В этой статье рассматриваются часто задаваемые вопросы о том, как работает проверка подлинности на основе сертификатов (CBA) Microsoft Entra. Продолжайте проверять наличие обновленного содержимого.
Почему не отображается возможность входа в идентификатор Microsoft Entra с помощью сертификатов после ввода имени пользователя?
Администратору необходимо включить CBA для клиента, чтобы выполнить вход с параметром сертификата, доступным для пользователей. Дополнительные сведения см. в шаге 3. Настройка политики привязки проверки подлинности.
Где можно получить дополнительные диагностические сведения после сбоя входа пользователя?
На странице ошибок выберите дополнительные сведения, чтобы получить дополнительные сведения, чтобы помочь администратору клиента. Администратор клиента может проверить журналы входа для дальнейшего изучения. Например, если сертификат пользователя отозван и является частью списка отзыва сертификатов, проверка подлинности завершается ошибкой. Чтобы получить дополнительные диагностические сведения, проверьте журналы входа .
Как администратор может включить Microsoft Entra CBA?
- Войдите в центр администрирования Microsoft Entra как по крайней мере администратор политики проверки подлинности .
- Перейдите к методам проверки подлинности защиты>>политик.
- Выберите политику проверки подлинности на основе сертификатов.
- На вкладке Включить и целевой выберите Включить.
Является ли Microsoft Entra CBA бесплатной функцией?
Проверка подлинности на основе сертификатов — это бесплатная функция. Каждый выпуск идентификатора Microsoft Entra включает Microsoft Entra CBA. Дополнительные сведения о функциях в каждом выпуске Microsoft Entra см. в цен на Microsoft Entra.
Поддерживает ли Microsoft Entra CBA альтернативный идентификатор в качестве имени пользователя вместо userPrincipalName?
Нет, вход с использованием значения, отличного от имени участника-пользователя, например альтернативного сообщения электронной почты, сейчас не поддерживается.
Можно ли использовать несколько точек распространения CRL (CDP) для центра сертификации (ЦС)?
Нет, на ЦС поддерживается только один CDP.
Можно ли иметь URL-адреса, отличные от HTTP для CDP?
Нет, CDP поддерживает только URL-адреса HTTP.
Как найти список отзыва сертификатов для центра сертификации или как устранить ошибку AADSTS2205015: сбой проверки подписи в списке отзыва сертификатов (CRL) ?
Скачайте список отзыва сертификатов и сравните сертификат ЦС и сведения о списке отзыва сертификатов, чтобы проверить значение crlDistributionPoint, допустимое для добавляемого ЦС. Вы можете настроить список отзыва сертификатов для соответствующего ЦС, сопоставив СКИ издателя ЦС с AKI CRL (CA Issuer SKI == CRL AKI). В следующей таблице и рисунке показано, как сопоставить сведения из сертификата ЦС с атрибутами скачаемого списка отзыва сертификатов.
| Сведения о сертификате ЦС | = | Скачанные сведения о CRL |
|---|---|---|
| Тема | = | Эмитент |
| Идентификатор ключа субъекта | = | Идентификатор ключа центра (KeyID) |
Как проверить конфигурацию центра сертификации?
Важно убедиться, что конфигурация центра сертификации в хранилище доверия дает возможность Microsoft Entra проверить цепочку доверия центра сертификации. Кроме того, он должен успешно получить список отзыва сертификатов (CRL) из настроенной точки распространения CRL центра сертификации (CDP). Чтобы помочь с этой задачей, рекомендуется установить модуль средств MSIdentity MSIdentity PowerShell и запустить Test-MsIdCBATrustStoreConfiguration. Этот командлет PowerShell просмотрит конфигурацию центра сертификации клиента Microsoft Entra и ошибки или предупреждения для распространенных проблем с неправильной настройкой.
Как включить или отключить проверку отзыва сертификатов для определенного ЦС?
Мы настоятельно рекомендуем отключить проверку списка отзыва сертификатов (CRL), так как вы не сможете отозвать сертификаты. Однако если вам нужно изучить проблемы с проверкой списка отзыва сертификатов, вы можете исключить ЦС из проверки отзыва сертификатов в Центре администрирования Microsoft Entra. В политике методов проверки подлинности CBA щелкните Настройка и щелкните Добавить исключение. Выберите ЦС, который требуется исключить, и нажмите кнопку Добавить.
Существует ли ограничение для размера списка отзыва сертификатов?
Применяются следующие ограничения размера CRL:
- Ограничение загрузки интерактивного входа: 20 МБ (Azure Global включает GCC), 45 МБ для (Azure для государственных организаций США, включая GCC High, Dept of Defense).
- Ограничение загрузки службы: 65 МБ (Azure Global включает GCC), 150 МБ для (Azure для государственных организаций США, включая GCC High, Dept of Defense).
При сбое скачивания списка отзыва сертификатов появится следующее сообщение:
"Список отзыва сертификатов (CRL), скачанный из {URI}, превысил максимальный допустимый размер ({size} байт) для списков отзыва сертификатов в идентификаторе Microsoft Entra. Повторите попытку через несколько минут. Если проблема сохранится, обратитесь к администраторам клиента".
Скачивание остается в фоновом режиме с более высокими ограничениями.
Мы просматриваем влияние этих ограничений и планируем их удалить.
Я вижу допустимый набор конечных точек списка отзыва сертификатов (CRL), но почему я не вижу отзыва CRL?
- Убедитесь, что точка распространения CRL имеет допустимый URL-адрес HTTP.
- Убедитесь, что точка распространения CRL доступна через URL-адрес для доступа к Интернету.
- Убедитесь, что размеры списка отзыва сертификатов находятся в пределах ограничений.
Как мгновенно отозвать сертификат?
Выполните действия, чтобы вручную отозвать сертификат.
Вступают ли в силу изменения политики методов проверки подлинности немедленно?
Политика кэшируется. После обновления политики может потребоваться до часа, чтобы изменения вступили в силу.
Почему после сбоя отображается параметр проверки подлинности на основе сертификатов?
Политика метода проверки подлинности всегда отображает все доступные методы проверки подлинности для пользователя, чтобы они могли повторить вход с помощью любого метода, который они предпочитают. Идентификатор Microsoft Entra не скрывает доступные методы на основе успешного или неудачного входа.
Почему циклы проверки подлинности на основе сертификатов (CBA) после сбоя?
Браузер кэширует сертификат после появления средства выбора сертификатов. Если пользователь повторяет попытку, кэшированный сертификат используется автоматически. Пользователь должен закрыть браузер и снова открыть новый сеанс, чтобы повторить попытку CBA.
Почему не выполняется проверка регистрации других методов проверки подлинности при использовании однофакторных сертификатов?
Пользователь считается способным использовать MFA, если пользователь находится в области проверки подлинности на основе сертификатов в политике методов проверки подлинности. Это требование политики означает, что пользователь не может использовать проверку подлинности в рамках проверки подлинности для регистрации других доступных методов.
Как использовать однофакторные сертификаты для выполнения MFA?
Для получения MFA у нас есть поддержка единого фактора CBA. CBA SF + вход без пароля (PSI) и CBA SF + FIDO2 являются двумя поддерживаемыми сочетаниями для получения MFA с помощью однофакторных сертификатов. MFA с помощью сертификатов с одним фактором
Обновление CertificateUserIds завершается ошибкой с уже имеющимся значением. Как администратор может запрашивать все объекты пользователя с одинаковым значением?
Администраторы клиента могут выполнять запросы Microsoft Graph, чтобы найти всех пользователей с заданным значением certificateUserId. Дополнительные сведения см. в графовых запросах CertificateUserIds.
Эта команда возвращает все пользовательские объекты, имеющие значение "bob@contoso.com' в certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
После настройки конечной точки CRL конечные пользователи не могут войти в систему, и они видят следующее диагностическое сообщение: '''http AADSTS500173: не удается скачать список отзыва сертификатов. Недопустимый код состояния запрещен из кода ошибки точки распространения CRL: 500173 ''
Обычно это видно, когда параметр правила брандмауэра блокирует доступ к конечной точке списка отзыва сертификатов.
Можно ли использовать Microsoft Entra CBA в Surface Hub?
Да. CBA работает вне коробки для большинства сочетаний смарт-карт и чтения смарт-карт. Если для сочетания смарт-карт и средства чтения смарт-карт требуются другие драйверы, их необходимо установить, прежде чем использовать сочетание смарт-карт и средства чтения смарт-карт в Surface Hub.
Дальнейшие действия
Если ваш вопрос не ответит здесь, ознакомьтесь со следующими связанными разделами:
- обзор Microsoft Entra CBA
- подробное руководство по Microsoft Entra CBA
- Microsoft Entra CBA на устройствах iOS
- Microsoft Entra CBA на устройствах Android
- Настройка Microsoft Entra CBA
- входа в систему смарт-карты Windows с помощью Microsoft Entra CBA
- идентификаторы пользователей сертификата
- Перенос федеративных пользователей