編輯

Microsoft Entra 憑證型驗證的常見問題 (CBA)

  • 常見問題集

本文說明 Microsoft Entra 憑證型驗證 (CBA) 運作方式的常見問題。 繼續檢查更新的內容。

為什麼我在輸入使用者名稱之後,看不到使用憑證登入 Microsoft Entra ID 的選項?

系統管理員必須為租用戶啟用 CBA,才能讓使用者使用憑證選項登入。 如需詳細資訊,請參閱 步驟 3:設定驗證系結原則

在使用者登入失敗之後,我可以在哪裡取得更多診斷資訊?

在錯誤頁面上,按兩下 [更多詳細數據 ] 以取得詳細資訊,以協助租用戶系統管理員。租用戶系統管理員可以檢查 登入報告 ,以進一步調查。 例如,如果使用者憑證被撤銷,而且屬於證書吊銷清單的一部分,則驗證會正確失敗。 若要取得更多診斷資訊,請檢查 登入報告

系統管理員如何啟用 Microsoft Entra CBA?

  1. 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>驗證方法>原則]。
  3. 選取原則: 憑證式驗證
  4. 在 [ 啟用和目標] 索引標籤上,選取 [ 啟用 ] 切換以啟用憑證式驗證。

Microsoft Entra CBA 是否為免費功能?

憑證式驗證是免費功能。 每個版本的 Microsoft Entra 識別碼都包含 Microsoft Entra CBA。 如需每個 Microsoft Entra 版本功能的詳細資訊,請參閱 Microsoft Entra 定價

Microsoft Entra CBA 是否支援替代標識符作為用戶名稱,而不是 userPrincipalName?

否,現在不支援使用非 UPN 值登入,例如替代電子郵件。

我可以有一個以上的CRL發佈點 (CDP) 作為證書頒發機構單位 (CA) 嗎?

否,每個 CA 僅支援一個 CDP。

我可以有適用於CDP的非 HTTPURL嗎?

否,CDP 僅支援 HTTP URL。

如何? 尋找證書頒發機構單位的CRL,或如何針對錯誤進行疑難解答AADSTS2205015:證書吊銷清單 (CRL) 簽章驗證失敗?

請下載 CRL 並比較 CA 憑證和 CRL 資訊,以驗證 crlDistributionPoint 值對於您想要新增的 CA 有效。 您可以將 CA 的簽發者 SKI 比對為 CRL (CA 簽發者 SKI == CRL AKI) 的對應 CA 設定 CRL。下表和圖形顯示如何將 CA 憑證中的資訊對應至所下載 CRL 的屬性。

CA 憑證資訊 = 下載的CRL資訊
主旨 = Issuer
主體金鑰識別碼 = 授權金鑰識別碼 (KeyID)

Screenshot comparing CA Certificate with CRL Information.

如何? 驗證證書頒發機構單位設定嗎?

請務必確定信任存放區中的證書頒發機構單位設定結果是 Microsoft Entra ID 能夠同時驗證證書頒發機構單位信任鏈結,並成功從設定的證書頒發機構單位 CRL 發佈點取得證書吊銷清單 (CRL)。 若要協助這項工作,建議您安裝 MSIdentity Tools PowerShell 模組並執行 Test-MsIdCBATrustStoreConfiguration。 此 PowerShell Cmdlet 會檢閱 Entra 租使用者證書頒發機構單位設定,並針對常見的設定錯誤問題呈現錯誤/警告。

如何? 開啟或關閉特定 CA 的證書吊銷檢查?

強烈建議您不要停用證書吊銷清單 (CRL) 檢查,因為您無法撤銷憑證。 不過,如果您需要調查 CRL 檢查的問題,您可以更新受信任的 CA,並將 crlDistributionPoint 屬性設定為 “”“。

使用 Set-AzureADTrustedCertificateAuthority Cmdlet:

$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]

CRL 大小是否有限制?

適用下列 CRL 大小限制:

  • 互動式登錄下載限制:20 MB(Azure Global 包括 GCC)、45 MB for (Azure 美國政府,包括 GCC High、Defense 部)
  • 服務下載限制:65 MB(Azure Global 包括 GCC)、150 MB for (Azure 美國政府,包括 GCC High、國防部)

CRL 下載失敗時,會出現下列訊息:

「從 {uri} 下載的證書吊銷清單 (CRL) 超過 Microsoft Entra ID 中 CRL 允許的大小上限 ({size} 個字節)。 請在幾分鐘內再試一次。 如果問題持續發生,請連絡您的租用戶系統管理員。」

下載會保留在背景中,但有較高的限制。

我們正在檢閱這些限制的影響,並計劃移除這些限制。

我看到有效的憑證撤銷清單 (CRL) 端點集,但我為什麼看不到任何 CRL 撤銷?

  • 請確定CRL發佈點已設定為有效的 HTTP URL。
  • 請確定CRL發佈點可透過因特網對向URL存取。
  • 請確定CRL大小在限制內。

如何? 立即撤銷憑證?

請依照下列步驟 手動撤銷憑證

驗證方法原則的變更是否會立即生效?

原則已快取。 原則更新之後,最多可能需要一小時的時間,變更才會生效。

為什麼在憑證型驗證選項失敗之後會看到它?

驗證方法原則一律向用戶顯示所有可用的驗證方法,以便他們可以使用他們偏好的任何方法重試登入。 Microsoft Entra ID 不會根據登入的成功或失敗來隱藏可用的方法。

為什麼憑證型驗證 (CBA) 會在失敗後迴圈?

瀏覽器會在憑證選擇器出現之後快取憑證。 如果使用者重試,則會自動使用快取的憑證。 使用者應該關閉瀏覽器,然後重新開啟新的工作階段,以再次嘗試 CBA。

為什麼當我使用單一因素憑證時,無法證明註冊其他驗證方法?

當使用者位於驗證方法原則中憑證式驗證的範圍內時,使用者就會被視為能夠用於 MFA。 此原則需求表示使用者無法使用證明作為驗證的一部分,以註冊其他可用的方法。

如何使用單一要素憑證來完成 MFA?

我們支援單一因素 CBA 以取得 MFA。 CBA SF + 無密碼手機登入 (PSI) 和 CBA SF + FIDO2 是使用單一因素憑證取得 MFA 支援的兩種組合。 具有單一因素憑證的 MFA

CertificateUserIds 更新失敗,值已經存在。 系統管理員如何查詢具有相同值的所有用戶物件?

租使用者管理員可以執行 MS Graph 查詢,以尋找具有指定 certificateUserId 值的所有使用者。 如需詳細資訊,請參閱 CertificateUserIds 圖形查詢

取得 certificateUserIds 中具有值 'bob@contoso.com' 值的所有用戶物件:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

設定CRL端點之後,終端使用者將無法登入,而且他們會看到下列診斷訊息: '''HTTP AADSTS500173:無法下載 CRL。 無效的狀態代碼 禁止從 CRL 發佈點錯誤碼碼:500173 '''

當防火牆規則設定封鎖對 CRL 端點的存取時,通常會看到這種情況。

Microsoft Entra CBA 是否可以在 SurfaceHub 上使用?

是。 這適用於大部分智慧卡/智慧卡閱讀機組合的現用。 如果智慧卡/智慧卡閱讀機組合需要額外的驅動程式,則必須先安裝這些驅動程式,才能在介面中樞上使用智慧卡/智慧卡閱讀機組合。

下一步

如果此處未回答您的問題,請參閱下列相關主題: