In dit artikel vindt u veelgestelde vragen over hoe Verificatie op basis van certificaten (CBA) van Microsoft Entra werkt. Kom af en toe terug om te controleren of de inhoud is gewijzigd.
Waarom zie ik geen optie om me aan te melden bij Microsoft Entra ID met behulp van certificaten nadat ik mijn gebruikersnaam heb ingevoerd?
Een beheerder moet CBA inschakelen voor de tenant om de optie voor aanmelding met certificaten beschikbaar te maken voor gebruikers. Zie stap 3: Verificatiebindingsbeleid configureren voor meer informatie.
Waar kan ik meer diagnostische informatie krijgen nadat aanmelding van een gebruiker is mislukt?
Klik op de foutpagina op Meer informatie voor meer informatie om uw tenantbeheerder te helpen. De tenantbeheerder kan het aanmeldingsrapport controleren om verder te onderzoeken. Als een gebruikerscertificaat bijvoorbeeld wordt ingetrokken en deel uitmaakt van een certificaatintrekkingslijst, mislukt de verificatie correct. Als u meer diagnostische informatie wilt, controleert u het rapport Aanmeldingen.
Hoe kan een beheerder Microsoft Entra CBA inschakelen?
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
- Blader naar >beleid voor beveiligingsverificatiemethoden.>
- Selecteer beleid: Verificatie op basis van certificaten.
- Selecteer op het tabblad Inschakelen en doel de wisselknop Inschakelen om verificatie op basis van certificaten in te schakelen.
Is Microsoft Entra CBA een gratis functie?
Verificatie op basis van certificaten is een gratis functie. Elke editie van Microsoft Entra ID bevat Microsoft Entra CBA. Zie prijzen voor Microsoft Entra voor meer informatie over functies in elke Microsoft Entra-editie.
Biedt Microsoft Entra CBA ondersteuning voor alternatieve id als gebruikersnaam in plaats van userPrincipalName?
Nee. Aanmelden met een niet-UPN-waarde, zoals een alternatief e-mailadres, wordt nu niet ondersteund.
Kan ik meer dan één CRL-distributiepunt (CDP) hebben voor een certificeringsinstantie (CA)?
Nee. Er wordt slechts één CDP ondersteund per CA.
Kan ik niet-HTTP-URL's voor CDP hebben?
Nee. CDP ondersteunt alleen HTTP-URL's.
Hoe kan ik de CRL voor een certificeringsinstantie vinden of hoe kan ik de fout AADSTS2205015 oplossen: de certificaatintrekkingslijst (CRL) is mislukte handtekeningvalidatie?
Download de CRL en vergelijk het CA-certificaat en de CRL-informatie om te controleren of de crlDistributionPoint-waarde geldig is voor de CA die u wilt toevoegen. U kunt de CRL configureren voor de bijbehorende CA door de Issuer SKI van de CA te koppelen aan de AKI van de CRL (CA Issuer SKI == CRL AKI) De volgende tabel en afbeelding laten zien hoe u informatie van het CA-certificaat kunt toewijzen aan de kenmerken van de gedownloade CRL.
CA-certificaatgegevens | = | Gedownloade CRL-informatie |
---|---|---|
Onderwerp | = | Verlener |
Identifier onderwerpsleutel | = | Authority Key Identifier (Sleutel-ID) |
Hoe kan ik de configuratie van de certificeringsinstantie valideren?
Het is belangrijk om ervoor te zorgen dat de configuratie van de certificeringsinstantie in het vertrouwensarchiefresultaat microsoft Entra is om zowel de vertrouwensketen van de certificeringsinstantie te valideren als de certificaatintrekkingslijst (CRL) te verkrijgen van het geconfigureerde CRL-distributiepunt (CDP). Voor hulp bij deze taak is het raadzaam om de PowerShell-module MSIdentity Tools te installeren en Test-MsIdCBATrustStoreConfiguration uit te voeren. Deze PowerShell-cmdlet controleert de configuratie van de Microsoft Entra-tenantcertificaatinstantie en geeft fouten/waarschuwingen weer voor veelvoorkomende problemen met onjuiste configuratie.
Hoe kan ik certificaatintrekkingscontrole in- of uitschakelen voor een bepaalde CA?
We raden u ten zeerste aan om CRL-controle (Certificate Revocation List) uit te schakelen, omdat u certificaten niet kunt intrekken. Als u echter problemen met CRL-controle wilt onderzoeken, kunt u een vertrouwde CA bijwerken en het kenmerk crlDistributionPoint instellen op ''.
Gebruik de cmdlet Set-AzureADTrustedCertificateAuthority:
$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]
Is er een limiet voor de CRL-grootte?
De volgende CRL-groottelimieten zijn van toepassing:
- Downloadlimiet voor interactief aanmelden: 20 MB (Azure Global bevat GCC), 45 MB voor (Azure US Government, bevat GCC High, Afdeling defensie)
- Limiet voor het downloaden van services: 65 MB (Azure Global omvat GCC), 150 MB voor (Azure US Government, omvat GCC High, Afdeling defensie)
Wanneer een CRL-download mislukt, wordt het volgende bericht weergegeven:
"De certificaatintrekkingslijst (CRL) die is gedownload van {uri} heeft de maximaal toegestane grootte ({size} bytes) voor CRL's in Microsoft Entra ID overschreden. Probeer het over enkele minuten opnieuw. Als het probleem zich blijft voordoen, neemt u contact op met uw tenantbeheerders.
Downloaden blijft op de achtergrond met hogere limieten.
We bekijken de impact van deze limieten en hebben plannen om ze te verwijderen.
Ik zie een geldige CRL-eindpuntset (certificaatintrekkingslijst), maar waarom zie ik geen CRL-intrekking?
- Zorg ervoor dat het CRL-distributiepunt is ingesteld op een geldige HTTP-URL.
- Zorg ervoor dat het CRL-distributiepunt toegankelijk is via een internetgerichte URL.
- Zorg ervoor dat de CRL-grootten binnen de limieten vallen.
Hoe kan ik een certificaat onmiddellijk intrekken?
Volg de stappen om een certificaat handmatig in te trekken.
Worden de wijzigingen in het beleid voor verificatiemethoden onmiddellijk van kracht?
Het beleid wordt in de cache opgeslagen. Na een beleidsupdate kan het tot een uur duren voordat de wijzigingen van kracht worden.
Waarom zie ik de verificatieoptie op basis van certificaten nadat deze is mislukt?
In het beleid voor verificatiemethoden worden altijd alle beschikbare verificatiemethoden voor de gebruiker weergegeven, zodat ze zich opnieuw kunnen aanmelden met behulp van een methode die ze liever gebruiken. Microsoft Entra ID verbergt de beschikbare methoden niet op basis van geslaagde of mislukte aanmeldingen.
Waarom worden CBA-lussen (certificate-based auth) uitgevoerd zodra deze mislukt?
In de browser wordt het certificaat in de cache opgeslagen nadat de certificaatkiezer wordt weergegeven. Als de gebruiker opnieuw probeert, wordt het certificaat in de cache automatisch gebruikt. De gebruiker moet de browser sluiten en een nieuwe sessie opnieuw openen om CBA opnieuw te proberen.
Waarom wordt er geen bewijs voor het registreren van andere verificatiemethoden weergegeven wanneer ik certificaten met één factor gebruik?
Een gebruiker wordt beschouwd als geschikt voor MFA wanneer de gebruiker het bereik heeft voor verificatie op basis van certificaten in het beleid voor verificatiemethoden. Deze beleidsvereiste betekent dat een gebruiker geen bewijs kan gebruiken als onderdeel van de verificatie om andere beschikbare methoden te registreren.
Hoe kan ik meervoudige certificaten gebruiken om MFA te voltooien?
We hebben ondersteuning voor CBA met één factor om MFA te verkrijgen. CBA SF + wachtwoordloze telefoon-aanmelding (PSI) en CBA SF + FIDO2 zijn de twee ondersteunde combinaties om MFA met behulp van één factor-certificaten op te halen. MFA met certificaten met één factor
Het bijwerken van CertificateUserIds mislukt met de waarde die al aanwezig is. Hoe kan een beheerder een query uitvoeren op alle gebruikersobjecten met dezelfde waarde?
Tenantbeheerders kunnen MS Graph-query's uitvoeren om alle gebruikers met een bepaalde certificateUserId-waarde te vinden. Meer informatie vindt u op Graph-query's van CertificateUserIds
HAAL alle gebruikersobjecten op met de waarde 'bob@contoso.com' in certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Nadat een CRL-eindpunt is geconfigureerd, kunnen eindgebruikers zich niet aanmelden en zien ze het volgende diagnostische bericht: ''http AADSTS500173: Kan CRL niet downloaden. Ongeldige statuscode Verboden vanuit CRL-distributiepunt errorCode: 500173 '''
Dit wordt vaak gezien wanneer een firewallregelinstelling de toegang tot het CRL-eindpunt blokkeert.
Kan Microsoft Entra CBA worden gebruikt op SurfaceHub?
Ja. Dit werkt standaard voor de meeste combinaties van smartcards/smartcardlezers. Als de combinatie van smartcard/smartcardlezer extra stuurprogramma's vereist, moeten deze worden geïnstalleerd voordat u de combinatie van smartcard/smartcardlezer op de Surface Hub gebruikt.
Volgende stappen
Als uw vraag hier niet wordt beantwoord, raadpleegt u de volgende verwante onderwerpen:
- Overzicht van Microsoft Entra CBA
- Technische diepgaande informatie voor Microsoft Entra CBA
- Microsoft Entra CBA op iOS-apparaten
- Microsoft Entra CBA op Android-apparaten
- Microsoft Entra CBA configureren
- Windows-smartcardaanmelding met Microsoft Entra CBA
- Certificaatgebruikers-id's
- Federatieve gebruikers migreren