Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące sposobu działania uwierzytelniania opartego na certyfikatach (CBA) firmy Microsoft. Zachowaj kontrolę nad zaktualizowaną zawartością.
Dlaczego nie widzę opcji logowania się do identyfikatora Entra firmy Microsoft przy użyciu certyfikatów po wprowadzeniu nazwy użytkownika?
Administrator musi włączyć usługę CBA dla dzierżawy, aby opcja logowania przy użyciu certyfikatu dostępna dla użytkowników. Aby uzyskać więcej informacji, zobacz Krok 3: Konfigurowanie zasad powiązania uwierzytelniania.
Gdzie mogę uzyskać więcej informacji diagnostycznych po nieudanym logowaniu użytkownika?
Na stronie błędu kliknij pozycję Więcej szczegółów , aby uzyskać więcej informacji, aby pomóc administratorowi dzierżawy. Administrator dzierżawy może sprawdzić raport Logowania, aby dokładniej zbadać ten problem . Jeśli na przykład certyfikat użytkownika zostanie odwołany i jest częścią listy odwołania certyfikatów, uwierzytelnianie zakończy się niepowodzeniem. Aby uzyskać więcej informacji diagnostycznych, zapoznaj się z raportem Logowania.
Jak administrator może włączyć usługę Microsoft Entra CBA?
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.
- Przejdź do strony Zasady metod> uwierzytelniania ochrony.>
- Wybierz zasady: Uwierzytelnianie oparte na certyfikatach.
- Na karcie Włącz i cel wybierz przełącznik Włącz, aby włączyć uwierzytelnianie oparte na certyfikatach.
Czy microsoft Entra CBA jest bezpłatną funkcją?
Uwierzytelnianie oparte na certyfikatach to bezpłatna funkcja. Każda wersja microsoft Entra ID zawiera microsoft Entra CBA. Aby uzyskać więcej informacji na temat funkcji w każdej wersji firmy Microsoft Entra, zobacz Cennik firmy Microsoft Entra.
Czy firma Microsoft Entra CBA obsługuje identyfikator alternatywny jako nazwę użytkownika zamiast userPrincipalName?
Nie, logowanie przy użyciu wartości innej niż nazwa UPN, takiej jak alternatywna wiadomość e-mail, nie jest teraz obsługiwane.
Czy mogę mieć więcej niż jeden punkt dystrybucji listy CRL (CDP) dla urzędu certyfikacji?
Nie, tylko jedna usługa CDP jest obsługiwana dla każdego urzędu certyfikacji.
Czy mogę mieć adresy URL inne niż http dla usługi CDP?
Nie. Usługa CDP obsługuje tylko adresy URL HTTP.
Jak mogę znaleźć listę CRL dla urzędu certyfikacji lub jak rozwiązać problem z błędem AADSTS2205015: Lista odwołania certyfikatów (CRL) zakończyła się niepowodzeniem?
Pobierz listę CRL i porównaj certyfikat urzędu certyfikacji oraz informacje listy CRL, aby sprawdzić, czy wartość crlDistributionPoint jest prawidłowa dla urzędu certyfikacji, który chcesz dodać. Listę CRL można skonfigurować do odpowiedniego urzędu certyfikacji, pasując wystawcy urzędu certyfikacji ski do AKI listy CRL (CA Issuer SKI == CRL AKI) Poniższa tabela i grafika pokazują, jak mapować informacje z certyfikatu urzędu certyfikacji na atrybuty pobranej listy CRL.
| Informacje o certyfikacie urzędu certyfikacji | = | Pobrane informacje o listach CRL |
|---|---|---|
| Subject | = | Wystawca |
| Identyfikator klucza podmiotu | = | Identyfikator klucza urzędu (KeyID) |
Jak mogę zweryfikować konfigurację urzędu certyfikacji?
Ważne jest, aby upewnić się, że konfiguracja urzędu certyfikacji w magazynie zaufania jest zdolność firmy Microsoft Entra do weryfikacji łańcucha zaufania urzędu certyfikacji i pomyślnego uzyskania listy odwołania certyfikatów (CRL) ze skonfigurowanego punktu dystrybucji listy CRL urzędu certyfikacji (CDP). Aby pomóc w tym zadaniu, zaleca się zainstalowanie modułu PROGRAMU PowerShell narzędzi MSIdentity Tools i uruchomienie polecenia Test-MsIdCBATrustStoreConfiguration. To polecenie cmdlet programu PowerShell przejrzyj konfigurację urzędu certyfikacji dzierżawy i błędy/ostrzeżenia dotyczące typowych problemów z nieprawidłową konfiguracją.
Jak mogę włączyć lub wyłączyć sprawdzanie odwołania certyfikatów dla określonego urzędu certyfikacji?
Zdecydowanie zalecamy wyłączenie sprawdzania listy odwołania certyfikatów (CRL), ponieważ nie będzie można odwołać certyfikatów. Jeśli jednak musisz zbadać problemy z sprawdzaniem listy CRL, możesz zaktualizować zaufany urząd certyfikacji i ustawić atrybut crlDistributionPoint na "".
Użyj polecenia cmdlet Set-AzureADTrustedCertificateAuthority:
$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]
Czy istnieje limit rozmiaru listy CRL?
Obowiązują następujące limity rozmiaru listy CRL:
- Limit pobierania logowania interakcyjnego: 20 MB (globalna platforma Azure obejmuje GCC), 45 MB dla (azure government, łącznie z GCC High, dept of Defense)
- Limit pobierania usługi: 65 MB (Azure Global includes GCC), 150 MB dla (Azure US Government, obejmuje GCC High, Dept of Defense)
Gdy pobieranie listy CRL zakończy się niepowodzeniem, zostanie wyświetlony następujący komunikat:
"Lista odwołania certyfikatów (CRL) pobrana z witryny {uri} przekroczyła maksymalny dozwolony rozmiar ({size} bajtów) dla list CRL w identyfikatorze Entra firmy Microsoft. Spróbuj ponownie za kilka minut. Jeśli problem będzie się powtarzać, skontaktuj się z administratorami dzierżawy".
Pobieranie pozostaje w tle z wyższymi limitami.
Przeglądamy wpływ tych limitów i planujemy je usunąć.
Widzę prawidłowy zestaw punktów końcowych listy odwołania certyfikatów (CRL), ale dlaczego nie widzę żadnego odwołania listy CRL?
- Upewnij się, że punkt dystrybucji listy CRL jest ustawiony na prawidłowy adres URL HTTP.
- Upewnij się, że punkt dystrybucji listy CRL jest dostępny za pośrednictwem adresu URL dostępnego z Internetu.
- Upewnij się, że rozmiary listy CRL znajdują się w granicach.
Jak mogę natychmiast odwołać certyfikat?
Wykonaj kroki, aby ręcznie odwołać certyfikat.
Czy zmiany zasad metod uwierzytelniania zostaną zastosowane natychmiast?
Zasady są buforowane. Po aktualizacji zasad może upłynąć do godziny, aby zmiany zaczęły obowiązywać.
Dlaczego po awarii jest widoczna opcja uwierzytelniania opartego na certyfikatach?
Zasady metody uwierzytelniania zawsze wyświetlają wszystkie dostępne metody uwierzytelniania dla użytkownika, aby mogli ponowić próbę zalogowania przy użyciu dowolnej preferowanej metody. Identyfikator Entra firmy Microsoft nie ukrywa dostępnych metod na podstawie powodzenia lub niepowodzenia logowania.
Dlaczego po awarii pętle uwierzytelniania opartego na certyfikatach (CBA) kończą się niepowodzeniem?
Przeglądarka buforuje certyfikat po pojawieniu się selektora certyfikatów. Jeśli użytkownik ponawia próbę, buforowany certyfikat jest używany automatycznie. Użytkownik powinien zamknąć przeglądarkę i ponownie otworzyć nową sesję, aby ponowić próbę cba.
Dlaczego nie można sprawdzić rejestrowania innych metod uwierzytelniania podczas korzystania z certyfikatów pojedynczego czynnika?
Użytkownik jest uważany za zdolny do uwierzytelniania wieloskładnikowego, gdy użytkownik znajduje się w zakresie uwierzytelniania opartego na certyfikatach w zasadach Metod uwierzytelniania . To wymaganie zasad oznacza, że użytkownik nie może użyć weryfikacji w ramach uwierzytelniania w celu zarejestrowania innych dostępnych metod.
Jak można używać certyfikatów jednoskładnikowych do ukończenia uwierzytelniania wieloskładnikowego?
Mamy wsparcie dla pojedynczego czynnika CBA, aby uzyskać uwierzytelnianie wieloskładnikowe. CBA SF + logowanie bez hasła (PSI) i CBA SF + FIDO2 to dwie obsługiwane kombinacje umożliwiające uzyskanie uwierzytelniania wieloskładnikowego przy użyciu certyfikatów jednoskładnikowych. Uwierzytelnianie wieloskładnikowe z certyfikatami jednoskładnikowymi
Aktualizacja CertificateUserIds kończy się niepowodzeniem z wartością już tam. Jak administrator może wysyłać zapytania do wszystkich obiektów użytkownika o tej samej wartości?
Administratorzy dzierżawy mogą uruchamiać zapytania programu MS Graph, aby znaleźć wszystkich użytkowników z daną wartością certificateUserId. Więcej informacji można znaleźć w artykule CertificateUserIds graph queries (Zapytania grafu CertificateUserIds)
POBIERZ wszystkie obiekty użytkownika, które mają wartość "bob@contoso.com" w certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Po skonfigurowaniu punktu końcowego listy CRL użytkownicy końcowi nie będą mogli się zalogować i zobaczą następujący komunikat diagnostyczny: ''http AADSTS500173: nie można pobrać listy CRL. Nieprawidłowy kod stanu Zabronione z błędu punktu dystrybucji listy CRLCode: 500173 ""
Jest to często spotykane, gdy ustawienie reguły zapory blokuje dostęp do punktu końcowego listy CRL.
Czy usługa Microsoft Entra CBA może być używana na urządzeniu SurfaceHub?
Tak. Działa to w pudełku dla większości kombinacji kart inteligentnych / czytnika kart inteligentnych. Jeśli kombinacja czytnika kart inteligentnych/kart inteligentnych wymaga dodatkowych sterowników, należy je zainstalować przed użyciem kombinacji czytnika kart inteligentnych/kart inteligentnych na urządzeniu Surface Hub.
Następne kroki
Jeśli nie udzielono odpowiedzi na twoje pytanie, zapoznaj się z następującymi tematami pokrewnymi:
- Omówienie usługi Microsoft Entra CBA
- Szczegółowe informacje techniczne dotyczące usługi Microsoft Entra CBA
- Microsoft Entra CBA na urządzeniach z systemem iOS
- Microsoft Entra CBA na urządzeniach z systemem Android
- Jak skonfigurować usługę Microsoft Entra CBA
- Logowanie za pomocą karty inteligentnej systemu Windows przy użyciu usługi Microsoft Entra CBA
- Identyfikatory użytkownika certyfikatu
- Jak migrować użytkowników federacyjnych