Domande frequenti sull'autenticazione basata su certificati Microsoft Entra

Questo articolo illustra le domande frequenti sul funzionamento dell'autenticazione basata su certificati (CBA) di Microsoft Entra. Controllare di nuovo il contenuto aggiornato.

Perché non viene visualizzata un'opzione per accedere a Microsoft Entra ID usando i certificati dopo aver immesso il nome utente?

Un amministratore deve attivare L'amministratore per consentire al tenant di accedere usando un certificato disponibile per gli utenti. Per altre informazioni, vedere Passaggio 3: Configurare i criteri di associazione di autenticazione.

Dove è possibile ottenere altre informazioni di diagnostica dopo un errore di accesso dell'utente?

Nella pagina degli errori selezionare Altri dettagli per altre informazioni per aiutare l'amministratore del tenant. L'amministratore del tenant può controllare i log di accesso per analizzare l'errore. Ad esempio, se un certificato utente viene revocato e si trova nell'elenco di revoche di certificazione (CRL), l'autenticazione non riesce come previsto.

Come si attiva Microsoft Entra CBA?

1. Accedere all'interfaccia di amministrazione di Microsoft Entra con almeno il ruolo Di amministratore criteri di autenticazione assegnato.
2. Passare a Entra ID> metodi di> Entra).
3. Selezionare i criteri di autenticazione basati su certificati .
4. Nella scheda Abilita e destinazione selezionare Abilita.

Microsoft Entra CBA è una funzionalità gratuita?

Microsoft Entra CBA è una funzionalità gratuita.

Ogni edizione di Microsoft Entra ID include Microsoft Entra CBA.

Per altre informazioni sulle funzionalità di ogni edizione di Microsoft Entra, vedere Prezzi di Microsoft Entra.

Microsoft Entra CBA supporta un ID alternativo come nome utente anziché userPrincipalName?

No Attualmente, l'accesso tramite un valore non UPN, ad esempio un messaggio di posta elettronica alternativo, non è supportato.

È possibile avere più di un punto di distribuzione CRL per un'autorità di certificazione?

No, un solo punto di distribuzione CRL (CDP) è supportato per ogni autorità di certificazione (CA).

È possibile usare un URL non HTTP per un CDP?

No CDP supporta solo gli URL HTTP.

Come si trova l'elenco di revoche di certificati per una CA o come risolvere l'errore "AADSTS2205015: Convalida della firma non riuscita dell'elenco di revoche di certificati (CRL)?

Scaricare il CRL e confrontare il certificato CA e le informazioni CRL per verificare che il crlDistributionPoint valore sia valido per la CA da aggiungere. È possibile configurare il CRL nella CA corrispondente associando l'identificatore della chiave del soggetto dell'autorità di certificazione (SKI) all'identificatore della chiave dell'autorità (AKI) dell'autorità di certificazione (CA Issuer SKI == CRL AKI).

La tabella e la figura seguenti illustrano come eseguire il mapping delle informazioni dal certificato CA agli attributi del CRL scaricato.

Informazioni sul certificato DELLA CA	=	Informazioni CRL scaricate
Oggetto	=	Emittente
Identificatore chiave soggetto (SKI)	=	Identificatore di chiave dell'autorità (KeyID)

Come si convalida la configurazione della CA?

È importante assicurarsi che la configurazione dell'autorità di certificazione nell'archivio attendibilità comporti la possibilità di convalidare sia la catena di attendibilità dell'autorità di certificazione. Inoltre, dovrebbe acquisire correttamente l'elenco di revoche di certificati (CRL) dal punto di distribuzione CRL (CDP) configurato dell'autorità di certificazione. Per facilitare questa attività, è consigliabile installare il modulo PowerShell MSIdentity Tools ed eseguire Test-MsIdCBATrustStoreConfiguration. Questo cmdlet di PowerShell esaminerà la configurazione dell'autorità di certificazione tenant di Microsoft Entra e gli errori/avvisi della superficie per problemi di configurazione errata comuni.

Le modifiche apportate ai criteri dei metodi di autenticazione diventano effettive immediatamente?

Il criterio viene memorizzato nella cache. Dopo un aggiornamento dei criteri, potrebbero essere necessarie fino a un'ora per rendere effettive le modifiche.

Perché viene visualizzata l'opzione CBA dopo che ha esito negativo?

I criteri del metodo di autenticazione mostrano sempre tutti i metodi di autenticazione disponibili per l'utente in modo che possano ripetere l'accesso usando qualsiasi metodo preferito.

Microsoft Entra ID non nasconde i metodi disponibili in base all'esito positivo o negativo di un accesso.

Perché il ciclo CBA si verifica dopo che ha esito negativo?

Il browser memorizza nella cache il certificato dopo la visualizzazione della selezione certificati. Se l'utente ritenta l'autenticazione, viene usato automaticamente il certificato memorizzato nella cache. L'utente deve chiudere il browser e quindi riaprire una nuova sessione per riprovare.

Perché la prova di identità per registrare altri metodi di autenticazione viene visualizzata come opzione quando si usano certificati a fattore singolo?

Un utente è considerato in grado di eseguire l'autenticazione a più fattori (MFA) quando l'utente è nell'ambito di CBA nei criteri dei metodi di autenticazione. Questo requisito di criterio significa che un utente non può usare la prova dell'identità come parte dell'autenticazione per registrare altri metodi disponibili.

Come è possibile usare i certificati a fattore singolo per completare l'autenticazione a più fattori?

Per ottenere l'autenticazione a più fattori, è supportata l'autenticazione a più fattori. CBA a fattore singolo con accesso tramite telefono senza password e fattore singolo CBA con FIDO2 sono le due combinazioni supportate per ottenere l'autenticazione a più fattori usando i certificati a fattore singolo.

Per altre informazioni, vedere MFA con certificati a fattore singolo.

L'aggiornamento certificateUserIds non riesce perché è un valore esistente. In che modo un amministratore può eseguire una query su tutti gli oggetti utente con lo stesso valore?

Gli amministratori tenant possono eseguire query di Microsoft Graph per trovare tutti gli utenti con un valore specifico certificateUserIds . Per altre informazioni, vedere certificateUserIds Query graph.

Ad esempio, questo comando restituisce tutti gli oggetti utente con il valore bob@contoso.com in certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Microsoft Entra CBA può essere usato in Microsoft Surface Hub?

Sì. L'amministratore di amministrazione di Azure funziona in modo predefinito per la maggior parte delle combinazioni di smart card e lettore di smart card. Se la combinazione di smart card e lettore smart card richiede altri driver, è necessario installare i driver prima di poter usare la combinazione di smart card e lettore di smart card in Surface Hub.

Contenuti correlati

Se la domanda non viene risposta qui, vedere gli articoli correlati seguenti:

• Panoramica di Microsoft Entra CBA
• Concetti tecnici di Microsoft Entra CBA
• Microsoft Entra CBA nei dispositivi iOS
• Microsoft Entra CBA nei dispositivi Android
• Configurare Microsoft Entra CBA
• Accesso tramite smart card di Windows tramite Microsoft Entra CBA
• ID utente certificato
• Eseguire la migrazione di utenti federati

Questo articolo illustra le domande frequenti sul funzionamento dell'autenticazione basata su certificati (CBA) di Microsoft Entra. Controllare di nuovo il contenuto aggiornato.

Un amministratore deve attivare L'amministratore per consentire al tenant di accedere usando un certificato disponibile per gli utenti. Per altre informazioni, vedere Passaggio 3: Configurare i criteri di associazione di autenticazione.

Nella pagina degli errori selezionare Altri dettagli per altre informazioni per aiutare l'amministratore del tenant. L'amministratore del tenant può controllare i log di accesso per analizzare l'errore. Ad esempio, se un certificato utente viene revocato e si trova nell'elenco di revoche di certificazione (CRL), l'autenticazione non riesce come previsto.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra con almeno il ruolo Di amministratore criteri di autenticazione assegnato.
2. Passare a Entra ID> metodi di> Entra).
3. Selezionare i criteri di autenticazione basati su certificati .
4. Nella scheda Abilita e destinazione selezionare Abilita.

Microsoft Entra CBA è una funzionalità gratuita.

Ogni edizione di Microsoft Entra ID include Microsoft Entra CBA.

Per altre informazioni sulle funzionalità di ogni edizione di Microsoft Entra, vedere Prezzi di Microsoft Entra.

No Attualmente, l'accesso tramite un valore non UPN, ad esempio un messaggio di posta elettronica alternativo, non è supportato.

No, un solo punto di distribuzione CRL (CDP) è supportato per ogni autorità di certificazione (CA).

No CDP supporta solo gli URL HTTP.

Scaricare il CRL e confrontare il certificato CA e le informazioni CRL per verificare che il crlDistributionPoint valore sia valido per la CA da aggiungere. È possibile configurare il CRL nella CA corrispondente associando l'identificatore della chiave del soggetto dell'autorità di certificazione (SKI) all'identificatore della chiave dell'autorità (AKI) dell'autorità di certificazione (CA Issuer SKI == CRL AKI).

La tabella e la figura seguenti illustrano come eseguire il mapping delle informazioni dal certificato CA agli attributi del CRL scaricato.

Informazioni sul certificato DELLA CA	=	Informazioni CRL scaricate
Oggetto	=	Emittente
Identificatore chiave soggetto (SKI)	=	Identificatore di chiave dell'autorità (KeyID)

È importante assicurarsi che la configurazione dell'autorità di certificazione nell'archivio attendibilità comporti la possibilità di convalidare sia la catena di attendibilità dell'autorità di certificazione. Inoltre, dovrebbe acquisire correttamente l'elenco di revoche di certificati (CRL) dal punto di distribuzione CRL (CDP) configurato dell'autorità di certificazione. Per facilitare questa attività, è consigliabile installare il modulo PowerShell MSIdentity Tools ed eseguire Test-MsIdCBATrustStoreConfiguration. Questo cmdlet di PowerShell esaminerà la configurazione dell'autorità di certificazione tenant di Microsoft Entra e gli errori/avvisi della superficie per problemi di configurazione errata comuni.

Il criterio viene memorizzato nella cache. Dopo un aggiornamento dei criteri, potrebbero essere necessarie fino a un'ora per rendere effettive le modifiche.

I criteri del metodo di autenticazione mostrano sempre tutti i metodi di autenticazione disponibili per l'utente in modo che possano ripetere l'accesso usando qualsiasi metodo preferito.

Microsoft Entra ID non nasconde i metodi disponibili in base all'esito positivo o negativo di un accesso.

Il browser memorizza nella cache il certificato dopo la visualizzazione della selezione certificati. Se l'utente ritenta l'autenticazione, viene usato automaticamente il certificato memorizzato nella cache. L'utente deve chiudere il browser e quindi riaprire una nuova sessione per riprovare.

Un utente è considerato in grado di eseguire l'autenticazione a più fattori (MFA) quando l'utente è nell'ambito di CBA nei criteri dei metodi di autenticazione. Questo requisito di criterio significa che un utente non può usare la prova dell'identità come parte dell'autenticazione per registrare altri metodi disponibili.

Per ottenere l'autenticazione a più fattori, è supportata l'autenticazione a più fattori. CBA a fattore singolo con accesso tramite telefono senza password e fattore singolo CBA con FIDO2 sono le due combinazioni supportate per ottenere l'autenticazione a più fattori usando i certificati a fattore singolo.

Per altre informazioni, vedere MFA con certificati a fattore singolo.

Gli amministratori tenant possono eseguire query di Microsoft Graph per trovare tutti gli utenti con un valore specifico certificateUserIds . Per altre informazioni, vedere certificateUserIds Query graph.

Ad esempio, questo comando restituisce tutti gli oggetti utente con il valore bob@contoso.com in certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Sì. L'amministratore di amministrazione di Azure funziona in modo predefinito per la maggior parte delle combinazioni di smart card e lettore di smart card. Se la combinazione di smart card e lettore smart card richiede altri driver, è necessario installare i driver prima di poter usare la combinazione di smart card e lettore di smart card in Surface Hub.

Contenuti correlati

Se la domanda non viene risposta qui, vedere gli articoli correlati seguenti:

• Panoramica di Microsoft Entra CBA
• Concetti tecnici di Microsoft Entra CBA
• Microsoft Entra CBA nei dispositivi iOS
• Microsoft Entra CBA nei dispositivi Android
• Configurare Microsoft Entra CBA
• Accesso tramite smart card di Windows tramite Microsoft Entra CBA
• ID utente certificato
• Eseguire la migrazione di utenti federati