Ez a cikk a Microsoft Entra tanúsítványalapú hitelesítés (CBA) működésével kapcsolatos gyakori kérdésekre ad választ. Továbbra is ellenőrizze a frissített tartalmat.
Miért nem jelenik meg a Microsoft Entra-azonosítóba való bejelentkezés lehetősége a felhasználónevem megadása után a tanúsítványok használatával?
A rendszergazdának engedélyeznie kell a CBA-t a bérlő számára, hogy a tanúsítványokkal rendelkező bejelentkezést elérhetővé tegye a felhasználók számára. További információ: 3. lépés: Hitelesítési kötési szabályzat konfigurálása.
Hol szerezhetek be további diagnosztikai információkat, ha a felhasználó bejelentkezése sikertelen volt?
A hibaoldalon kattintson a További részletek gombra további információkért a bérlői rendszergazda segítségére. A bérlői rendszergazda ellenőrizheti a bejelentkezési jelentést a további vizsgálathoz. Ha például egy felhasználói tanúsítványt visszavontak, és a visszavont tanúsítványok listájának része, akkor a hitelesítés helyesen meghiúsul. További diagnosztikai információkért tekintse meg a bejelentkezési jelentést.
Hogyan engedélyezheti a rendszergazda a Microsoft Entra CBA-t?
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
- Keresse meg a védelmi>hitelesítési módszerek szabályzatát.>
- Házirend kiválasztása: Tanúsítványalapú hitelesítés.
- Az Engedélyezés és a Cél lapon válassza az Engedélyezés váltógombot a tanúsítványalapú hitelesítés engedélyezéséhez.
A Microsoft Entra CBA ingyenes funkció?
A tanúsítványalapú hitelesítés ingyenes szolgáltatás. A Microsoft Entra ID minden kiadása tartalmazza a Microsoft Entra CBA-t. Az egyes Microsoft Entra-kiadások funkcióiról további információt a Microsoft Entra díjszabásában talál.
A Microsoft Entra CBA támogatja az alternatív azonosítót felhasználónévként a userPrincipalName helyett?
Nem, a nem UPN-érték (például másodlagos e-mail) használatával történő bejelentkezés jelenleg nem támogatott.
Rendelkezhetek több CRL terjesztési ponttal (CDP) egy hitelesítésszolgáltatóhoz (CA)?
Nem, hitelesítésszolgáltatónként csak egy CDP támogatott.
Rendelkezhetek nem http URL-címekkel a CDP-hez?
Nem, a CDP csak HTTP URL-címeket támogat.
Hogyan megkeresni egy hitelesítésszolgáltató crl-címét, vagy hogyan háríthatom el a AADSTS2205015: A visszavont tanúsítványok listája (CRL) sikertelen aláírás-érvényesítést eredményezett?
Töltse le a CRL-t, és hasonlítsa össze a ca-tanúsítványt és a CRL-adatokat annak ellenőrzéséhez, hogy a crlDistributionPoint értéke érvényes-e a hozzáadni kívánt hitelesítésszolgáltatóra. A CRL-t úgy konfigurálhatja a megfelelő ca-ra, hogy megfelelteti a ca-kiállító SKI-jét a CRL AKI-jének (CA-kiállító SKI == CRL AKI). Az alábbi táblázat és ábra bemutatja, hogyan képezheti le a ca-tanúsítvány adatait a letöltött CRL attribútumaihoz.
| Hitelesítésszolgáltatói tanúsítvány adatai | = | Letöltött CRL-információk |
|---|---|---|
| Subject | = | Issuer |
| Tulajdonosi kulcsazonosító | = | Szolgáltatókulcs azonosítója (KeyID) |
Hogyan ellenőrizni a hitelesítésszolgáltató konfigurációját?
Fontos meggyőződni arról, hogy a hitelesítésszolgáltató konfigurációja a megbízhatósági tár eredményében a Microsoft Entra-azonosítóval ellenőrizheti a hitelesítésszolgáltató megbízhatósági láncát, és sikeresen lekérte a tanúsítvány-visszavonási listát (CRL) a konfigurált hitelesítésszolgáltató CRL terjesztési pontjáról (CDP). A feladat elvégzéséhez ajánlott telepíteni az MSIdentity Tools PowerShell modult, és futtatni a Test-MsIdCBATrustStoreConfiguration parancsot. Ez a PowerShell-parancsmag áttekinti az Entra-bérlő tanúsítványszolgáltatójának konfigurációját, valamint a gyakori helytelen konfigurációs problémákra vonatkozó felületi hibákat/figyelmeztetéseket.
Hogyan egy adott hitelesítésszolgáltató tanúsítvány-visszavonási ellenőrzését be- vagy kikapcsolni?
Javasoljuk, hogy tiltsa le a visszavont tanúsítványok listájának (CRL) ellenőrzését, mivel nem fogja tudni visszavonni a tanúsítványokat. Ha azonban meg kell vizsgálnia a CRL-ellenőrzéssel kapcsolatos problémákat, frissíthet egy megbízható hitelesítésszolgáltatót, és a crlDistributionPoint attribútumot "" értékre állíthatja.
Használja a Set-AzureADTrustedCertificateAuthority parancsmagot:
$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]
Van korlát a CRL-méretre?
Az alábbi CRL-méretkorlátok érvényesek:
- Interaktív bejelentkezés letöltési korlátja: 20 MB (az Azure Global tartalmazza a GCC-t), 45 MB (az Azure US government, tartalmazza a GCC High-t, a Védelmi Osztályt)
- Szolgáltatásletöltési korlát: 65 MB (az Azure Global a GCC-t is tartalmazza), 150 MB (az Azure USA kormányzati szervei, beleértve a GCC High-t, a Védelmi Osztályt)
Ha a CRL-letöltés sikertelen, a következő üzenet jelenik meg:
"A(z) {uri} fájlból letöltött visszavont tanúsítványok listája (CRL) túllépte a Microsoft Entra-azonosítóban lévő CRL-ek maximális megengedett méretét ({size} bájt). Próbálkozzon újra néhány perc múlva. Ha a probléma továbbra is fennáll, forduljon a bérlő rendszergazdáihoz."
A letöltés a háttérben marad, magasabb korlátokkal.
Áttekintjük ezeknek a korlátoknak a hatását, és terveink vannak a korlátozások eltávolítására.
Érvényes visszavont tanúsítványok listája (CRL) végpontkészlete jelenik meg, de miért nem látok visszavont crl-visszavonást?
- Győződjön meg arról, hogy a CRL terjesztési pont érvényes HTTP-URL-címre van beállítva.
- Győződjön meg arról, hogy a CRL terjesztési pont egy internetes URL-címen keresztül érhető el.
- Győződjön meg arról, hogy a CRL-méretek korlátokon belül vannak.
Hogyan azonnal visszavonni a tanúsítványt?
A tanúsítványok manuális visszavonásához kövesse az alábbi lépéseket.
A hitelesítési módszerek házirendjének módosításai azonnal érvénybe lépnek?
A szabályzat gyorsítótárazva van. Egy szabályzatfrissítés után akár egy órát is igénybe vehet a módosítások érvénybe léptetése.
Miért jelenik meg a tanúsítványalapú hitelesítési lehetőség a sikertelenség után?
A hitelesítési módszer szabályzata mindig megjeleníti az összes elérhető hitelesítési módszert a felhasználó számára, hogy újra megpróbálhassa a bejelentkezést a kívánt módszerrel. A Microsoft Entra ID nem rejti el a bejelentkezés sikeressége vagy sikertelensége alapján elérhető módszereket.
Miért ismétlődik a tanúsítványalapú hitelesítés (CBA) a sikertelenség után?
A böngésző gyorsítótárazza a tanúsítványt a tanúsítványválasztó megjelenése után. Ha a felhasználó újrapróbálkozott, a rendszer automatikusan használja a gyorsítótárazott tanúsítványt. A felhasználónak be kell zárnia a böngészőt, és újra meg kell nyitnia egy új munkamenetet a CBA ismételt kipróbálásához.
Miért nem történik meg a hitelesítés más hitelesítési módszerek regisztrálásakor, amikor egytényezős tanúsítványokat használok?
A felhasználó akkor tekinthető MFA-kompatibilisnek, ha a felhasználó a hitelesítési módszerek házirendjében a tanúsítványalapú hitelesítés hatókörébe tartozik. Ez a házirendkövetelmény azt jelenti, hogy a felhasználó nem használhatja a hitelesítés részeként a hitelesítés részeként a hitelesítést más elérhető módszerek regisztrálásához.
Hogyan használhatok egytényezős tanúsítványokat az MFA teljesítéséhez?
Támogatjuk az egytényezős CBA-t az MFA beszerzéséhez. A CBA SF + jelszó nélküli telefonos bejelentkezés (PSI) és a CBA SF + FIDO2 a két támogatott kombináció az MFA egyszeri tényezős tanúsítványok használatával történő lekéréséhez. MFA egytényezős tanúsítványokkal
A CertificateUserIds frissítése sikertelen, mert már van érték. Hogyan kérdezheti le egy rendszergazda az összes azonos értékű felhasználói objektumot?
A bérlői rendszergazdák MS Graph-lekérdezéseket futtathatnak a megadott certificateUserId értékkel rendelkező összes felhasználó megkereséséhez. További információ a CertificateUserIds gráf lekérdezéseinél található
Get all user objects that the value 'bob@contoso.com' value in certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
A CRL-végpont konfigurálása után a végfelhasználók nem tudnak bejelentkezni, és a következő diagnosztikai üzenet jelenik meg: '''http AADSTS500173: A CRL nem tölthető le. Érvénytelen állapotkód– Tiltott a CRL terjesztési pont hibakódja: 500173 ''
Ez általában akkor fordul elő, ha egy tűzfalszabály-beállítás letiltja a CRL-végponthoz való hozzáférést.
Használható a Microsoft Entra CBA a SurfaceHubon?
Igen. Ez a legtöbb intelligens kártya/intelligenskártya-olvasó kombináció esetében a dobozon kívül működik. Ha az intelligens kártya/intelligenskártya-olvasó kombináció további illesztőprogramokat igényel, ezeket az intelligens kártya/intelligenskártya-olvasó kombináció használata előtt telepíteni kell a Surface Hubon.
Következő lépések
Ha a kérdésére itt nem ad választ, tekintse meg a következő kapcsolódó témaköröket:
- A Microsoft Entra CBA áttekintése
- Technikai mélyrepülés a Microsoft Entra CBA-hoz
- Microsoft Entra CBA iOS-eszközökön
- Microsoft Entra CBA Android-eszközökön
- A Microsoft Entra CBA konfigurálása
- Windows intelligenskártya-bejelentkezés a Microsoft Entra CBA használatával
- Tanúsítványfelhasználói azonosítók
- Összevont felhasználók migrálása