In dit artikel vindt u veelgestelde vragen over hoe Verificatie op basis van certificaten (CBA) van Microsoft Entra werkt. Blijf controleren op bijgewerkte inhoud.
Waarom zie ik geen optie om me aan te melden bij Microsoft Entra ID met behulp van certificaten nadat ik mijn gebruikersnaam heb ingevoerd?
Een beheerder moet CBA inschakelen voor de tenant om de aanmelding met certificaatoptie beschikbaar te maken voor gebruikers. Zie stap 3: verificatiebindingsbeleid configurerenvoor meer informatie.
Waar kan ik meer diagnostische informatie krijgen nadat aanmelding van een gebruiker is mislukt?
Selecteer op de foutpagina Meer details voor meer informatie om uw tenantbeheerder te helpen. De tenantbeheerder kan de aanmeldingslogboeken controleren om verder te onderzoeken. Als een gebruikerscertificaat bijvoorbeeld is ingetrokken en deel uitmaakt van een certificaatintrekkingslijst, mislukt de verificatie correct. Raadpleeg de aanmeldingslogboekenvoor meer diagnostische gegevens.
Hoe kan een beheerder Microsoft Entra CBA inschakelen?
- Meld u aan bij het Microsoft Entra-beheercentrum ten minste een Authentication Policy Administrator.
- Blader naar Protection>Authentication-methoden>Beleid.
- Selecteer het beleid verificatie op basis van certificaten.
- Selecteer op het tabblad Inschakelen en doelinschakelen.
Is Microsoft Entra CBA een gratis functie?
Verificatie op basis van certificaten is een gratis functie. Elke editie van Microsoft Entra ID bevat Microsoft Entra CBA. Zie Prijzen van Microsoft Entravoor meer informatie over functies in elke Microsoft Entra-editie.
Biedt Microsoft Entra CBA ondersteuning voor alternatieve id als gebruikersnaam in plaats van userPrincipalName?
Nee, aanmelden met een niet-UPN-waarde, zoals een alternatief e-mailbericht, wordt nu niet ondersteund.
Kan ik meer dan één CRL-distributiepunt (CDP) hebben voor een certificeringsinstantie (CA)?
Nee, er wordt slechts één CDP per CA ondersteund.
Kan ik niet-HTTP-URL's voor CDP hebben?
Nee, CDP ondersteunt alleen HTTP-URL's.
Hoe kan ik de CRL voor een certificeringsinstantie vinden of hoe los ik de fout op AADSTS2205015: De certificaatintrekkingslijst (CRL) is mislukte handtekeningvalidatie?
Download de CRL en vergelijk het CA-certificaat en de CRL-informatie om te controleren of de crlDistributionPoint-waarde geldig is voor de CA die u wilt toevoegen. U kunt de CRL configureren voor de bijbehorende CA door de Issuer SKI van de CA te koppelen aan de AKI van de CRL (CA Issuer SKI == CRL AKI). In de volgende tabel en afbeelding ziet u hoe u informatie van het CA-certificaat kunt toewijzen aan de kenmerken van de gedownloade CRL.
| CA-certificaatgegevens | = | Gedownloade CRL-informatie |
|---|---|---|
| Onderwerp | = | Uitgevende instelling |
| Id van onderwerpsleutel | = | Authority Key Identifier (KeyID) |
Hoe valideer ik de configuratie van de certificeringsinstantie?
Het is belangrijk om ervoor te zorgen dat de configuratie van de certificeringsinstantie in het vertrouwensarchief resulteert in de mogelijkheid van Microsoft Entra om beide de vertrouwensketen van de certificeringsinstantie te valideren. Daarnaast moet deze de certificaatintrekkingslijst (CRL) verkrijgen van het geconfigureerde CRL-distributiepunt (CDP). Als u deze taak wilt helpen, is het raadzaam om de MSIdentity Tools PowerShell-module te installeren en Test-MsIdCBATrustStoreConfiguration-uit te voeren. Deze PowerShell-cmdlet controleert de configuratie van de Microsoft Entra-tenantcertificaatinstantie en geeft fouten/waarschuwingen weer voor veelvoorkomende problemen met onjuiste configuratie.
Hoe kan ik certificaatintrekkingscontrole in- of uitschakelen voor een bepaalde CA?
We raden u ten zeerste aan om CRL-controle (Certificate Revocation List) uit te schakelen, omdat u certificaten niet kunt intrekken. Als u echter problemen met CRL-controle wilt onderzoeken, kunt u een CA uitsluiten van CRL-controle in het Microsoft Entra-beheercentrum. Klik in het beleid voor CBA-verificatiemethoden op Configureren en klik vervolgens op Uitzondering toevoegen. Kies de CA die u wilt uitsluiten en klik op toevoegen.
Is er een limiet voor CRL-grootte?
De volgende CRL-groottelimieten zijn van toepassing:
- Downloadlimiet voor interactief aanmelden: 20 MB (Azure Global bevat GCC), 45 MB voor (Azure US Government, bevat GCC High, Afdeling defensie)
- Limiet voor het downloaden van services: 65 MB (Azure Global omvat GCC), 150 MB voor (Azure US Government, omvat GCC High, Afdeling defensie)
Wanneer een CRL-download mislukt, wordt het volgende bericht weergegeven:
"De certificaatintrekkingslijst (CRL) die is gedownload van {uri} heeft de maximaal toegestane grootte ({size} bytes) voor CRL's in Microsoft Entra ID overschreden. Probeer het over enkele minuten opnieuw. Als het probleem zich blijft voordoen, neemt u contact op met uw tenantbeheerders.
Downloaden blijft op de achtergrond met hogere limieten.
We bekijken de impact van deze limieten en hebben plannen om ze te verwijderen.
Ik zie een geldige CRL-eindpuntset (Certificate Revocation List), maar waarom zie ik geen CRL-intrekking?
- Zorg ervoor dat het CRL-distributiepunt is ingesteld op een geldige HTTP-URL.
- Zorg ervoor dat het CRL-distributiepunt toegankelijk is via een internetgerichte URL.
- Zorg ervoor dat de CRL-grootten binnen de limieten vallen.
Hoe kan ik een certificaat direct intrekken?
Worden de wijzigingen in het beleid voor verificatiemethoden onmiddellijk van kracht?
Het beleid wordt in de cache opgeslagen. Na een beleidsupdate kan het tot een uur duren voordat de wijzigingen van kracht worden.
Waarom zie ik de verificatieoptie op basis van certificaten nadat deze is mislukt?
In het beleid voor verificatiemethoden worden altijd alle beschikbare verificatiemethoden voor de gebruiker weergegeven, zodat ze zich opnieuw kunnen aanmelden met behulp van een methode die ze liever gebruiken. Microsoft Entra ID verbergt de beschikbare methoden niet op basis van geslaagde of mislukte aanmeldingen.
Waarom worden CBA-lussen (certificate-based auth) uitgevoerd zodra deze mislukt?
In de browser wordt het certificaat in de cache opgeslagen nadat de certificaatkiezer wordt weergegeven. Als de gebruiker opnieuw probeert, wordt het certificaat in de cache automatisch gebruikt. De gebruiker moet de browser sluiten en een nieuwe sessie opnieuw openen om CBA opnieuw te proberen.
Waarom wordt er geen bewijs voor het registreren van andere verificatiemethoden weergegeven wanneer ik certificaten met één factor gebruik?
Een gebruiker wordt beschouwd als geschikt voor MFA wanneer de gebruiker binnen het bereik van verificatie op basis van certificaten in het beleid voor verificatiemethoden. Deze beleidsvereiste betekent dat een gebruiker geen bewijs kan gebruiken als onderdeel van de verificatie om andere beschikbare methoden te registreren.
Hoe kan ik meervoudige certificaten gebruiken om MFA te voltooien?
We hebben ondersteuning voor CBA met één factor om MFA te verkrijgen. CBA SF + wachtwoordloze telefoon-aanmelding (PSI) en CBA SF + FIDO2 zijn de twee ondersteunde combinaties om MFA met behulp van één factor-certificaten op te halen. MFA met certificaten met één factor
Het bijwerken van CertificateUserIds mislukt met de waarde die al aanwezig is. Hoe kan een beheerder een query uitvoeren op alle gebruikersobjecten met dezelfde waarde?
Tenantbeheerders kunnen Microsoft Graph-query's uitvoeren om alle gebruikers met een bepaalde certificateUserId-waarde te vinden. Zie Graph-query's van CertificateUserIdsvoor meer informatie.
Met deze opdracht worden alle gebruikersobjecten geretourneerd met de waarde 'bob@contoso.com' in certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Nadat een CRL-eindpunt is geconfigureerd, kunnen eindgebruikers zich niet aanmelden en zien ze het volgende diagnostische bericht: ''http AADSTS500173: Kan CRL niet downloaden. Ongeldige statuscode Verboden vanuit CRL-distributiepunt errorCode: 500173 '''
Dit wordt vaak gezien wanneer een firewallregelinstelling de toegang tot het CRL-eindpunt blokkeert.
Kan Microsoft Entra CBA worden gebruikt op Surface Hub?
Ja. CBA werkt standaard voor de meeste combinaties van smartcards en smartcardlezers. Als voor de combinatie van smartcard en smartcardlezer andere stuurprogramma's zijn vereist, moeten deze worden geïnstalleerd voordat u de combinatie van smartcard en smartcardlezer op de Surface Hub kunt gebruiken.
Volgende stappen
Als uw vraag hier niet wordt beantwoord, raadpleegt u de volgende verwante onderwerpen:
- Overzicht van Microsoft Entra CBA-
- Technische diepgaande informatie over Microsoft Entra CBA-
- Microsoft Entra CBA op iOS-apparaten
- Microsoft Entra CBA op Android-apparaten
- Microsoft Entra CBA configureren
- aanmelding met Een Windows-smartcard met Microsoft Entra CBA-
- certificaatgebruikers-id's
- Federatieve gebruikers migreren