Preguntas más frecuentes sobre la autenticación basada en certificados de Microsoft Entra

En este artículo se tratan las preguntas más frecuentes sobre cómo funciona la autenticación basada en certificados (CBA) de Microsoft Entra. Vuelva a comprobar si hay contenido actualizado.

¿Por qué no veo una opción para iniciar sesión en microsoft Entra ID mediante certificados después de escribir mi nombre de usuario?

Un administrador debe activar CBA para que el inquilino haga que la opción de iniciar sesión mediante un certificado disponible para los usuarios. Para obtener más información, vea Paso 3: Configurar la directiva de enlace de autenticación.

¿Dónde puedo obtener más información de diagnóstico después de que se produzca un error en el inicio de sesión de un usuario?

En la página de error, seleccione Más detalles para obtener más información para ayudar al administrador de inquilinos. El administrador de inquilinos puede comprobar los registros de inicio de sesión para investigar el error. Por ejemplo, si se revoca un certificado de usuario y se encuentra en la lista de revocación de certificación (CRL), se produce un error en la autenticación según lo previsto.

¿Cómo activamos Microsoft Entra CBA?

1. Inicie sesión en el Centro de administración de Microsoft Entra con al menos el rol Administrador de directivas de autenticación asignado.
2. Vaya a Directivas demétodos> de autenticación de Entra ID>.
3. Seleccione la directiva de autenticación basada en certificados .
4. En la pestaña Habilitar y destino , seleccione Habilitar.

¿Microsoft Entra CBA es una característica gratuita?

Microsoft Entra CBA es una característica gratuita.

Cada edición de Microsoft Entra ID incluye Microsoft Entra CBA.

Para obtener más información sobre las características de cada edición de Microsoft Entra, consulte Precios de Microsoft Entra.

¿Microsoft Entra CBA admite un identificador alternativo como nombre de usuario en lugar de userPrincipalName?

No. Actualmente, no se admite el inicio de sesión con un valor que no sea UPN, como un correo electrónico alternativo.

¿Puedo tener más de un punto de distribución CRL para una entidad de certificación?

No, solo se admite un punto de distribución CRL (CDP) por entidad de certificación (CA).

¿Puedo usar una dirección URL que no sea HTTP para un CDP?

No. CDP solo admite direcciones URL HTTP.

¿Cómo encuentro la CRL para una entidad de certificación o cómo se soluciona el error "AADSTS2205015: La lista de revocación de certificados (CRL) no pudo validar la firma"?

Descargue la CRL y compare el certificado de ENTIDAD de certificación y la información de CRL para validar que el crlDistributionPoint valor es válido para la ENTIDAD de certificación que desea agregar. Puede configurar la CRL en la ENTIDAD de certificación correspondiente si coincide con el identificador de clave de sujeto del emisor (SKI) de la entidad con el identificador de clave de autoridad (AKI) de la CRL (CA Issuer SKI == CRL AKI).

En la tabla y la ilustración siguientes se muestra cómo asignar información del certificado de CA a los atributos de la CRL descargada.

Información del certificado de ENTIDAD de certificación	=	Información de CRL descargada
Asunto	=	Emisor
Identificador de clave del firmante (SKI)	=	Identificador de clave de autoridad (KeyID)

¿Cómo se valida la configuración de la entidad de certificación?

Es importante asegurarse de que la configuración de la entidad de certificación en el almacén de confianza da como resultado la capacidad de Microsoft Entra para validar la cadena de confianza de la entidad de certificación. Además, debe adquirir correctamente la lista de revocación de certificados (CRL) del punto de distribución de CRL (CDP) de la entidad de certificación configurada. Para ayudar con esta tarea, se recomienda instalar el módulo de PowerShell msIdentity Tools y ejecutar Test-MsIdCBATrustStoreConfiguration. Este cmdlet de PowerShell revisará la configuración de la entidad de certificación del inquilino de Microsoft Entra y mostrará errores o advertencias para problemas comunes de configuración incorrecta.

¿Los cambios en la directiva de métodos de autenticación surten efecto inmediatamente?

La directiva se almacena en caché. Después de una actualización de directiva, los cambios pueden tardar hasta una hora en surtir efecto.

¿Por qué veo la opción CBA después de que se produzca un error?

La directiva de método de autenticación siempre muestra todos los métodos de autenticación disponibles al usuario para que puedan reintentar el inicio de sesión mediante cualquier método que prefieran.

Microsoft Entra ID no oculta los métodos disponibles en función del éxito o error de un inicio de sesión.

¿Por qué se produce un error en el bucle CBA después de que se produzca un error?

El explorador almacena en caché el certificado después de que aparezca el selector de certificados. Si el usuario vuelve a intentar la autenticación, se usa automáticamente el certificado almacenado en caché. El usuario debe cerrar el explorador y volver a abrir una nueva sesión para volver a intentar CBA.

¿Por qué no aparece la prueba de identidad para registrar otros métodos de autenticación como opción cuando uso certificados de factor único?

Un usuario se considera capaz de autenticación multifactor (MFA) cuando el usuario está en el ámbito de CBA en la directiva de métodos de autenticación. Este requisito de directiva significa que un usuario no puede usar la prueba de identidad como parte de su autenticación para registrar otros métodos disponibles.

¿Cómo puedo usar certificados de factor único para completar MFA?

Se admite CBA de un solo factor para obtener MFA. CBA single-factor with passwordless phone sign-in and CBA single-factor with FIDO2 are the two supported combinations to get MFA by using single-factor certificates.

Para obtener más información, consulte MFA con certificados de un solo factor.

Se produce un error en la actualización certificateUserIds porque es un valor existente. ¿Cómo puede un administrador consultar todos los objetos de usuario que tienen el mismo valor?

Los administradores de inquilinos pueden ejecutar consultas de Microsoft Graph para buscar todos los usuarios que tienen un valor específico certificateUserIds . Para obtener más información, consulte certificateUserIds Consultas de Graph.

Por ejemplo, este comando devuelve todos los objetos de usuario que tienen el valor bob@contoso.com en certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

¿Se puede usar Microsoft Entra CBA en Microsoft Surface Hub?

Sí. CBA funciona de serie para la mayoría de las combinaciones de tarjetas inteligentes y lector de tarjetas inteligentes. Si la combinación de tarjeta inteligente y lector de tarjetas inteligentes requiere otros controladores, debes instalar los controladores para poder usar la combinación de tarjeta inteligente y lector de tarjetas inteligentes en Surface Hub.

Contenido relacionado

Si la pregunta no se responde aquí, consulte los siguientes artículos relacionados:

• Introducción a Microsoft Entra CBA
• Conceptos técnicos de CBA de Microsoft Entra
• Microsoft Entra CBA en dispositivos iOS
• Microsoft Entra CBA en dispositivos Android
• Configurar Microsoft Entra CBA
• Inicio de sesión de tarjeta inteligente de Windows mediante Microsoft Entra CBA
• Identificadores de usuario de certificado
• Migración de usuarios federados

En este artículo se tratan las preguntas más frecuentes sobre cómo funciona la autenticación basada en certificados (CBA) de Microsoft Entra. Vuelva a comprobar si hay contenido actualizado.

Un administrador debe activar CBA para que el inquilino haga que la opción de iniciar sesión mediante un certificado disponible para los usuarios. Para obtener más información, vea Paso 3: Configurar la directiva de enlace de autenticación.

En la página de error, seleccione Más detalles para obtener más información para ayudar al administrador de inquilinos. El administrador de inquilinos puede comprobar los registros de inicio de sesión para investigar el error. Por ejemplo, si se revoca un certificado de usuario y se encuentra en la lista de revocación de certificación (CRL), se produce un error en la autenticación según lo previsto.

1. Inicie sesión en el Centro de administración de Microsoft Entra con al menos el rol Administrador de directivas de autenticación asignado.
2. Vaya a Directivas demétodos> de autenticación de Entra ID>.
3. Seleccione la directiva de autenticación basada en certificados .
4. En la pestaña Habilitar y destino , seleccione Habilitar.

Microsoft Entra CBA es una característica gratuita.

Cada edición de Microsoft Entra ID incluye Microsoft Entra CBA.

Para obtener más información sobre las características de cada edición de Microsoft Entra, consulte Precios de Microsoft Entra.

No. Actualmente, no se admite el inicio de sesión con un valor que no sea UPN, como un correo electrónico alternativo.

No, solo se admite un punto de distribución CRL (CDP) por entidad de certificación (CA).

No. CDP solo admite direcciones URL HTTP.

Descargue la CRL y compare el certificado de ENTIDAD de certificación y la información de CRL para validar que el crlDistributionPoint valor es válido para la ENTIDAD de certificación que desea agregar. Puede configurar la CRL en la ENTIDAD de certificación correspondiente si coincide con el identificador de clave de sujeto del emisor (SKI) de la entidad con el identificador de clave de autoridad (AKI) de la CRL (CA Issuer SKI == CRL AKI).

En la tabla y la ilustración siguientes se muestra cómo asignar información del certificado de CA a los atributos de la CRL descargada.

Información del certificado de ENTIDAD de certificación	=	Información de CRL descargada
Asunto	=	Emisor
Identificador de clave del firmante (SKI)	=	Identificador de clave de autoridad (KeyID)

Es importante asegurarse de que la configuración de la entidad de certificación en el almacén de confianza da como resultado la capacidad de Microsoft Entra para validar la cadena de confianza de la entidad de certificación. Además, debe adquirir correctamente la lista de revocación de certificados (CRL) del punto de distribución de CRL (CDP) de la entidad de certificación configurada. Para ayudar con esta tarea, se recomienda instalar el módulo de PowerShell msIdentity Tools y ejecutar Test-MsIdCBATrustStoreConfiguration. Este cmdlet de PowerShell revisará la configuración de la entidad de certificación del inquilino de Microsoft Entra y mostrará errores o advertencias para problemas comunes de configuración incorrecta.

La directiva se almacena en caché. Después de una actualización de directiva, los cambios pueden tardar hasta una hora en surtir efecto.

La directiva de método de autenticación siempre muestra todos los métodos de autenticación disponibles al usuario para que puedan reintentar el inicio de sesión mediante cualquier método que prefieran.

Microsoft Entra ID no oculta los métodos disponibles en función del éxito o error de un inicio de sesión.

El explorador almacena en caché el certificado después de que aparezca el selector de certificados. Si el usuario vuelve a intentar la autenticación, se usa automáticamente el certificado almacenado en caché. El usuario debe cerrar el explorador y volver a abrir una nueva sesión para volver a intentar CBA.

Un usuario se considera capaz de autenticación multifactor (MFA) cuando el usuario está en el ámbito de CBA en la directiva de métodos de autenticación. Este requisito de directiva significa que un usuario no puede usar la prueba de identidad como parte de su autenticación para registrar otros métodos disponibles.

Se admite CBA de un solo factor para obtener MFA. CBA single-factor with passwordless phone sign-in and CBA single-factor with FIDO2 are the two supported combinations to get MFA by using single-factor certificates.

Para obtener más información, consulte MFA con certificados de un solo factor.

Los administradores de inquilinos pueden ejecutar consultas de Microsoft Graph para buscar todos los usuarios que tienen un valor específico certificateUserIds . Para obtener más información, consulte certificateUserIds Consultas de Graph.

Por ejemplo, este comando devuelve todos los objetos de usuario que tienen el valor bob@contoso.com en certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Sí. CBA funciona de serie para la mayoría de las combinaciones de tarjetas inteligentes y lector de tarjetas inteligentes. Si la combinación de tarjeta inteligente y lector de tarjetas inteligentes requiere otros controladores, debes instalar los controladores para poder usar la combinación de tarjeta inteligente y lector de tarjetas inteligentes en Surface Hub.

Contenido relacionado

Si la pregunta no se responde aquí, consulte los siguientes artículos relacionados:

• Introducción a Microsoft Entra CBA
• Conceptos técnicos de CBA de Microsoft Entra
• Microsoft Entra CBA en dispositivos iOS
• Microsoft Entra CBA en dispositivos Android
• Configurar Microsoft Entra CBA
• Inicio de sesión de tarjeta inteligente de Windows mediante Microsoft Entra CBA
• Identificadores de usuario de certificado
• Migración de usuarios federados