Tento článek se zabývá nejčastějšími dotazy týkajícími se fungování ověřování založeného na certifikátech (CBA) společnosti Microsoft Entra. Pokračujte v kontrole aktualizovaného obsahu.
Proč se po zadání uživatelského jména nezobrazuje možnost přihlásit se k MICROSOFT Entra ID pomocí certifikátů?
Správce musí pro tenanta povolit CBA, aby byl pro uživatele k dispozici možnost přihlášení pomocí certifikátu. Další informace najdete v tématu Krok 3: Konfigurace zásad vazby ověřování.
Kde můžu získat další diagnostické informace po neúspěšném přihlášení uživatele?
Na chybové stránce vyberte Další podrobnosti další informace, které vám pomůžou správci tenanta. Správce tenanta může zkontrolovat protokoly přihlášení a prozkoumat je. Pokud je například odvolaný uživatelský certifikát a je součástí seznamu odvolaných certifikátů, ověřování selže správně. Pokud chcete získat další diagnostické informace, zkontrolujte protokoly přihlášení .
Jak může správce povolit Jazyk CBA microsoftu Entra?
- Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce zásad ověřování.
- Přejděte na metody ověřování Protection>>Zásady.
- Vyberte zásadu ověřování na základě certifikátu.
- Na kartě Povolit a cíl vyberte Povolit.
Je Microsoft Entra CBA bezplatnou funkcí?
Ověřování na základě certifikátů je bezplatná funkce. Každá edice Microsoft Entra ID zahrnuje Microsoft Entra CBA. Další informace o funkcích v jednotlivých edicích Microsoft Entra naleznete v tématu ceny Microsoft Entra.
Podporuje Microsoft Entra CBA alternativní ID jako uživatelské jméno místo userPrincipalName?
Ne, přihlášení s použitím hodnoty jiného typu, například alternativního e-mailu, se teď nepodporuje.
Můžu mít více než jeden distribuční bod seznamu CRL (CDP) pro certifikační autoritu (CA)?
Ne, pro každou certifikační autoritu se podporuje jenom jeden CDP.
Můžu mít adresy URL jiné než http pro CDP?
Ne, CDP podporuje pouze adresy URL HTTP.
Jak zjistím seznam odvolaných certifikátů pro certifikační autoritu nebo jak můžu vyřešit chybu AADSTS2205015: Ověření seznamu odvolaných certifikátů (CRL) selhalo?
Stáhněte seznam CRL a porovnejte certifikát certifikační autority a informace seznamu CRL, abyste ověřili, že hodnota crlDistributionPoint je platná pro certifikační autoritu, kterou chcete přidat. CRL můžete nakonfigurovat na odpovídající certifikační autoritu tak, že odpovídající certifikační autoritě SKI odpovídá AKI seznamu CRL (Ca Issuer SKI == CRL AKI). Následující tabulka a obrázek ukazují, jak mapovat informace z certifikátu certifikační autority na atributy staženého seznamu CRL.
| Informace o certifikátu certifikační autority | = | Stažené informace o seznamu CRL |
|---|---|---|
| Předmět | = | Emitent |
| Identifikátor klíče předmětu | = | Identifikátor klíče autority (KeyID) |
Jak ověřím konfiguraci certifikační autority?
Je důležité zajistit, aby konfigurace certifikační autority v úložišti důvěryhodnosti způsobovat schopnost Microsoft Entra ověřit řetěz důvěryhodnosti certifikační autority. Kromě toho by měl úspěšně získat seznam odvolaných certifikátů (CRL) z nakonfigurovaného distribučního bodu CRL certifikační autority (CDP). Pro usnadnění tohoto úkolu se doporučuje nainstalovat modul MSIdentity Tools PowerShellu a spustit Test-MsIdCBATrustStoreConfiguration. Tato rutina PowerShellu zkontroluje konfiguraci certifikační autority tenanta Microsoft Entra a zobrazí chyby a upozornění pro běžné problémy s chybnou konfigurací.
Jak můžu pro konkrétní certifikační autoritu zapnout nebo vypnout kontrolu odvolání certifikátu?
Důrazně doporučujeme zakázat kontrolu seznamu odvolaných certifikátů ( CRL), protože nebudete moct odvolat certifikáty. Pokud ale potřebujete prozkoumat problémy s kontrolou seznamu CRL, můžete certifikační autoritu vyloučit z kontroly seznamu CRL v Centru pro správu Microsoft Entra. V zásadách ověřování CBA klepněte na tlačítko Konfigurovat a potom klepněte na tlačítko Přidat výjimku. Zvolte certifikační autoritu, kterou chcete vyloučit, a klikněte na Přidat.
Je pro velikost seznamu CRL limit?
Platí následující omezení velikosti seznamu CRL:
- Limit interaktivního přihlášení ke stažení: 20 MB (Globální azure zahrnuje GCC), 45 MB pro (Azure US Government, včetně GCC High, Oddělení obrany)
- Limit stahování služby: 65 MB (Globální azure zahrnuje GCC), 150 MB pro (Azure US Government, včetně GCC High, Oddělení obrany)
Když stahování seznamu CRL selže, zobrazí se následující zpráva:
Seznam odvolaných certifikátů stažený z {uri} překročil maximální povolenou velikost ({size} bajtů) pro seznamy CRL v MICROSOFT Entra ID. Zkuste to znovu za několik minut. Pokud problém přetrvává, obraťte se na správce tenanta.
Stahování zůstává na pozadí s vyššími limity.
Kontrolujeme dopad těchto limitů a plánujeme je odebrat.
Zobrazuje se platná sada koncových bodů seznamu odvolaných certifikátů (CRL), ale proč se mi nezobrazuje odvolání seznamu odvolaných certifikátů?
- Ujistěte se, že je distribuční bod seznamu CRL nastavený na platnou adresu URL PROTOKOLU HTTP.
- Ujistěte se, že distribuční bod seznamu CRL je přístupný prostřednictvím internetové adresy URL.
- Ujistěte se, že velikosti seznamu CRL jsou v mezích limitů.
Jak můžu okamžitě odvolat certifikát?
Podle pokynů ručně odvolate certifikát.
Projeví se změny zásad metod ověřování okamžitě?
Zásady se ukládají do mezipaměti. Po aktualizaci zásad může trvat až hodinu, než se změny projeví.
Proč se po selhání zobrazí možnost ověřování na základě certifikátu?
Zásady metody ověřování vždy zobrazují všechny dostupné metody ověřování pro uživatele, aby se mohli znovu přihlásit pomocí libovolné metody, kterou preferují. Microsoft Entra ID neskryje dostupné metody na základě úspěchu nebo selhání přihlášení.
Proč se smyčka ověřování na základě certifikátů (CBA) po selhání nezdaří?
Prohlížeč certifikát ukládá do mezipaměti po zobrazení výběru certifikátu. Pokud uživatel opakuje pokusy, použije se certifikát uložený v mezipaměti automaticky. Uživatel by měl prohlížeč zavřít a znovu otevřít novou relaci a zkusit jazyk CBA znovu.
Proč se při použití jednofaktorových certifikátů neověřuje registrace jiných metod ověřování?
Uživatel se považuje za schopný vícefaktorového ověřování, pokud je uživatel v oboru ověřování ověřovacích v zásadách metod ověřování. Tento požadavek na zásadu znamená, že uživatel nemůže použít ověření v rámci ověřování k registraci dalších dostupných metod.
Jak můžu k dokončení vícefaktorového ověřování použít jednofaktorové certifikáty?
K získání vícefaktorového ověřování máme podporu pro jednofaktorové CBA. CBA SF + přihlášení k telefonu bez hesla (PSI) a CBA SF + FIDO2 jsou dvě podporované kombinace pro získání vícefaktorového ověřování pomocí jednofaktorových certifikátů. vícefaktorového ověřování s jednofaktorovými certifikáty
Aktualizace CertificateUserIds selže s hodnotou, která už existuje. Jak může správce dotazovat všechny objekty uživatele se stejnou hodnotou?
Správci tenantů můžou spouštět dotazy Microsoft Graphu, aby našli všechny uživatele s danou hodnotou certificateUserId. Další informace najdete v tématu dotazy grafu CertificateUserIds.
Tento příkaz vrátí všechny objekty uživatele, které mají hodnotubob@contoso.comv certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Po nakonfigurování koncového bodu seznamu CRL se koncoví uživatelé nemůžou přihlásit a zobrazí se jim následující diagnostická zpráva: http AADSTS500173: Nelze stáhnout CRL. Neplatný stavový kód Zakázáno z distribučního bodu seznamu CRL errorCode: 500173 '''
To se běžně projevuje, když nastavení pravidla brány firewall blokuje přístup ke koncovému bodu seznamu CRL.
Dá se Microsoft Entra CBA používat na Surface Hubu?
Ano. CBA funguje od sebe pro většinu kombinací čipových karet a čtečky čipových karet. Pokud kombinace čipových karet a čtečky čipových karet vyžaduje jiné ovladače, musí být před použitím kombinace čipové karty a čtečky čipových karet na zařízení Surface Hub nainstalovány.
Další kroky
Pokud tady nenajdete odpověď na vaši otázku, projděte si následující související témata:
- přehled Microsoft Entra CBA
- podrobné informace o technickém microsoft Entra CBA
- Microsoft Entra CBA na zařízeních s iOSem
- Microsoft Entra CBA na zařízeních s Androidem
- Konfigurace jazyka Microsoft Entra CBA
- přihlášení pomocí čipové karty systému Windows pomocí Microsoft Entra CBA
- ID uživatele certifikátu
- Postup migrace federovaných uživatelů