Editar

Compartir a través de


Preguntas más frecuentes sobre la autenticación basada en certificados (CBA) de Microsoft Entra

En este artículo se tratan las preguntas más frecuentes sobre cómo funciona la autenticación basada en certificados (CBA) de Microsoft Entra. Siga comprobando el contenido actualizado.

¿Por qué no veo una opción para iniciar sesión en microsoft Entra ID mediante certificados después de escribir mi nombre de usuario?

Un administrador debe habilitar CBA para que el inquilino haga que el inicio de sesión con la opción de certificado esté disponible para los usuarios. Para obtener más información, vea Paso 3: Configurar la directiva de enlace de autenticación.

¿Dónde puedo obtener más información de diagnóstico después de que se produjo un error en el inicio de sesión de un usuario?

En la página de error, seleccione Más detalles para obtener más información para ayudar al administrador de inquilinos. El administrador de inquilinos puede comprobar los registros de inicio de sesión de para investigar más. Por ejemplo, si se revoca un certificado de usuario y forma parte de una lista de revocación de certificados, se produce un error de autenticación correctamente. Para obtener más información de diagnóstico, compruebe los registros de inicio de sesión de .

¿Cómo puede un administrador habilitar Microsoft Entra CBA?

  1. Inicie sesión en el centro de administración de Microsoft Entra como mínimo un administrador de directivas de autenticación de .
  2. Vaya a Métodos de autenticación de>Protection>Directivas.
  3. Seleccione la directiva autenticación basada en certificados.
  4. En la pestaña Habilitar y de destino, seleccione Habilitar.

¿Microsoft Entra CBA es una característica gratuita?

La autenticación basada en certificados es una característica gratuita. Cada edición de Microsoft Entra ID incluye Microsoft Entra CBA. Para obtener más información sobre las características de cada edición de Microsoft Entra, consulte precios de Microsoft Entra.

¿Admite Microsoft Entra CBA el identificador alternativo como nombre de usuario en lugar de userPrincipalName?

No, el inicio de sesión con un valor que no sea UPN, como un correo electrónico alternativo, no se admite ahora.

¿Puedo tener más de un punto de distribución CRL (CDP) para una entidad de certificación (CA)?

No, solo se admite un CDP por entidad de certificación.

¿Puedo tener direcciones URL que no son http para CDP?

No, CDP solo admite direcciones URL HTTP.

¿Cómo puedo encontrar la CRL para una entidad de certificación o cómo puedo solucionar el error AADSTS2205015: La validación de firmas con errores en la lista de revocación de certificados (CRL)?

Descargue la CRL y compare el certificado de ENTIDAD de certificación y la información de crL para validar que el valor crlDistributionPoint es válido para la ENTIDAD de certificación que desea agregar. Puede configurar la CRL en la ENTIDAD de certificación correspondiente mediante la coincidencia del emisor de CA con la AKI de la CRL (CA Issuer SKI == CRL AKI). En la tabla y el gráfico siguientes se muestra cómo asignar información del certificado de entidad de certificación a los atributos de la CRL descargada.

Información del certificado de CA = Información de CRL descargada
Asunto = Emisor
Identificador de clave de asunto = Identificador de clave de autoridad (KeyID)

Captura de pantalla que compara el certificado de ENTIDAD de certificación con información crL.

¿Cómo se valida la configuración de la entidad de certificación?

Es importante asegurarse de que la configuración de la entidad de certificación en el almacén de confianza da como resultado la capacidad de Microsoft Entra para validar la cadena de confianza de la entidad de certificación. Además, debe adquirir correctamente la lista de revocación de certificados (CRL) del punto de distribución de CRL (CDP) de la entidad de certificación configurada. Para ayudar con esta tarea, se recomienda instalar el módulo msidentity tools de PowerShell y ejecutar Test-MsIdCBATrustStoreConfiguration. Este cmdlet de PowerShell revisará la configuración de la entidad de certificación del inquilino de Microsoft Entra y mostrará errores o advertencias para problemas comunes de configuración incorrecta.

¿Cómo puedo activar o desactivar la comprobación de revocación de certificados para una entidad de certificación determinada?

Se recomienda encarecidamente deshabilitar la comprobación de la lista de revocación de certificados (CRL), ya que no podrá revocar certificados. Sin embargo, si necesita investigar problemas con la comprobación de CRL, puede excluir una ENTIDAD de certificación de la comprobación de CRL en el Centro de administración de Microsoft Entra. En la directiva Métodos de autenticación de CBA, haga clic en Configurar y, a continuación, haga clic en Agregar exención. Elija la ENTIDAD de certificación que desea excluir y haga clic en Agregar.

¿Hay un límite para el tamaño de CRL?

Se aplican los siguientes límites de tamaño crL:

  • Límite de descarga de inicio de sesión interactivo: 20 MB (Azure Global incluye GCC), 45 MB para (Azure US Government, incluye GCC High, Dept. of Defense)
  • Límite de descarga del servicio: 65 MB (Azure Global incluye GCC), 150 MB para (Azure US Government, incluye GCC High, Dept. of Defense)

Cuando se produce un error en la descarga de una CRL, aparece el siguiente mensaje:

"La lista de revocación de certificados (CRL) descargada de {uri} ha superado el tamaño máximo permitido ({size} bytes) para las CRL en microsoft Entra ID. Inténtelo de nuevo en pocos minutos. Si el problema persiste, póngase en contacto con los administradores de inquilinos".

La descarga permanece en segundo plano con límites más altos.

Estamos revisando el impacto de estos límites y tenemos planes para quitarlos.

Veo un conjunto de puntos de conexión válidos de lista de revocación de certificados (CRL), pero ¿por qué no veo ninguna revocación de CRL?

  • Asegúrese de que el punto de distribución crL esté establecido en una dirección URL HTTP válida.
  • Asegúrese de que el punto de distribución CRL sea accesible a través de una dirección URL accesible desde Internet.
  • Asegúrese de que los tamaños de CRL están dentro de los límites.

¿Cómo revoco instantáneamente un certificado?

¿Se aplicarán inmediatamente los cambios en la directiva de métodos de autenticación?

La directiva se almacena en caché. Después de una actualización de directiva, los cambios pueden tardar hasta una hora en surtir efecto.

¿Por qué veo la opción de autenticación basada en certificados después de que se produzca un error?

La directiva de método de autenticación siempre muestra todos los métodos de autenticación disponibles para que el usuario pueda reintentar el inicio de sesión con cualquier método que prefiera. Microsoft Entra ID no oculta los métodos disponibles en función del éxito o error de un inicio de sesión.

¿Por qué se produce un error en los bucles de autenticación basada en certificados (CBA) una vez que se produce un error?

El explorador almacena en caché el certificado después de que aparezca el selector de certificados. Si el usuario vuelve a intentarlo, el certificado almacenado en caché se usa automáticamente. El usuario debe cerrar el explorador y volver a abrir una nueva sesión para volver a intentar CBA.

¿Por qué no se prueba para registrar otros métodos de autenticación cuando uso certificados de factor único?

Un usuario se considera capaz de MFA cuando el usuario está en el ámbito de autenticación basada en certificados en la directiva métodos de autenticación. Este requisito de directiva significa que un usuario no puede usar la prueba como parte de su autenticación para registrar otros métodos disponibles.

¿Cómo puedo usar certificados de factor único para completar MFA?

Tenemos compatibilidad con CBA de factor único para obtener MFA. CBA SF + inicio de sesión telefónico sin contraseña (PSI) y CBA SF + FIDO2 son las dos combinaciones compatibles para obtener MFA mediante certificados de factor único. MFA con certificados de factor único

Se produce un error en la actualización de CertificateUserIds con el valor que ya existe. ¿Cómo puede un administrador consultar todos los objetos de usuario con el mismo valor?

Los administradores de inquilinos pueden ejecutar consultas de Microsoft Graph para buscar todos los usuarios con un valor certificateUserId determinado. Para obtener más información, vea consultas de grafos CertificateUserIds.

Este comando devuelve todos los objetos de usuario que tienen el valor "bob@contoso.com" en certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Una vez configurado un punto de conexión CRL, los usuarios finales no pueden iniciar sesión y ven el siguiente mensaje de diagnóstico: '''http AADSTS500173: no se puede descargar CRL. Código de estado no válido Prohibido del punto de distribución CRLCódigo: 500173 '''

Esto suele verse cuando una configuración de regla de firewall bloquea el acceso al punto de conexión crL.

¿Se puede usar Microsoft Entra CBA en Surface Hub?

Sí. CBA funciona de serie para la mayoría de las combinaciones de lectores de tarjetas inteligentes y tarjetas inteligentes. Si la combinación de tarjeta inteligente y lector de tarjetas inteligentes requiere otros controladores, deben instalarse para poder usar la combinación de tarjeta inteligente y lector de tarjetas inteligentes en Surface Hub.