Modifica

Condividi tramite

Domande frequenti sull'autenticazione basata su certificati (CBA) di Microsoft Entra

  • Domande frequenti

Questo articolo illustra le domande frequenti sul funzionamento dell'autenticazione basata su certificati (CBA) di Microsoft Entra. Continuare a controllare il contenuto aggiornato.

Perché non viene visualizzata un'opzione per accedere a Microsoft Entra ID usando i certificati dopo aver immesso il nome utente?

Un amministratore deve abilitare CBA per il tenant per rendere disponibile l'opzione di accesso con certificato per gli utenti. Per altre informazioni, vedere Passaggio 3: Configurare i criteri di associazione di autenticazione.

Dove è possibile ottenere altre informazioni di diagnostica dopo che un utente ha eseguito l'accesso non riuscito?

Nella pagina degli errori selezionare Altri dettagli per altre informazioni per aiutare l'amministratore del tenant. L'amministratore del tenant può controllare i log di accesso per approfondire l'analisi. Ad esempio, se un certificato utente viene revocato e fa parte di un elenco di revoche di certificati, l'autenticazione non riesce correttamente. Per ottenere altre informazioni di diagnostica, controllare i log di accesso .

In che modo un amministratore può abilitare microsoft Entra CBA?

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore dei criteri di autenticazione .
  2. Passare a >Metodi di autenticazione>criteri.
  3. Selezionare il criterio autenticazione basata su certificato.
  4. Nella scheda Abilita e destinazione selezionare Abilita.

Microsoft Entra CBA è una funzionalità gratuita?

L'autenticazione basata su certificati è una funzionalità gratuita. Ogni edizione di Microsoft Entra ID include Microsoft Entra CBA. Per altre informazioni sulle funzionalità di ogni edizione di Microsoft Entra, vedere prezzi di Microsoft Entra.

Microsoft Entra CBA supporta l'ID alternativo come nome utente anziché userPrincipalName?

No, l'accesso con un valore non UPN, ad esempio un indirizzo di posta elettronica alternativo, non è ora supportato.

È possibile avere più di un punto di distribuzione CRL (CDP) per un'autorità di certificazione (CA)?

No, è supportato un solo CDP per CA.

È possibile avere URL non HTTP per CDP?

No, CDP supporta solo gli URL HTTP.

Come è possibile trovare il CRL per un'autorità di certificazione o come risolvere l'errore AADSTS2205015: La convalida della firma dell'elenco di revoche di certificati (CRL) non è riuscita?

Scaricare il CRL e confrontare il certificato CA e le informazioni CRL per verificare che il valore crlDistributionPoint sia valido per la CA da aggiungere. È possibile configurare il CRL nella CA corrispondente associando ca Issuer SKI all'AKI dell'autorità di certificazione (CA Issuer SKI == CRL AKI). La tabella e l'immagine seguenti illustrano come eseguire il mapping delle informazioni dal certificato CA agli attributi del CRL scaricato.

Informazioni sul certificato CA = Informazioni CRL scaricate
Oggetto = Emittente
Identificatore della chiave del soggetto = Identificatore di chiave dell'autorità (KeyID)

Screenshot del confronto tra certificato CA e informazioni CRL.

Come si convalida la configurazione dell'autorità di certificazione?

È importante assicurarsi che la configurazione dell'autorità di certificazione nell'archivio attendibilità comporti la possibilità di convalidare sia la catena di attendibilità dell'autorità di certificazione. Inoltre, dovrebbe acquisire correttamente l'elenco di revoche di certificati (CRL) dal punto di distribuzione CRL (CDP) configurato dell'autorità di certificazione. Per facilitare questa attività, è consigliabile installare il modulo MSIdentity Tools powerShell ed eseguire Test-MsIdCBATrustStoreConfiguration. Questo cmdlet di PowerShell esaminerà la configurazione dell'autorità di certificazione tenant di Microsoft Entra e gli errori/avvisi della superficie per problemi di configurazione errata comuni.

Come è possibile attivare o disattivare il controllo delle revoche di certificati per una determinata CA?

È consigliabile disabilitare il controllo dell'elenco di revoche di certificati (CRL) perché non sarà possibile revocare i certificati. Tuttavia, se è necessario analizzare i problemi relativi al controllo CRL, è possibile esentare una CA dal controllo CRL nell'interfaccia di amministrazione di Microsoft Entra. Nel criterio Metodi di autenticazione CBA fare clic su Configura e quindi fare clic su Aggiungi esenzione. Scegliere la CA da escludere e fare clic su Aggiungi.

Esiste un limite per le dimensioni CRL?

Si applicano i limiti di dimensione CRL seguenti:

  • Limite di download dell'accesso interattivo: 20 MB (Azure Global include GCC), 45 MB per (Azure US government, include GCC High, Dept. of Defense)
  • Limite di download del servizio: 65 MB (Azure Global include GCC), 150 MB per (Azure US government, include GCC High, Dept. of Defense)

Quando un download CRL ha esito negativo, viene visualizzato il messaggio seguente:

"L'elenco di revoche di certificati (CRL) scaricato da {uri} ha superato le dimensioni massime consentite ({size} byte) per i CRL in Microsoft Entra ID. Riprovare in pochi minuti. Se il problema persiste, contattare gli amministratori tenant."

Il download rimane in background con limiti più elevati.

Stiamo esaminando l'impatto di questi limiti e abbiamo intenzione di rimuoverli.

Viene visualizzato un set di endpoint CRL (Certificate Revocation List) valido, ma perché non viene visualizzata alcuna revoca CRL?

  • Assicurarsi che il punto di distribuzione CRL sia impostato su un URL HTTP valido.
  • Assicurarsi che il punto di distribuzione CRL sia accessibile tramite un URL con connessione Internet.
  • Assicurarsi che le dimensioni CRL siano entro i limiti.

Come si revoca immediatamente un certificato?

Seguire la procedura per revocare manualmente un certificato.

Le modifiche apportate ai criteri dei metodi di autenticazione verranno applicate immediatamente?

Il criterio viene memorizzato nella cache. Dopo un aggiornamento dei criteri, potrebbero essere necessarie fino a un'ora per rendere effettive le modifiche.

Perché viene visualizzata l'opzione di autenticazione basata su certificato dopo che ha esito negativo?

Il criterio Metodo di autenticazione mostra sempre tutti i metodi di autenticazione disponibili per l'utente in modo da poter ripetere l'accesso usando qualsiasi metodo preferito. Microsoft Entra ID non nasconde i metodi disponibili in base all'esito positivo o negativo di un accesso.

Perché l'autenticazione basata su certificato (CBA) viene eseguita una volta che ha esito negativo?

Il browser memorizza nella cache il certificato dopo la visualizzazione della selezione certificati. Se l'utente ritenta, il certificato memorizzato nella cache viene usato automaticamente. L'utente deve chiudere il browser e riaprire una nuova sessione per riprovare.

Perché non viene eseguita la prova per la registrazione di altri metodi di autenticazione quando si usano certificati a fattore singolo?

Un utente è considerato in grado di eseguire l'autenticazione a più fattori quando l'utente è nell'ambito di di autenticazione basata su certificati nei criteri metodi di autenticazione. Questo requisito di criteri significa che un utente non può usare la prova come parte dell'autenticazione per registrare altri metodi disponibili.

Come è possibile usare i certificati a fattore singolo per completare l'autenticazione a più fattori?

È disponibile il supporto per l'autenticazione a più fattori per ottenere l'autenticazione a più fattori. CBA SF + accesso tramite telefono senza password (PSI) e CBA SF + FIDO2 sono le due combinazioni supportate per ottenere MFA usando certificati a fattore singolo. MFA con certificati a fattore singolo

L'aggiornamento certificateUserIds non riesce con il valore già presente. In che modo un amministratore può eseguire una query su tutti gli oggetti utente con lo stesso valore?

Gli amministratori tenant possono eseguire query di Microsoft Graph per trovare tutti gli utenti con un determinato valore certificateUserId. Per altre informazioni, vedere query del grafo CertificateUserIds.

Questo comando restituisce tutti gli oggetti utente con valore 'bob@contoso.com' valore in certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Dopo aver configurato un endpoint CRL, gli utenti finali non sono in grado di accedere e visualizzano il messaggio di diagnostica seguente: '''http AADSTS500173: impossibile scaricare CRL. Codice di stato non valido Non consentito dal punto di distribuzione CRL ErrorCode: 500173 '''

Ciò si verifica in genere quando un'impostazione di regola del firewall blocca l'accesso all'endpoint CRL.

Microsoft Entra CBA può essere usato in Surface Hub?

Sì. Il CBA è predefinito per la maggior parte delle combinazioni di smart card e lettore di smart card. Se la combinazione di smart card e lettore smart card richiede altri driver, devono essere installati prima di poter usare la combinazione di smart card e lettore smart card in Surface Hub.

Passaggi successivi

Se la domanda non viene risposta qui, vedere gli argomenti correlati seguenti: