Bu makalede, Microsoft Entra sertifika tabanlı kimlik doğrulamasının (CBA) nasıl çalıştığı hakkında sık sorulan sorular ele alınmaktadır. Güncelleştirilmiş içerik için kontrole devam edin.
Kullanıcı adımı girdikten sonra neden sertifikaları kullanarak Microsoft Entra Id'de oturum açma seçeneği görmüyorum?
Sertifikayla oturum açma seçeneğini kullanıcılar için kullanılabilir hale getirmek için yöneticinin kiracı için CBA'yı etkinleştirmesi gerekir. Daha fazla bilgi için bkz . 3. Adım: Kimlik doğrulama bağlama ilkesini yapılandırma.
Kullanıcı oturum açma başarısız olduktan sonra nereden daha fazla tanılama bilgisi alabilirim?
Kiracı yöneticinize yardımcı olmak için hata sayfasında Diğer Ayrıntılar'a tıklayın. Kiracı yöneticisi, daha fazla araştırma yapmak için Oturum Açmalar raporunu denetleyebilir. Örneğin, bir kullanıcı sertifikası iptal edilirse ve Sertifika İptal Listesi'nin bir parçasıysa, kimlik doğrulaması doğru şekilde başarısız olur. Daha fazla tanılama bilgisi almak için Oturum açma işlemleri raporunu gözden geçirin.
Bir yönetici Microsoft Entra CBA'yı nasıl etkinleştirebilir?
- Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.
- Koruma>Kimlik Doğrulama yöntemleri İlkeleri'ne> göz atın.
- İlkeyi seçin: Sertifika tabanlı Kimlik Doğrulaması.
- Etkinleştir ve Hedef sekmesinde, sertifika tabanlı kimlik doğrulamasını etkinleştirmek için Etkinleştir iki durumlu düğmesini seçin.
Microsoft Entra CBA ücretsiz bir özellik mi?
Sertifika tabanlı kimlik doğrulaması ücretsiz bir özelliktir. Microsoft Entra ID'nin her sürümü Microsoft Entra CBA içerir. Her Microsoft Entra sürümündeki özellikler hakkında daha fazla bilgi için bkz . Microsoft Entra fiyatlandırması.
Microsoft Entra CBA, userPrincipalName yerine kullanıcı adı olarak Alternatif Kimliği destekliyor mu?
Hayır, başka bir e-posta gibi UPN olmayan bir değer kullanarak oturum açma şu anda desteklenmiyor.
Sertifika Yetkilisi (CA) için birden fazla CRL Dağıtım Noktası (CDP) alabilir miyim?
Hayır, CA başına yalnızca bir CDP desteklenir.
CDP için http olmayan URL'lere sahip olabilir miyim?
Hayır, CDP yalnızca HTTP URL'lerini destekler.
Nasıl yaparım? sertifika yetkilisinin CRL'sini bulun veya AADSTS2205015: Sertifika İptal Listesi (CRL) imza doğrulaması başarısız oldu hatasını nasıl giderebilirim?
CrlDistributionPoint değerinin eklemek istediğiniz CA için geçerli olduğunu doğrulamak için lütfen CRL'yi indirin ve CA sertifikasını ve CRL bilgilerini karşılaştırın. CA'nın Veren SKI değerini CRL'nin AKI'sı ile eşleştirerek CRL'yi ilgili CA ile yapılandırabilirsiniz (CA Veren SKI == CRL AKI) Aşağıdaki tablo ve grafik, CA sertifikasındaki bilgilerin indirilen CRL'nin öznitelikleriyle nasıl eşleneceklerini gösterir.
| CA Sertifika Bilgileri | = | İndirilen CRL Bilgileri |
|---|---|---|
| Subject | = | Sertifikayı veren |
| Konu Anahtarı Tanımlayıcısı | = | Yetkili Anahtar Tanımlayıcısı (KeyID) |
Sertifika Yetkilisi yapılandırmasını doğrulamak Nasıl yaparım??
Güven deposu sonucundaki Sertifika Yetkilisi yapılandırmasının, hem sertifika yetkilisi güven zincirini doğrulamak hem de sertifika iptal listesini (CRL) yapılandırılan sertifika yetkilisi CRL dağıtım noktasından (CDP) başarıyla almak için Microsoft Entra ID özelliği olduğundan emin olmak önemlidir. Bu göreve yardımcı olmak için MSIdentity Araçları PowerShell modülünü yüklemeniz ve Test-MsIdCBATrustStoreConfiguration komutunu çalıştırmanız önerilir. Bu PowerShell cmdlet'i Entra kiracı sertifika yetkilisi yapılandırmasını gözden geçirir ve yaygın hatalı yapılandırma sorunları için hataları/uyarıları ortaya çıkartır.
Belirli bir CA için sertifika iptal denetimini açmak veya kapatmak Nasıl yaparım??
Sertifikaları iptal etmeyeceğiniz için sertifika iptal listesi (CRL) denetimini devre dışı bırakmamanızı kesinlikle öneririz. Ancak, CRL denetimiyle ilgili sorunları araştırmanız gerekiyorsa, güvenilen bir CA'yı güncelleştirebilir ve crlDistributionPoint özniteliğini """ olarak ayarlayabilirsiniz.
Set-AzureADTrustedCertificateAuthority cmdlet'ini kullanın:
$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]
CRL boyutu için bir sınır var mı?
Aşağıdaki CRL boyut sınırları geçerlidir:
- Etkileşimli oturum açma indirme sınırı: 20 MB (Azure Global GCC içerir), 45 MB (Azure ABD kamu, GCC High, Dept. of Defense içerir)
- Hizmet indirme sınırı: 65 MB (Azure Global GCC içerir), 150 MB (Azure ABD kamu, GCC High, Dept. of Defense içerir)
CRL indirmesi başarısız olduğunda aşağıdaki ileti görüntülenir:
"{uri} öğesinden indirilen Sertifika İptal Listesi (CRL), Microsoft Entra Kimliği'ndeki CRL'ler için izin verilen en büyük boyutu ({size} bayt) aştı. Birkaç dakika içinde yeniden deneyin. Sorun devam ederse kiracı yöneticilerinize başvurun."
İndirme daha yüksek sınırlarla arka planda kalır.
Bu sınırların etkisini gözden geçiriyoruz ve bunları kaldırma planlarımız var.
Geçerli bir Sertifika İptal Listesi (CRL) uç noktası kümesi görüyorum, ancak neden CRL iptali görmüyorum?
- CRL dağıtım noktasının geçerli bir HTTP URL'sine ayarlandığından emin olun.
- CRL dağıtım noktasının İnternet'e yönelik bir URL aracılığıyla erişilebilir olduğundan emin olun.
- CRL boyutlarının sınırlar içinde olduğundan emin olun.
Sertifikayı anında iptal Nasıl yaparım??
Bir sertifikayı el ile iptal etmek için adımları izleyin.
Kimlik Doğrulama yöntemleri ilkesindeki değişiklikler hemen geçerli olacak mı?
İlke önbelleğe alınır. İlke güncelleştirmesinin ardından değişikliklerin geçerli olması bir saat kadar sürebilir.
Başarısız olduktan sonra sertifika tabanlı kimlik doğrulama seçeneğini neden görüyorum?
Kimlik doğrulama yöntemi ilkesi her zaman kullanıcıya tüm kullanılabilir kimlik doğrulama yöntemlerini gösterir, böylece tercih ettikleri herhangi bir yöntemi kullanarak oturum açmayı yeniden deneyebilir. Microsoft Entra Id, oturum açmanın başarılı veya başarısız olmasına bağlı olarak kullanılabilir yöntemleri gizlemez.
Sertifika tabanlı kimlik doğrulaması (CBA) başarısız olduktan sonra neden döngü yapar?
Sertifika seçici göründükten sonra tarayıcı sertifikayı önbelleğe alır. Kullanıcı yeniden denerse, önbelleğe alınan sertifika otomatik olarak kullanılır. Kullanıcı, CBA'yı yeniden denemek için tarayıcıyı kapatmalı ve yeni bir oturumu yeniden açmalıdır.
Tek faktörlü sertifikalar kullandığımda neden diğer kimlik doğrulama yöntemlerini kaydetmeye yönelik bir kanıt görünmüyor?
Kullanıcı, Kimlik Doğrulama yöntemleri ilkesinde Sertifika tabanlı kimlik doğrulaması kapsamında olduğunda MFA için uygun olarak kabul edilir. Bu ilke gereksinimi, bir kullanıcının diğer kullanılabilir yöntemleri kaydetmek için kimlik doğrulamasının bir parçası olarak yazım denetlemeyi kullanamama anlamına gelir.
MFA'yı tamamlamak için tek faktörlü sertifikaları nasıl kullanabilirim?
MFA almak için tek faktörlü CBA desteğine sahibiz. CBA SF + parolasız telefon oturum açma (PSI) ve CBA SF + FIDO2, tek faktörlü sertifikalar kullanarak MFA almak için desteklenen iki birleşimdir. Tek faktörlü sertifikalarla MFA
CertificateUserIds güncelleştirmesi zaten orada olan değerle başarısız oluyor. Bir yönetici aynı değere sahip tüm kullanıcı nesnelerini nasıl sorgulayabilir?
Kiracı yöneticileri, belirli bir certificateUserId değerine sahip tüm kullanıcıları bulmak için MS Graph sorguları çalıştırabilir. Daha fazla bilgi için bkz . CertificateUserIds graf sorguları
certificateUserIds içinde 'bob@contoso.com' değerine sahip tüm kullanıcı nesnelerini GET:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
CRL uç noktası yapılandırıldıktan sonra, son kullanıcılar oturum açamaz ve aşağıdaki tanılama iletisini görür: '''http AADSTS500173: CRL indirilemiyor. Geçersiz durum kodu CRL dağıtım noktasında yasak errorCode: 500173 '''
Bu durum genellikle bir güvenlik duvarı kuralı ayarı CRL uç noktasına erişimi engellediğinde görülür.
Microsoft Entra CBA SurfaceHub'da kullanılabilir mi?
Evet. Bu, çoğu akıllı kart / akıllı kart okuyucu kombinasyonları için kutudan çıkar. Akıllı kart / akıllı kart okuyucu kombinasyonu ek sürücüler gerektiriyorsa, bunlar surface hub'ına akıllı kart / akıllı kart okuyucu kombinasyonu kullanmadan önce yüklenmelidir.
Sonraki adımlar
Sorunuza burada yanıt verirseniz aşağıdaki ilgili konulara bakın:
- Microsoft Entra CBA'ya genel bakış
- Microsoft Entra CBA için teknik ayrıntılı bakış
- iOS cihazlarda Microsoft Entra CBA
- Android cihazlarda Microsoft Entra CBA
- Microsoft Entra CBA'yi yapılandırma
- Microsoft Entra CBA kullanarak Windows akıllı kart oturumu açma
- Sertifika kullanıcı kimlikleri
- Federasyon kullanıcılarını geçirme