本文說明 Microsoft Entra 憑證型驗證 (CBA) 運作方式的相關常見問題集。 請隨時回來查看更新的內容。
為什麼我在輸入使用者名稱之後,看不到使用憑證登入 Microsoft Entra ID 的選項?
管理員必須為租用戶啟用 CBA,才能讓使用者使用 [透過憑證登入] 選項。 如需詳細資訊,請參閱步驟 3:設定驗證繫結原則。
在使用者登入失敗之後,我可以在哪裡取得更多診斷資訊?
在錯誤頁面上,按一下 [更多詳細資料] 取得詳細資訊,以協助租用戶系統管理員。租用戶系統管理員可以檢查登入報告,以進一步調查。 例如,如果使用者憑證已撤銷,且是憑證撤銷清單的一部分,則驗證會正確地失敗。 若要取得更多診斷資訊,請檢查登入報告。
系統管理員如何啟用 Microsoft Entra CBA?
- 以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [資料保護]>[驗證方法]>[原則]。
- 選取原則:憑證式驗證。
- 在 [啟用和目標] 索引標籤上,選取 [啟用] 切換以啟用憑證式驗證。
Microsoft Entra CBA 是否為免費功能?
憑證式驗證是免費功能。 每個版本的 Microsoft Entra ID 都包含 Microsoft Entra CBA。 如需每個 Microsoft Entra 版本中功能的詳細資訊,請參閱 Microsoft Entra 定價。
Microsoft Entra CBA 是否支援替代識別碼而不是 userPrincipalName 作為使用者名稱?
否,目前不支援使用非 UPN 值進行登入,例如替代電子郵件。
憑證授權單位 (CA) 是否可以有一個以上的 CRL 發佈點 (CDP)?
否,每個 CA 僅支援一個 CDP。
是否可以使用 CDP 的非 HTTP URL?
否,CDP 僅支援 HTTP URL。
如何尋找憑證授權單位的 CRL,或如何針對錯誤 AADSTS2205015 進行疑難排解:證書撤銷清單 (CRL) 簽章驗證失敗?
請下載 CRL 並比較 CA 憑證和 CRL 資訊,以驗證 crlDistributionPoint 值對您想要新增的 CA 是否有效。 您可以使 CA 的簽發者 SKI 符合 CRL 的 AKI (CA 簽發者 SKI == CRL AKI),將 CRL 設定為對應 CA。下表和圖形顯示如何將 CA 憑證中的資訊對應至所下載 CRL 的屬性。
CA 憑證資訊 | = | 下載的 CRL 資訊 |
---|---|---|
主體 | = | Issuer |
主體金鑰識別碼 | = | 授權金鑰識別碼 (KeyID) |
如何驗證憑證授權單位設定?
請務必確保信任存放區結果中的憑證授權單位設定是 Microsoft Entra 能夠同時驗證憑證授權單位信任鏈結,並確認已設定憑證授權單位 CRL 發佈點 (CDP) 的憑證撤銷清單 (CRL)。 若要協助這項工作,建議您安裝 MSIdentity Tools PowerShell 模組,並執行 Test-MsIdCBATrustStoreConfiguration。 此 PowerShell Cmdlet 會檢閱 Microsoft Entra 租用戶憑證授權單位設定,並針對常見的設定錯誤問題呈現錯誤/警告。
如何針對特定 CA 開啟或關閉憑證撤銷檢查?
強烈建議您不要停用憑證撤銷清單 (CRL) 檢查,因為您將無法撤銷憑證。 不過,如果您需要調查 CRL 檢查的問題,您可以更新信任的 CA,並將 crlDistributionPoint 屬性設定為「"」。
使用 Set-AzureADTrustedCertificateAuthority Cmdlet:
$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]
CRL 大小是否有限制?
下列 CRL 大小限制會套用:
- 互動式登入下載限制:20 MB (Azure Global,包括 GCC)、45 MB (適用於 Azure 美國政府,包括 GCC High、國防部)
- 服務下載限制:65 MB (Azure Global,包括 GCC)、150 MB (適用於 Azure 美國政府,包括 GCC High、國防部)
CRL 下載失敗時,會出現下列訊息:
「從 {uri} 下載的憑證撤銷清單 (CRL) 超過 Microsoft Entra ID 中 CRL 允許的大小上限 ({size} 個位元組)。 請稍後再試。 如果問題持續發生,請連絡您的租用戶系統管理員。」
下載會保留於背景中且具有較高限制。
我們正在檢閱這些限制的影響,並規劃移除它們。
我看到有效的憑證撤銷清單 (CRL) 端點集,但為什麼看不到任何 CRL 撤銷?
- 請確保將 CRL 發佈點設定為有效的 HTTP URL。
- 請確保可透過網際網路面向 URL 存取 CRL 發佈點。
- 請確定 CRL 大小低於限制。
如何立即撤銷憑證?
遵循步驟手動撤銷憑證。
對驗證方法原則所做的變更是否會立即生效?
會快取原則。 原則更新之後,可能需要一小時的時間,變更才會生效。
為什麼我會在憑證式驗證失敗之後看到該選項?
驗證方法原則一律會向使用者顯示所有可用的驗證方法,使其可以使用他們偏好的任何方法重試登入。 Microsoft Entra ID 不會根據登入的成功或失敗來隱藏可用的方法。
為什麼憑證式驗證 (CBA) 會在失敗之後形成迴圈?
瀏覽器會在憑證選擇器出現之後快取憑證。 如果使用者重試,即會自動使用快取的憑證。 使用者應該關閉瀏覽器,並重新開啟新的工作階段,然後再試一次 CBA。
為什麼當我使用單一因素憑證時,無法證明註冊其他驗證方法?
當使用者在驗證方法原則中的憑證型驗證的範圍時,使用者會被視為能夠 MFA。 此原則需求表示使用者無法使用證明作為驗證的一部分來註冊其他可用的方法。
如何使用單一因素憑證來完成 MFA?
我們支援單一因素 CBA 以取得 MFA。 CBA SF + 無密碼手機登入 (PSI) 和 CBA SF + FIDO2 是使用單一因素憑證取得 MFA 支援的兩種組合。 使用單一因素憑證的 MFA
CertificateUserIds 更新失敗,且值已經存在。 管理員如何查詢具有相同值的所有使用者物件?
租用系統戶管理員可執行 MS Graph 查詢,以尋找具有指定 certificateUserId 值的所有使用者。 如需詳細資訊,請參閱 CertificateUserIds 圖形查詢
取得所有在 certificateUserIds 中具有 'bob@contoso.com' 值的使用者物件:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
設定 CRL 端點之後,終端使用者將無法登入,而且他們會看到下列診斷訊息: '''HTTP AADSTS500173:無法下載 CRL。 無效的狀態碼 禁止 CRL 發佈點錯誤碼:500173 '''
當防火牆規則設定封鎖對 CRL 端點的存取時,通常會看到這種情況。
Microsoft Entra CBA 是否可以在 SurfaceHub 上使用?
是。 這適用於大部分立即可用的智慧卡/智慧卡讀卡機組合。 如果智慧卡/智慧卡讀卡機組合需要額外的驅動程式,則必須先安裝這些驅動程式,才能在介面中樞上使用智慧卡/智慧卡讀卡機組合。