En este artículo encontrará preguntas frecuentes sobre el funcionamiento de la autenticación basada en certificados (CBA) de Microsoft Entra. Siga comprobando si hay contenido actualizado.
¿Por qué no veo una opción para iniciar sesión en Microsoft Entra ID con certificados después de escribir el nombre de usuario?
Un administrador debe habilitar CBA para que el inquilino haga que la opción de inicio de sesión con certificado esté disponible para los usuarios. Para más información, consulte Paso 3: Configuración de la directiva de enlace de autenticación.
¿Dónde puedo obtener más información de diagnóstico después de producirse un error en el inicio de sesión de un usuario?
En la página de error, haga clic en Más detalles a fin de obtener más información para ayudar al administrador de inquilinos. El administrador de inquilinos puede comprobar el informe de inicios de sesión para investigar más. Por ejemplo, si se revoca un certificado de usuario y forma parte de una lista de revocación de certificados, se produce un error en la autenticación correctamente. Para obtener más información de diagnóstico, consulte el Informe de inicios de sesión.
¿Cómo puede un administrador habilitar la autenticación basada en certificados de Microsoft Entra?
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
- Vaya a Protección>Métodos de autenticación>Directivas.
- Seleccione la directiva: Autenticación basada en certificados
- En la pestaña Habilitar y destino, seleccione el botón de alternancia Habilitar para habilitar la autenticación basada en certificados.
¿Es la autenticación basada en certificados de Microsoft Entra una característica gratuita?
La autenticación basada en certificados es una característica gratuita. Cada edición de Microsoft Entra ID incluye Microsoft Entra CBA. Para obtener más información sobre las características de cada edición de Microsoft Entra, consulte Precios de Microsoft Entra .
¿Admite la autenticación basada en certificados de Microsoft Entra el identificador alternativo como nombre de usuario, en lugar de userPrincipalName?
No, el inicio de sesión con un valor que no sea UPN, como un correo electrónico alternativo, no se admite ahora.
¿Puedo tener más de un punto de distribución de CRL (CDP) para una entidad de certificación (CA)?
No, solo se admite un CDP por CA.
¿Puedo tener direcciones URL que no son HTTP para CDP?
No, CDP solo admite direcciones URL HTTP.
¿Cómo puedo encontrar la CRL para una entidad de certificación o cómo puedo solucionar el error AADSTS2205015: No se ha validado la firma de la lista de revocación de certificados (CRL)?
Descargue la CRL y compare el certificado de la CA y la información de CRL para validar que el valor crlDistributionPoint es válido para la CA que desea agregar. Puede configurar la CRL para la CA correspondiente haciendo coincidir el SKI del emisor de la CA con el AKI de la CRL (SKI del emisor de la CA == AKI de la CRL) La tabla y el gráfico siguientes indican cómo asignar la información del certificado de la CA a los atributos de la CRL descargada.
| Información sobre el certificado de la entidad de certificación | = | Información sobre la CRL descargada |
|---|---|---|
| Asunto | = | Emisor |
| Identificador de clave del firmante | = | Identificador de clave de la entidad (KeyID) |
¿Cómo valido la configuración de la entidad de certificación?
Es importante asegurarse de que la configuración de la entidad de certificación en el resultado del almacén de confianza sea la capacidad de Microsoft Entra ID tanto para validar la cadena de confianza de la entidad de certificación como para adquirir correctamente la lista de revocación de certificados (CRL) del punto de distribución de dicha lista (CDP) de la entidad de certificación configurada. Para ayudar con esta tarea, se recomienda instalar el módulo MSIdentity Tools de PowerShell y ejecutar Test-MsIdCBATrustStoreConfiguration. Este cmdlet de PowerShell revisará la configuración de la entidad de certificación de inquilino de Entra y mostrará errores o advertencias para problemas comunes de configuración incorrecta.
¿Cómo se activa o desactiva la comprobación de revocación de certificados para una entidad de certificación determinada?
Se recomienda encarecidamente no deshabilitar la comprobación de la lista de revocación de certificados (CRL), ya que no podrá revocar los certificados. Sin embargo, si necesita investigar problemas con la comprobación de CRL, puede actualizar una entidad de certificación de confianza y establecer el atributo crlDistributionPoint en """.
Use el cmdlet Set-AzureADTrustedCertificateAuthority:
$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]
¿Hay un límite para el tamaño de CRL?
Se aplican los límites de tamaño de CRL siguientes:
- Límite de descarga de inicio de sesión interactivo: 20 MB (Azure Global incluye GCC), 45 MB (Azure Gobierno de EE.UU., incluye GCC High, Departamento de Defensa)
- Límite de descarga de servicio: 65 MB (Azure Global incluye GCC), 150 MB (Azure Gobierno de EE.UU., incluye GCC High, Departamento de Defensa)
Cuando se produce un error en la descarga de una lista de revocación de certificados, aparece el siguiente mensaje:
"La lista de revocación de certificados (CRL) descargada de {uri} ha superado el tamaño máximo permitido ({tamaño} bytes) para las CRL en Microsoft Entra ID. Inténtelo de nuevo en unos minutos. Si el problema persiste, póngase en contacto con los administradores de inquilinos".
La descarga permanece en segundo plano con límites superiores.
Estamos revisando el impacto de estos límites y tenemos planes para quitarlos.
Veo un conjunto de puntos de conexión de lista de revocación de certificados (CRL) válido, pero ¿por qué no veo ninguna revocación de CRL?
- Asegúrese de que el punto de distribución de CRL está establecido en una dirección URL HTTP válida.
- Asegúrese de que el punto de distribución de CRL es accesible a través de una dirección URL accesible desde Internet.
- Asegúrese de que los tamaños de las listas de revocación de certificados se encuentren dentro de los límites.
¿Cómo se revoca un certificado al instante?
Siga los pasos para revocar manualmente un certificado.
¿Se harán efectivos inmediatamente los cambios en la directiva de métodos de autenticación?
La directiva se almacena en caché. Después de una actualización de directivas, los cambios pueden tardar hasta una hora en aplicarse.
¿Por qué veo la opción de autenticación basada en certificados después de que se produzca un error?
La directiva de método de autenticación siempre muestra todos los métodos de autenticación disponibles para el usuario a fin de que pueda reintentar el inicio de sesión con cualquier método que prefiera. Microsoft Entra ID no oculta los métodos disponibles en función del éxito o error de un inicio de sesión.
¿Por qué se repite en bucle la autenticación basada en certificados (CBA) después de producirse un error?
El explorador almacena en caché el certificado después de que aparezca el selector de certificados. Si el usuario vuelve a intentarlo, el certificado almacenado en caché se usa automáticamente. El usuario debe cerrar el explorador y volver a abrir una nueva sesión para volver a intentar la autenticación basada en certificados.
¿Por qué la prueba para registrar otros métodos de autenticación no aparece cuando uso certificados de factor único?
Se considera a un usuario apto para la MFA cuando el usuario está en el ámbito de la autenticación basada en certificados en la directiva de métodos de autenticación. Este requisito de directiva significa que un usuario no puede usar "proof up" como parte de su autenticación para registrar otros métodos disponibles.
¿Cómo puedo usar certificados de factor único para completar MFA?
Tenemos compatibilidad con CBA de factor único para obtener MFA. CBA SF + inicio de sesión telefónico sin contraseña (PSI) y CBA SF + FIDO2 son las dos combinaciones admitidas para obtener MFA mediante certificados de factor único. MFA con certificados de factor único
Se produce un error en la actualización de certificateUserIds cuando el valor que ya existe. ¿Cómo puede un administrador consultar todos los objetos de usuario con el mismo valor?
Los administradores de inquilinos pueden ejecutar consultas de MS Graph para buscar todos los usuarios con un valor certificateUserId determinado. Puede encontrar más información en Consultas de grafos CertificateUserIds.
Obtenga todos los objetos de usuario que tengan el valor "bob@contoso.com" en certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Una vez configurado un punto de conexión CRL, los usuarios finales no pueden iniciar sesión y ven el siguiente mensaje de diagnóstico: ```http AADSTS500173: No se puede descargar la CRL. Código de estado no válido Prohibido del punto de distribución de CRL con código de error: 500173 ```
Esto se suele ver cuando una configuración de regla de firewall bloquea el acceso al punto de conexión de CRL.
¿Se puede usar Microsoft Entra CBA en Surface Hub?
Sí. Esto funciona de inmediato para la mayoría de las combinaciones de tarjeta inteligente y lector de tarjetas inteligentes. Si la combinación de tarjeta inteligente y lector de tarjetas inteligentes requiere controladores adicionales, deben instalarse antes de usarla en Surface Hub.
Pasos siguientes
Si la pregunta no se responde aquí, consulte los temas relacionados siguientes:
- Información general sobre la autenticación basada en certificados de Microsoft Entra
- Análisis técnico en profundidad para Microsoft Entra CBA
- Microsoft Entra CBA en dispositivos iOS
- Autenticación basada en certificados de Microsoft Entra en dispositivos Android
- Configuración de la autenticación basada en certificados de Microsoft Entra
- Inicio de sesión de tarjeta inteligente de Windows con la CBA de Microsoft Entra
- Identificadores de usuario de certificado
- Cómo migrar de usuarios federados