Sie sicher, dass der CRL-Verteilungspunkt auf eine gültige HTTP-URL festgelegt ist.
• Stellen Sie sicher, dass der CRL-Verteilungspunkt über eine URL mit Internetanbindung zugänglich ist.
• Sorgen Sie dafür, dass die Größen der Zertifikatsperrlisten die Grenzwerte nicht überschreiten.

Führen Sie die Schritte zum manuellen Widerrufen eines Zertifikats aus.

Die Richtlinie wird zwischengespeichert. Nach einer Richtlinienaktualisierung kann es bis zu einer Stunde dauern, bis die Änderungen wirksam werden.

Die Richtlinie für Authentifizierungsmethoden zeigt immer alle verfügbaren Authentifizierungsmethoden für den Benutzer an, damit er die Anmeldung mit einer Methode seiner Wahl wiederholen kann. Microsoft Entra ID blendet verfügbare Methoden nicht auf Grundlage einer erfolgreichen oder fehlgeschlagenen Anmeldung aus.

Der Browser speichert das Zertifikat zwischen, nachdem die Zertifikatauswahl angezeigt wurde. Wenn der Benutzer den Anmeldevorgang wiederholt, wird automatisch das zwischengespeicherte Zertifikat verwendet. Der Benutzer sollte den Browser schließen und eine neue Sitzung öffnen, um die zertifikatbasierte Authentifizierung zu wiederholen.

Ein Benutzer gilt als MFA-fähig, wenn sich der Benutzer in der Richtlinie für Authentifizierungsmethoden im Bereich der zertifikatbasierten Authentifizierung befindet. Diese Richtlinienanforderung bedeutet, dass ein Benutzer den Nachweis nicht im Rahmen seiner Authentifizierung verwenden kann, um andere verfügbare Methoden zu registrieren.

Wir haben Unterstützung für einstufige CBA, um MFA zu erhalten. CBA SF + kennwortlose Anmeldung per Telefon (PSI) sowie CBA SF + FIDO2 sind die beiden unterstützten Kombinationen, um MFA mithilfe von Ein-Faktor-Zertifikaten zu erhalten. MFA mit einstufigen Zertifikaten

Mandantenadministratoren können MS Graph-Abfragen ausführen, um nach allen Benutzern mit einem bestimmten Wert für „certificateUserId“ zu suchen. Weitere Informationen finden Sie unter MS Graph-Abfragen nach Zertifikatbenutzer-IDs

Rufen Sie alle Benutzerobjekte ab, die in „certificateUserIds“ den Wert „bob@contoso.com“ aufweisen:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Dies tritt häufig auf, wenn eine Firewallregeleinstellung den Zugriff auf den Sperrlistenendpunkt blockiert.

Ja. Dies funktioniert für die meisten Kombinationen aus Smartcard und Smartcardleser ohne weitere Konfiguration oder Einstellungen. Wenn die Kombination aus Smartcard und Smartcardleser zusätzliche Treiber erfordert, müssen diese vor der Verwendung der Kombination in Surface Hub installiert werden.

Nächste Schritte

Wenn Sie hier keine Antwort auf Ihre Frage finden, empfehlen wir die Lektüre der folgenden verwandten Themen:

• Übersicht über Microsoft Entra-CBA
• Ausführliche technische Informationen zur zertifikatbasierten Authentifizierung mit Azure AD
• Microsoft Entra-CBA auf iOS-Geräten
• Microsoft Entra-CBA auf Android-Geräten
• Informationen zum Konfigurieren von Microsoft Entra-CBA
• Windows-Smartcardanmeldung mithilfe der zertifikatbasierten Microsoft Entra-Authentifizierung
• Zertifikatbenutzer-IDs
• Migrieren von Verbundbenutzer*innen