In diesem Artikel werden häufig gestellte Fragen zur Funktionsweise der zertifikatbasierten Authentifizierung (CBA) von Microsoft Entra behandelt. Überprüfen Sie weiterhin auf aktualisierte Inhalte.
Warum wird keine Option zum Anmelden bei Microsoft Entra ID mithilfe von Zertifikaten angezeigt, nachdem ich meinen Benutzernamen eingegeben habe?
Ein Administrator muss die CBA für den Mandanten aktivieren, um die Anmeldung mit Zertifikatoption für Benutzer verfügbar zu machen. Weitere Informationen finden Sie unter Schritt 3: Konfigurieren der Authentifizierungsbindungsrichtlinie.
Wo erhalte ich weitere Diagnoseinformationen, nachdem eine Benutzeranmeldung fehlgeschlagen ist?
Wählen Sie auf der Fehlerseite Weitere Details aus, um Ihren Mandantenadministrator zu unterstützen. Der Mandantenadministrator kann die Anmeldeprotokolle überprüfen, um weitere Informationen zu untersuchen. Wenn beispielsweise ein Benutzerzertifikat widerrufen wird und Teil einer Zertifikatsperrliste ist, schlägt die Authentifizierung fehl. Um weitere Diagnoseinformationen zu erhalten, überprüfen Sie die Anmeldeprotokolle.
Wie kann ein Administrator Microsoft Entra CBA aktivieren?
- Melden Sie sich beim Microsoft Entra Admin Center als Authentifizierungsrichtlinienadministratoran.
- Navigieren Sie zu Schutz>Authentifizierungsmethoden>Richtlinien.
- Wählen Sie die richtlinie zertifikatbasierte Authentifizierung aus.
- Wählen Sie auf der Registerkarte "Aktivieren" und "Ziel" "aktivieren" aus.
Ist Microsoft Entra CBA ein kostenloses Feature?
Zertifikatbasierte Authentifizierung ist ein kostenloses Feature. Jede Edition von Microsoft Entra ID enthält Microsoft Entra CBA. Weitere Informationen zu Features in jeder Microsoft Entra Edition finden Sie unter Microsoft Entra-Preis.
Unterstützt Microsoft Entra CBA alternative ID als Benutzername anstelle von userPrincipalName?
Nein, die Anmeldung mit einem Nicht-UPN-Wert, z. B. einer alternativen E-Mail, wird jetzt nicht unterstützt.
Kann ich für eine Zertifizierungsstelle (CA) mehr als einen CRL Distribution Point (CDP) haben?
Nein, pro Zertifizierungsstelle wird nur ein CDP unterstützt.
Kann ich nicht http-URLs für CDP haben?
Nein, CDP unterstützt nur HTTP-URLs.
Wie finde ich die CRL für eine Zertifizierungsstelle oder wie behebt ich den Fehler AADSTS2205015: Die Zertifikatsperrliste (Certificate Revocation List, CRL) hat die Signaturüberprüfung fehlgeschlagen?
Laden Sie die CRL herunter, und vergleichen Sie das Zertifizierungsstellenzertifikat und die CRL-Informationen, um zu überprüfen, ob der crlDistributionPoint-Wert für die Zertifizierungsstelle gültig ist, die Sie hinzufügen möchten. Sie können die CRL für die entsprechende Zertifizierungsstelle konfigurieren, indem Sie den Aussteller SKI der CA mit dem AKI der CRL (CA Issuer SKI == CRL AKI) abgleichen. Die folgende Tabelle und Grafik zeigen, wie Informationen aus dem Zertifizierungsstellenzertifikat den Attributen der heruntergeladenen CRL zugeordnet werden.
| Zertifizierungsstellenzertifikatinformationen | = | Heruntergeladene CRL-Informationen |
|---|---|---|
| Betreff | = | Emittent |
| Bezeichner des Betreffschlüssels | = | Authority Key Identifier (KeyID) |
Wie kann ich die Konfiguration der Zertifizierungsstelle überprüfen?
Es ist wichtig sicherzustellen, dass die Konfiguration der Zertifizierungsstelle im Vertrauensspeicher dazu führt, dass die Fähigkeit von Microsoft Entra, die Vertrauenskette der Zertifizierungsstelle zu überprüfen, führt. Darüber hinaus sollte die Zertifikatsperrliste (Certificate Revocation List, CRL) erfolgreich vom konfigurierten CRL-Verteilungspunkt (CRL) der Zertifizierungsstelle abgerufen werden. Um diese Aufgabe zu unterstützen, empfiehlt es sich, das MSIdentity Tools PowerShell-Modul zu installieren und Test-MsIdCBATrustStoreConfigurationauszuführen. Dieses PowerShell-Cmdlet überprüft die Konfiguration der Microsoft Entra-Mandantenzertifizierungsstelle und Zeigt Fehler/Warnungen auf häufige Probleme bei der Fehlkonfiguration an.
Wie kann ich die Zertifikatsperrüberprüfung für eine bestimmte Zertifizierungsstelle aktivieren oder deaktivieren?
Es wird dringend empfohlen, die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) zu deaktivieren, da Sie keine Zertifikate widerrufen können. Wenn Sie jedoch Probleme mit der CRL-Prüfung untersuchen müssen, können Sie eine Zertifizierungsstelle aus der CRL-Prüfung im Microsoft Entra Admin Center ausnehmen. Klicken Sie in der Richtlinie für CBA-Authentifizierungsmethoden auf Konfigurieren, und klicken Sie dann auf Ausnahme hinzufügen. Wählen Sie die Zertifizierungsstelle aus, die Sie ausnehmen möchten, und klicken Sie auf Hinzufügen.
Gibt es eine Beschränkung für die CRL-Größe?
Die folgenden CRL-Größenbeschränkungen gelten:
- Grenzwert für interaktive Anmeldung: 20 MB (Azure Global umfasst GCC), 45 MB für (Azure US Government, umfasst GCC High, Dept. of Defense)
- Grenzwert für Servicedownload: 65 MB (Azure Global umfasst GCC), 150 MB für (Azure US Government, umfasst GCC High, Dept. of Defense)
Wenn ein CRL-Download fehlschlägt, wird die folgende Meldung angezeigt:
"Die von {uri} heruntergeladene Zertifikatsperrliste (Certificate Revocation List, CRL) hat die maximale zulässige Größe ({size} Bytes) für CRLs in Microsoft Entra ID überschritten. Versuchen Sie es in wenigen Minuten erneut. Wenn das Problem weiterhin besteht, wenden Sie sich an Ihre Mandantenadministratoren."
Der Download verbleibt im Hintergrund mit höheren Grenzwerten.
Wir überprüfen die Auswirkungen dieser Grenzwerte und haben Pläne, sie zu entfernen.
Ich sehe einen gültigen CRL-Endpunktsatz (Certificate Revocation List), aber warum wird keine CRL-Sperrung angezeigt?
- Stellen Sie sicher, dass der CRL-Verteilungspunkt auf eine gültige HTTP-URL festgelegt ist.
- Stellen Sie sicher, dass auf den CRL-Verteilungspunkt über eine internetorientierte URL zugegriffen werden kann.
- Stellen Sie sicher, dass die CRL-Größen in Grenzen liegen.
Wie kann ich ein Zertifikat sofort widerrufen?
Führen Sie die Schritte aus, um ein Zertifikat manuellzu widerrufen.
Werden die Änderungen an der Richtlinie für Authentifizierungsmethoden sofort wirksam?
Die Richtlinie wird zwischengespeichert. Nach einer Richtlinienaktualisierung kann es bis zu einer Stunde dauern, bis die Änderungen wirksam werden.
Warum wird die zertifikatbasierte Authentifizierungsoption angezeigt, nachdem ein Fehler auftritt?
Die Richtlinie für die Authentifizierungsmethode zeigt dem Benutzer immer alle verfügbaren Authentifizierungsmethoden an, damit er die Anmeldung mit jeder von ihnen bevorzugen Methode wiederholen kann. Die Microsoft Entra-ID blendet die verfügbaren Methoden nicht basierend auf Erfolg oder Fehlschlagen einer Anmeldung aus.
Warum wird die zertifikatbasierte Authentifizierung (CBA) wiederholt, sobald sie fehlschlägt?
Der Browser speichert das Zertifikat zwischen, nachdem die Zertifikatauswahl angezeigt wurde. Wenn der Benutzer erneutriest, wird das zwischengespeicherte Zertifikat automatisch verwendet. Der Benutzer sollte den Browser schließen und eine neue Sitzung erneut öffnen, um CBA erneut zu versuchen.
Warum werden keine Nachweise für die Registrierung anderer Authentifizierungsmethoden angezeigt, wenn ich Einzelfaktorzertifikate verwende?
Ein Benutzer gilt als fähig für MFA, wenn der Benutzer den Gültigkeitsbereich für zertifikatbasierte Authentifizierung in der Richtlinie für Authentifizierungsmethoden hat. Diese Richtlinienanforderung bedeutet, dass ein Benutzer den Nachweis nicht als Teil seiner Authentifizierung verwenden kann, um andere verfügbare Methoden zu registrieren.
Wie kann ich einzelstufige Zertifikate verwenden, um MFA abzuschließen?
Wir haben Unterstützung für single factor CBA, um MFA zu erhalten. CBA SF + kennwortlose Telefonanmeldung (PSI) und CBA SF + FIDO2 sind die beiden unterstützten Kombinationen zum Abrufen von MFA mithilfe von Einzelfaktorzertifikaten. MFA mit einzelstufigen Zertifikaten
Das Update "CertificateUserIds" schlägt mit dem wert fehl, der bereits vorhanden ist. Wie kann ein Administrator alle Benutzerobjekte mit demselben Wert abfragen?
Mandantenadministratoren können Microsoft Graph-Abfragen ausführen, um alle Benutzer mit einem bestimmten CertificateUserId-Wert zu finden. Weitere Informationen finden Sie unter CertificateUserIds-Diagrammabfragen.
Dieser Befehl gibt alle Benutzerobjekte zurück, die den Wert "bob@contoso.com" in "certificateUserIds" aufweisen:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Nachdem ein CRL-Endpunkt konfiguriert wurde, können sich Endbenutzer nicht anmelden und sehen die folgende Diagnosemeldung: ''http AADSTS500173: CRL kann nicht heruntergeladen werden. Ungültiger Statuscode Verboten vom CRL-Verteilungspunkt errorCode: 500173 '''
Dies wird häufig gesehen, wenn eine Firewallregeleinstellung den Zugriff auf den CRL-Endpunkt blockiert.
Kann Microsoft Entra CBA auf Surface Hub verwendet werden?
Ja. CBA funktioniert sofort einsatzbereit für die meisten Smartcard- und Smartcardleser-Kombinationen. Wenn für die Kombination aus Smartcard und Smartcardleser andere Treiber erforderlich sind, müssen sie installiert werden, bevor Sie die Kombination aus Smartcard und Smartcardleser auf dem Surface Hub verwenden können.
Nächste Schritte
Wenn Ihre Frage hier nicht beantwortet wird, lesen Sie die folgenden verwandten Themen:
- Übersicht über microsoft Entra CBA-
- Technical Deep Dive für Microsoft Entra CBA
- Microsoft Entra CBA auf iOS-Geräten
- Microsoft Entra CBA auf Android-Geräten
- Konfigurieren von Microsoft Entra CBA-
- Windows-Smartcardanmeldung mit Microsoft Entra CBA-
- Zertifikatbenutzer-IDs
- Migrieren von Verbundbenutzern