Microsoft Entra sertifika tabanlı kimlik doğrulaması hakkında sık sorulan sorular

Bu makalede, Microsoft Entra sertifika tabanlı kimlik doğrulamasının (CBA) nasıl çalıştığı hakkında sık sorulan sorular ele alınmaktadır. Güncelleştirilmiş içeriği yeniden denetleyin.

Kullanıcı adımı girdikten sonra neden sertifikaları kullanarak Microsoft Entra Id'de oturum açma seçeneği görmüyorum?

Kullanıcıların kullanabilecekleri bir sertifika kullanarak oturum açma seçeneğini belirlemek için yöneticinin kiracı için CBA'yi açması gerekir. Daha fazla bilgi için bkz . 3. Adım: Kimlik doğrulama bağlama ilkesini yapılandırma.

Kullanıcı oturum açma işlemi başarısız olduktan sonra nereden daha fazla tanılama bilgisi alabilirim?

Kiracı yöneticinize yardımcı olacak daha fazla bilgi için hata sayfasında Diğer Ayrıntılar'ı seçin. Kiracı yöneticisi, hatayı araştırmak için oturum açma günlüklerini denetleyebiliyor. Örneğin, bir kullanıcı sertifikası iptal edilirse ve sertifika iptal listesinde (CRL) yer alıyorsa, kimlik doğrulaması istendiği gibi başarısız olur.

Microsoft Entra CBA'sı nasıl açılır?

1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi rolü atanmış olarak oturum açın.
2. Entra ID>Kimlik Doğrulama yöntemleri İlkeleri'ne> gidin.
3. Sertifika tabanlı kimlik doğrulama ilkesini seçin.
4. Etkinleştir ve Hedef sekmesinde Etkinleştir'i seçin.

Microsoft Entra CBA ücretsiz bir özellik mi?

Microsoft Entra CBA ücretsiz bir özelliktir.

Microsoft Entra ID'nin her sürümü Microsoft Entra CBA içerir.

Her Microsoft Entra sürümündeki özellikler hakkında daha fazla bilgi için bkz. Microsoft Entra fiyatlandırması.

Microsoft Entra CBA, userPrincipalName yerine kullanıcı adı olarak alternatif bir kimliği destekliyor mu?

Hayır. Şu anda alternatif bir e-posta gibi UPN olmayan bir değer kullanarak oturum açma desteklenmez.

Bir sertifika yetkilisi için birden fazla CRL dağıtım noktam olabilir mi?

Hayır, sertifika yetkilisi (CA) başına yalnızca bir CRL dağıtım noktası (CDP) desteklenir.

CDP için HTTP olmayan bir URL kullanabilir miyim?

Hayır. CDP yalnızca HTTP URL'lerini destekler.

CA için CRL'yi nasıl bulabilirim veya "AADSTS2205015: Sertifika İptal Listesi (CRL) imza doğrulaması başarısız oldu" hatasını nasıl giderebilirim?

CRL'yi indirin ve değerin eklemek istediğiniz CA için geçerli olduğunu crlDistributionPoint doğrulamak için CA sertifikasını ve CRL bilgilerini karşılaştırın. CA'nın veren konu anahtarı tanımlayıcısını (SKI) CRL'nin yetkili anahtar tanımlayıcısı (AKI) ile (CA Veren SKI == CRL AKI) eşleştirerek CRL'yi ilgili CA'ya yapılandırabilirsiniz.

Aşağıdaki tablo ve şekil, CA sertifikasındaki bilgilerin indirilen CRL'nin öznitelikleriyle nasıl eşlenip eşleneceğini gösterir.

CA sertifika bilgileri	=	İndirilen CRL bilgileri
Konu	=	Sertifikayı veren
Konu Anahtarı Tanımlayıcısı (SKI)	=	Yetkili Anahtar Tanımlayıcısı (KeyID)

CA yapılandırmasını nasıl doğrulayabilirim?

Güven deposundaki Sertifika Yetkilisi yapılandırmasının Microsoft Entra'nın hem sertifika yetkilisi güven zincirini doğrulama özelliğine neden olduğundan emin olmak önemlidir. Ayrıca, sertifika iptal listesini (CRL) yapılandırılan sertifika yetkilisi CRL dağıtım noktasından (CDP) başarıyla almalıdır. Bu göreve yardımcı olmak için MSIdentity Araçları PowerShell modülünü yüklemeniz ve Test-MsIdCBATrustStoreConfiguration komutunu çalıştırmanız önerilir. Bu PowerShell cmdlet'i Microsoft Entra kiracı sertifika yetkilisi yapılandırmasını gözden geçirir ve yaygın yanlış yapılandırma sorunları için hataları/uyarıları ortaya çıkaracaktır.

Kimlik doğrulama yöntemleri ilkesindeki değişiklikler hemen geçerli olur mu?

İlke önbelleğe alınır. İlke güncelleştirmesinin ardından değişikliklerin geçerli olması bir saat kadar sürebilir.

Başarısız olduktan sonra neden CBA seçeneğini görüyorum?

Kimlik doğrulama yöntemi ilkesi her zaman kullanıcıya tüm kullanılabilir kimlik doğrulama yöntemlerini gösterir, böylece tercih ettiği herhangi bir yöntemi kullanarak oturum açmayı yeniden deneyebilir.

Microsoft Entra Id, oturum açma işleminin başarısına veya başarısızlığına bağlı olarak kullanılabilir yöntemleri gizlemez.

CBA neden başarısız olduktan sonra döngü yapar?

Sertifika seçici göründükten sonra tarayıcı sertifikayı önbelleğe alır. Kullanıcı kimlik doğrulamasını yeniden denerse, önbelleğe alınan sertifika otomatik olarak kullanılır. Kullanıcı tarayıcıyı kapatmalı ve ardından CBA'yı yeniden denemek için yeni bir oturumu yeniden açmalıdır.

Tek faktörlü sertifikalar kullandığımda diğer kimlik doğrulama yöntemlerini kaydetmek için kimlik kanıtı neden bir seçenek olarak görünmüyor?

Kullanıcı, kimlik doğrulama yöntemleri ilkesinde CBA kapsamında olduğunda çok faktörlü kimlik doğrulaması (MFA) yapabilen bir kullanıcı olarak kabul edilir. Bu ilke gereksinimi, bir kullanıcının diğer kullanılabilir yöntemleri kaydetmek için kimlik doğrulamasının bir parçası olarak kimlik doğrulamasını kullanamama anlamına gelir.

MFA'yı tamamlamak için tek faktörlü sertifikaları nasıl kullanabilirim?

MFA almak için tek faktörlü CBA'yi destekliyoruz. Parolasız telefonla oturum açma ile CBA tek faktörlü ve FIDO2 ile CBA tek faktörlü, tek faktörlü sertifikalar kullanarak MFA almak için desteklenen iki birleşimdir.

Daha fazla bilgi için bkz. Tek faktörlü sertifikalarla MFA.

CertificateUserIds güncelleştirmesi mevcut bir değer olduğundan başarısız oluyor. Bir yönetici aynı değere sahip tüm kullanıcı nesnelerini nasıl sorgulayabilir?

Kiracı yöneticileri, belirli certificateUserIds bir değere sahip tüm kullanıcıları bulmak için Microsoft Graph sorguları çalıştırabilir. Daha fazla bilgi için bkz certificateUserIds . Graf sorguları.

Örneğin, bu komut içinde bob@contoso.comdeğerine certificateUserIds sahip olan tüm kullanıcı nesnelerini döndürür:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Microsoft Entra CBA, Microsoft Surface Hub'da kullanılabilir mi?

Evet. CBA, akıllı kart ve akıllı kart okuyucu kombinasyonlarının çoğu için kullanıma hazır şekilde çalışır. Akıllı kart ve akıllı kart okuyucu kombinasyonu başka sürücüler gerektiriyorsa, Surface Hub'da akıllı kart ve akıllı kart okuyucu bileşimini kullanabilmek için önce sürücüleri yüklemeniz gerekir.

İlgili içerik

Sorunuz burada yanıtlamıyorsa aşağıdaki ilgili makalelere bakın:

• Microsoft Entra CBA'ya genel bakış
• Microsoft Entra CBA teknik kavramları
• iOS cihazlarda Microsoft Entra CBA
• Android cihazlarda Microsoft Entra CBA
• Microsoft Entra CBA'yı ayarlama
• Microsoft Entra CBA kullanarak Windows akıllı kart oturumu açma
• Sertifika kullanıcı kimlikleri
• Federasyon kullanıcılarını geçirme

Bu makalede, Microsoft Entra sertifika tabanlı kimlik doğrulamasının (CBA) nasıl çalıştığı hakkında sık sorulan sorular ele alınmaktadır. Güncelleştirilmiş içeriği yeniden denetleyin.

Kullanıcıların kullanabilecekleri bir sertifika kullanarak oturum açma seçeneğini belirlemek için yöneticinin kiracı için CBA'yi açması gerekir. Daha fazla bilgi için bkz . 3. Adım: Kimlik doğrulama bağlama ilkesini yapılandırma.

Kiracı yöneticinize yardımcı olacak daha fazla bilgi için hata sayfasında Diğer Ayrıntılar'ı seçin. Kiracı yöneticisi, hatayı araştırmak için oturum açma günlüklerini denetleyebiliyor. Örneğin, bir kullanıcı sertifikası iptal edilirse ve sertifika iptal listesinde (CRL) yer alıyorsa, kimlik doğrulaması istendiği gibi başarısız olur.

1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi rolü atanmış olarak oturum açın.
2. Entra ID>Kimlik Doğrulama yöntemleri İlkeleri'ne> gidin.
3. Sertifika tabanlı kimlik doğrulama ilkesini seçin.
4. Etkinleştir ve Hedef sekmesinde Etkinleştir'i seçin.

Microsoft Entra CBA ücretsiz bir özelliktir.

Microsoft Entra ID'nin her sürümü Microsoft Entra CBA içerir.

Her Microsoft Entra sürümündeki özellikler hakkında daha fazla bilgi için bkz. Microsoft Entra fiyatlandırması.

Hayır. Şu anda alternatif bir e-posta gibi UPN olmayan bir değer kullanarak oturum açma desteklenmez.

Hayır, sertifika yetkilisi (CA) başına yalnızca bir CRL dağıtım noktası (CDP) desteklenir.

Hayır. CDP yalnızca HTTP URL'lerini destekler.

CRL'yi indirin ve değerin eklemek istediğiniz CA için geçerli olduğunu crlDistributionPoint doğrulamak için CA sertifikasını ve CRL bilgilerini karşılaştırın. CA'nın veren konu anahtarı tanımlayıcısını (SKI) CRL'nin yetkili anahtar tanımlayıcısı (AKI) ile (CA Veren SKI == CRL AKI) eşleştirerek CRL'yi ilgili CA'ya yapılandırabilirsiniz.

Aşağıdaki tablo ve şekil, CA sertifikasındaki bilgilerin indirilen CRL'nin öznitelikleriyle nasıl eşlenip eşleneceğini gösterir.

CA sertifika bilgileri	=	İndirilen CRL bilgileri
Konu	=	Sertifikayı veren
Konu Anahtarı Tanımlayıcısı (SKI)	=	Yetkili Anahtar Tanımlayıcısı (KeyID)

Güven deposundaki Sertifika Yetkilisi yapılandırmasının Microsoft Entra'nın hem sertifika yetkilisi güven zincirini doğrulama özelliğine neden olduğundan emin olmak önemlidir. Ayrıca, sertifika iptal listesini (CRL) yapılandırılan sertifika yetkilisi CRL dağıtım noktasından (CDP) başarıyla almalıdır. Bu göreve yardımcı olmak için MSIdentity Araçları PowerShell modülünü yüklemeniz ve Test-MsIdCBATrustStoreConfiguration komutunu çalıştırmanız önerilir. Bu PowerShell cmdlet'i Microsoft Entra kiracı sertifika yetkilisi yapılandırmasını gözden geçirir ve yaygın yanlış yapılandırma sorunları için hataları/uyarıları ortaya çıkaracaktır.

İlke önbelleğe alınır. İlke güncelleştirmesinin ardından değişikliklerin geçerli olması bir saat kadar sürebilir.

Kimlik doğrulama yöntemi ilkesi her zaman kullanıcıya tüm kullanılabilir kimlik doğrulama yöntemlerini gösterir, böylece tercih ettiği herhangi bir yöntemi kullanarak oturum açmayı yeniden deneyebilir.

Microsoft Entra Id, oturum açma işleminin başarısına veya başarısızlığına bağlı olarak kullanılabilir yöntemleri gizlemez.

Sertifika seçici göründükten sonra tarayıcı sertifikayı önbelleğe alır. Kullanıcı kimlik doğrulamasını yeniden denerse, önbelleğe alınan sertifika otomatik olarak kullanılır. Kullanıcı tarayıcıyı kapatmalı ve ardından CBA'yı yeniden denemek için yeni bir oturumu yeniden açmalıdır.

Kullanıcı, kimlik doğrulama yöntemleri ilkesinde CBA kapsamında olduğunda çok faktörlü kimlik doğrulaması (MFA) yapabilen bir kullanıcı olarak kabul edilir. Bu ilke gereksinimi, bir kullanıcının diğer kullanılabilir yöntemleri kaydetmek için kimlik doğrulamasının bir parçası olarak kimlik doğrulamasını kullanamama anlamına gelir.

MFA almak için tek faktörlü CBA'yi destekliyoruz. Parolasız telefonla oturum açma ile CBA tek faktörlü ve FIDO2 ile CBA tek faktörlü, tek faktörlü sertifikalar kullanarak MFA almak için desteklenen iki birleşimdir.

Daha fazla bilgi için bkz. Tek faktörlü sertifikalarla MFA.

Kiracı yöneticileri, belirli certificateUserIds bir değere sahip tüm kullanıcıları bulmak için Microsoft Graph sorguları çalıştırabilir. Daha fazla bilgi için bkz certificateUserIds . Graf sorguları.

Örneğin, bu komut içinde bob@contoso.comdeğerine certificateUserIds sahip olan tüm kullanıcı nesnelerini döndürür:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Evet. CBA, akıllı kart ve akıllı kart okuyucu kombinasyonlarının çoğu için kullanıma hazır şekilde çalışır. Akıllı kart ve akıllı kart okuyucu kombinasyonu başka sürücüler gerektiriyorsa, Surface Hub'da akıllı kart ve akıllı kart okuyucu bileşimini kullanabilmek için önce sürücüleri yüklemeniz gerekir.

İlgili içerik

Sorunuz burada yanıtlamıyorsa aşağıdaki ilgili makalelere bakın:

• Microsoft Entra CBA'ya genel bakış
• Microsoft Entra CBA teknik kavramları
• iOS cihazlarda Microsoft Entra CBA
• Android cihazlarda Microsoft Entra CBA
• Microsoft Entra CBA'yı ayarlama
• Microsoft Entra CBA kullanarak Windows akıllı kart oturumu açma
• Sertifika kullanıcı kimlikleri
• Federasyon kullanıcılarını geçirme