Microsoft Entra 憑證型驗證的常見問題集

本文說明Microsoft Entra 憑證型驗證 （CBA） 運作方式的常見問題。 請回來查看更新的內容。

為什麼我在輸入使用者名稱之後，看不到使用憑證登入 Microsoft Entra 標識符的選項？

系統管理員必須為租用戶開啟 CBA，才能使用使用者可用的憑證來登入。 如需詳細資訊，請參閱 步驟 3：設定驗證繫結原則。

使用者登入失敗後，我可以在哪裡取得更多診斷資訊？

在錯誤頁面上，選取 [ 更多詳細資料 ] 以取得詳細資訊，以協助您的租用戶系統管理員。租用戶系統管理員可以檢查登入記錄來調查錯誤。 例如，如果使用者憑證已撤銷且位於憑證撤銷清單 （CRL） 上，則鑑別會如預期般失敗。

如何開啟 Microsoft Entra CBA？

1. 登入 Microsoft Entra 系統管理中心 ，至少指派驗證 原則系統管理員 角色。
2. 移至 Entra ID>驗證方法>原則。
3. 選取 [憑證型驗證 原則]。
4. 在 [ 啟用] 和 [目標] 索引標籤 上，選取 [ 啟用]。

Microsoft Entra CBA 是否為免費功能？

Microsoft Entra CBA 是一項免費功能。

每個版本的 Microsoft Entra 識別碼都包含 Microsoft Entra CBA。

如需每個 Microsoft Entra 版本中功能的詳細資訊，請參閱 Microsoft Entra 定價。

Microsoft Entra CBA 是否支援替代識別碼作為使用者名稱，而不是 userPrincipalName？

否。 目前不支援使用非 UPN 值登入，例如替代電子郵件。

我可以為憑證授權單位設定多個 CRL 發佈點嗎？

否，每個憑證授權單位 （CA） 僅支援一個 CRL 發佈點 （CDP）。

我可以將非 HTTP URL 用於 CDP 嗎？

否。 CDP僅支援HTTP URL。

如何找到 CA 的 CRL，或如何針對錯誤「AADSTS2205015：憑證撤銷清單 （CRL） 簽章驗證失敗」進行疑難排解？

下載 CRL 並比較 CA 憑證和 CRL 資訊，以驗證值 crlDistributionPoint 是否對您要新增的 CA 有效。 您可以將 CA 的簽發者主體金鑰識別碼 （SKI） 與 CRL 的授權單位金鑰識別碼 （AKI） 進行比對，以將 CRL 設定為對應的 CA （CA 簽發者 SKI == CRL AKI）。

下表和圖顯示如何將CA證書中的資訊對映到下載的CRL的屬性。

CA 憑證資訊	=	下載的 CRL 資訊
主題	=	發行
主體金鑰識別碼 （SKI）	=	授權金鑰識別碼 （KeyID）

如何驗證 CA 組態？

請務必確保信任存放區中的憑證授權單位設定會導致 Microsoft Entra 能夠驗證憑證授權單位信任鏈結。 此外，它應該會成功從已設定的憑證授權單位單位 CRL 發佈點 （CDP） 取得憑證撤銷清單 （CRL） 。 若要協助完成此工作，建議安裝 MSIdentity Tools PowerShell 模組並執行 Test-MsIdCBATrustStoreConfiguration。 此 PowerShell Cmdlet 會檢閱 Microsoft Entra 租用戶憑證授權單位設定，並顯示常見錯誤設定問題的錯誤/警告。

驗證方法原則的變更會立即生效嗎？

原則已快取。 原則更新之後，最多可能需要一小時的時間，變更才會生效。

為什麼我會在 CBA 選項失敗後看到它？

驗證方法原則一律會向使用者顯示所有可用的驗證方法，以便他們可以使用任何偏好的方法重試登入。

Microsoft Entra ID 不會根據登入的成功或失敗隱藏可用的方法。

為什麼CBA失敗後會循環？

瀏覽器會在憑證選擇器出現之後快取憑證。 如果使用者重試驗證，則會自動使用快取的憑證。 使用者應該關閉瀏覽器，然後重新開啟新的會話，以再次嘗試 CBA。

為什麼當我使用單一因素憑證時，註冊其他驗證方法的身分證明沒有顯示為選項？

當使用者在驗證方法原則中的 CBA 範圍內時，會被視為使用者能夠進行多重要素驗證 （MFA） 。 此原則需求表示使用者無法使用身分證明作為其驗證的一部分來註冊其他可用的方法。

如何使用單一要素憑證來完成 MFA？

我們支持單因素 CBA 以獲得 MFA。 具有無密碼電話登入的 CBA 單一因素和具有 FIDO2 的 CBA 單一因素是使用單一因素憑證取得 MFA 的兩個支援組合。

如需詳細資訊，請參閱 具有單一因素憑證的 MFA。

certificateUserIds 更新失敗，因為它是現有的值。 管理員如何查詢具有相同值的所有使用者物件？

租用戶系統管理員可以執行 Microsoft Graph 查詢，以尋找具有特定 certificateUserIds 值的所有使用者。 如需詳細資訊，請參閱 certificateUserIds 圖形查詢。

例如，此命令會傳回具有 中bob@contoso.com值certificateUserIds的所有使用者物件：

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Microsoft Entra CBA 可以在 Microsoft Surface Hub 上使用嗎？

是的。 CBA 適用於大多數智慧卡和智慧卡讀卡機組合，開箱即用。 如果組合智慧卡和智慧卡讀取器需要其他驅動程式，您必須先安裝驅動程式，才能在 Surface Hub 上使用組合智慧卡和智慧卡讀取器。

相關內容

如果您的問題未在此得到解答，請參閱下列相關文章：

• Microsoft Entra CBA 概觀
• Microsoft Entra CBA 技術概念
• Microsoft iOS 裝置上的 Entra CBA
• Microsoft Android 裝置上的 Entra CBA
• 設定 Microsoft Entra CBA
• 使用 Microsoft Entra CBA 登入 Windows 智慧卡
• 憑證用戶標識碼
• 移轉同盟使用者

本文說明Microsoft Entra 憑證型驗證 （CBA） 運作方式的常見問題。 請回來查看更新的內容。

系統管理員必須為租用戶開啟 CBA，才能使用使用者可用的憑證來登入。 如需詳細資訊，請參閱 步驟 3：設定驗證繫結原則。

在錯誤頁面上，選取 [ 更多詳細資料 ] 以取得詳細資訊，以協助您的租用戶系統管理員。租用戶系統管理員可以檢查登入記錄來調查錯誤。 例如，如果使用者憑證已撤銷且位於憑證撤銷清單 （CRL） 上，則鑑別會如預期般失敗。

1. 登入 Microsoft Entra 系統管理中心 ，至少指派驗證 原則系統管理員 角色。
2. 移至 Entra ID>驗證方法>原則。
3. 選取 [憑證型驗證 原則]。
4. 在 [ 啟用] 和 [目標] 索引標籤 上，選取 [ 啟用]。

Microsoft Entra CBA 是一項免費功能。

每個版本的 Microsoft Entra 識別碼都包含 Microsoft Entra CBA。

如需每個 Microsoft Entra 版本中功能的詳細資訊，請參閱 Microsoft Entra 定價。

否。 目前不支援使用非 UPN 值登入，例如替代電子郵件。

否，每個憑證授權單位 （CA） 僅支援一個 CRL 發佈點 （CDP）。

否。 CDP僅支援HTTP URL。

下載 CRL 並比較 CA 憑證和 CRL 資訊，以驗證值 crlDistributionPoint 是否對您要新增的 CA 有效。 您可以將 CA 的簽發者主體金鑰識別碼 （SKI） 與 CRL 的授權單位金鑰識別碼 （AKI） 進行比對，以將 CRL 設定為對應的 CA （CA 簽發者 SKI == CRL AKI）。

下表和圖顯示如何將CA證書中的資訊對映到下載的CRL的屬性。

CA 憑證資訊	=	下載的 CRL 資訊
主題	=	發行
主體金鑰識別碼 （SKI）	=	授權金鑰識別碼 （KeyID）

請務必確保信任存放區中的憑證授權單位設定會導致 Microsoft Entra 能夠驗證憑證授權單位信任鏈結。 此外，它應該會成功從已設定的憑證授權單位單位 CRL 發佈點 （CDP） 取得憑證撤銷清單 （CRL） 。 若要協助完成此工作，建議安裝 MSIdentity Tools PowerShell 模組並執行 Test-MsIdCBATrustStoreConfiguration。 此 PowerShell Cmdlet 會檢閱 Microsoft Entra 租用戶憑證授權單位設定，並顯示常見錯誤設定問題的錯誤/警告。

原則已快取。 原則更新之後，最多可能需要一小時的時間，變更才會生效。

驗證方法原則一律會向使用者顯示所有可用的驗證方法，以便他們可以使用任何偏好的方法重試登入。

Microsoft Entra ID 不會根據登入的成功或失敗隱藏可用的方法。

瀏覽器會在憑證選擇器出現之後快取憑證。 如果使用者重試驗證，則會自動使用快取的憑證。 使用者應該關閉瀏覽器，然後重新開啟新的會話，以再次嘗試 CBA。

當使用者在驗證方法原則中的 CBA 範圍內時，會被視為使用者能夠進行多重要素驗證 （MFA） 。 此原則需求表示使用者無法使用身分證明作為其驗證的一部分來註冊其他可用的方法。

我們支持單因素 CBA 以獲得 MFA。 具有無密碼電話登入的 CBA 單一因素和具有 FIDO2 的 CBA 單一因素是使用單一因素憑證取得 MFA 的兩個支援組合。

如需詳細資訊，請參閱 具有單一因素憑證的 MFA。

租用戶系統管理員可以執行 Microsoft Graph 查詢，以尋找具有特定 certificateUserIds 值的所有使用者。 如需詳細資訊，請參閱 certificateUserIds 圖形查詢。

例如，此命令會傳回具有 中bob@contoso.com值certificateUserIds的所有使用者物件：

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

是的。 CBA 適用於大多數智慧卡和智慧卡讀卡機組合，開箱即用。 如果組合智慧卡和智慧卡讀取器需要其他驅動程式，您必須先安裝驅動程式，才能在 Surface Hub 上使用組合智慧卡和智慧卡讀取器。

相關內容

如果您的問題未在此得到解答，請參閱下列相關文章：

• Microsoft Entra CBA 概觀
• Microsoft Entra CBA 技術概念
• Microsoft iOS 裝置上的 Entra CBA
• Microsoft Android 裝置上的 Entra CBA
• 設定 Microsoft Entra CBA
• 使用 Microsoft Entra CBA 登入 Windows 智慧卡
• 憑證用戶標識碼
• 移轉同盟使用者