Editar

Compartilhar via


Perguntas frequentes sobre a CBA (autenticação baseada em certificado) do Microsoft Entra

Este artigo aborda as perguntas frequentes sobre como a CBA (autenticação baseada em certificado) do Microsoft Entra funciona. Continue verificando conteúdo atualizado.

Por que não vejo uma opção para entrar no Microsoft Entra ID usando certificados após inserir meu nome de usuário?

Um administrador precisa habilitar a CBA para o locatário disponibilizar aos usuários a opção de entrar com o certificado. Para obter mais informações, consulte Etapa 3: configurar política de associação de autenticação.

Onde é possível obter mais informações de diagnóstico após uma falha na entrada de um usuário?

Na página de erro, clique em Mais Detalhes para obter mais informações para ajudar o administrador do locatário. O administrador do locatário poderá verificar o Relatório de entradas para investigar mais. Por exemplo, se um certificado de usuário for revogado e fizer parte de uma Lista de Certificados Revogados, a autenticação falhará corretamente. Para obter mais informações de diagnóstico, verifique o Relatório de entradas.

Como um administrador pode habilitar a CBA do Microsoft Entra?

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
  2. Navegue até Proteção>Métodos de autenticação>Políticas.
  3. Selecione a política: Autenticação baseada em certificado.
  4. Na guia Habilitação e Destino, selecione a opção para Habilitar a autenticação baseada em certificado.

O CBA do Microsoft Entra é um recurso gratuito?

A autenticação baseada em certificado é um recurso gratuito. Toda edição do Microsoft Entra ID inclui a CBA do Microsoft Entra. Para obter mais informações sobre recursos em cada edição do Microsoft Entra, consulte os preços do Microsoft Entra.

A CBA do Microsoft Entra dá suporte à ID Alternativa como o nome de usuário em vez de userPrincipalName?

Não, a entrada por meio de um valor diferente de UPN, como um email alternativo, não tem suporte agora.

Posso ter mais de um CDP (Ponto de Distribuição de CRL) para uma AC (Autoridade de Certificação)?

Não, há suporte apenas para um CPD por AC.

Posso ter URLs não http para CPD?

Não, o CPD dá suporte apenas a URLs HTTP.

Como fazer para localizar a CRL de uma Autoridade de Certificação ou como solucionar o erro AADSTS2205015: a lista de certificados revogados (CRL) falhou na validação de assinatura?

Baixe a CRL e compare o certificado de AC e as informações da CRL para validar se o valor crlDistributionPoint é válido para a AC que você deseja adicionar. Você pode configurar a lista de certificados revogados para a autoridade de certificação correspondente, correspondendo a SKI de emissor da autoridade de certificação à AKI da lista de certificados revogados (SKI de emissor da autoridade de certificação == AKI da lista de certificados revogados) A tabela e o gráfico a seguir mostram como mapear informações do certificado da autoridade de certificação para os atributos da lista de certificados revogados baixada.

ID do certificado de Autoridade de Certificação = Informações de CRL baixadas
Assunto = Emissor
Identificador da chave de assunto = Identificador de Chave de Autoridade (KeyID)

Captura de tela comparando o certificado CA com as informações de CRL.

Como fazer para validar a configuração da Autoridade de Certificação?

É importante garantir que a configuração da autoridade de certificação no resultado do armazenamento confiável seja a capacidade do Microsoft Entra de validar a cadeia de confiança da autoridade de certificação e adquirir com êxito a lista de revogação de certificados (CRL) do ponto de distribuição de CRL (CDP) da autoridade de certificação configurada. Para ajudar nessa tarefa, é recomendável instalar o módulo Ferramentas de MSIdentity do PowerShell e executar Test-MsIdCBATrustStoreConfiguration. Esse cmdlet do PowerShell analisará a configuração da autoridade de certificação do locatário do Microsoft Entra e apresentará erros/avisos relativos a problemas comuns de configuração incorreta.

Como fazer para ativar ou desativar a verificação de revogação de certificado para uma AC específica?

É altamente recomendável não desabilitar a verificação da CRL (lista de revogação de certificados), pois não é possível revogar certificados. No entanto, se for necessário investigar problemas com a verificação da CRL, você poderá atualizar uma autoridade de certificação confiável e definir o atributo crlDistributionPoint como """.

Use o cmdlet Set-AzureADTrustedCertificateAuthority:

$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]

Há um limite para o tamanho da CRL?

Os seguintes limites de tamanho da CRL se aplicam:

  • Limite de download de entrada interativo: 20 MB (Azure Global inclui GCC), 45 MB para (Azure US Government, inclui GCC High, Departamento de Defesa).
  • Limite de download de serviço: 65 MB (Azure Global inclui GCC), 150 MB para (Azure US Government, inclui GCC High, Departamento de Defesa).

Quando um download de CRL falhar, a seguinte mensagem será exibida:

"A CRL (Lista de Certificados Revogados) baixada de {uri} excedeu o tamanho máximo permitido de ({size} bytes) para CRLs no Microsoft Entra ID. Tente novamente em alguns minutos. Se o problema persistir, contate os administradores de locatários."

O download permanecerá em segundo plano com limites mais altos.

Estamos analisando o impacto desses limites e planejamos removê-los.

Vejo um conjunto de pontos de extremidade de CRL (Lista de Certificados Revogados) válido, mas por que não vejo nenhuma revogação de CRL?

  • Garanta que o ponto de distribuição da CRL esteja definido como uma URL HTTP válida.
  • Garanta que o ponto de distribuição de CRL esteja acessível por meio de uma URL voltada para a Internet.
  • Verifique se tamanhos de CRL estão dentro dos limites.

Como fazer para revogar instantaneamente um certificado?

As alterações na política de métodos de autenticação entrarão em vigor imediatamente?

A política é armazenada em cache. Após a atualização de uma política, pode levar até uma hora para que as alterações entrem em vigor.

Por que vejo a opção de autenticação baseada em certificado após a falha?

A política do método de autenticação sempre mostrará todos os métodos de autenticação disponíveis para o usuário para que ele possa tentar entrar novamente usando qualquer método de sua preferência. O Microsoft Entra ID não oculta os métodos disponíveis com base no êxito ou na falha de uma entrada.

Por que a CBA (autenticação baseada em certificado) executa um loop quando falha?

O navegador armazenará em cache o certificado depois que o seletor de certificados for exibido. Se o usuário tentar novamente, o certificado armazenado em cache será usado automaticamente. O usuário deverá fechar o navegador e reabrir uma nova sessão para tentar a CBA novamente.

Por que a prova de registro de outros métodos de autenticação não é exibida quando uso os certificados de fator único?

Um usuário é considerado capaz para a autenticação multifator quando está no escopo da autenticação baseada em certificado na política de métodos de autenticação. Esse requisito de política significa que um usuário não pode usar a prova como parte de sua autenticação para registrar outros métodos disponíveis.

Como posso usar certificados de fator único para concluir a MFA?

Temos suporte para a CBA de fator único para obter a MFA. CBA SF + PSI (entrada por telefone sem senha) e CBA SF + FIDO2 são as duas combinações com suporte para obter a MFA usando certificados de fator único. MFA com certificados de fator único

A atualização de CertificateUserIds falha com o valor já existente. Como um administrador poderá consultar todos os objetos de usuário com o mesmo valor?

Os administradores de locatários poderão executar consultas do MS Graph para localizar todos os usuários com um determinado valor de certificateUserId. Mais informações podem ser encontradas em consultas de grafo CertificateUserIds

GET todos os objetos de usuário que têm o valor 'bob@contoso.com' em certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Depois que um ponto de extremidade de CRL é configurado, os usuários finais não podem entrar e recebem a seguinte mensagem de diagnóstico: ```http AADSTS500173: não é possível baixar a CRL. Código de status inválido Proibido pelo ponto de distribuição da CRL errorCode: 500173 ```

Isso geralmente aparece quando uma configuração de regra de firewall bloqueia o acesso ao ponto de extremidade de CRL.

O Microsoft Entra CBA pode ser usado no SurfaceHub?

Sim. Isso funciona imediatamente para a maioria das combinações de leitor de cartão inteligente. Se a combinação cartão inteligente / leitor de cartão inteligente exigir drivers adicionais, eles deverão ser instalados antes de utilizar a combinação cartão inteligente / leitor de cartão inteligente no hub do SurfaceHub.