编辑

通过

有关基于 entra 证书的身份验证的Microsoft常见问题解答 (CBA)

  • 常见问题解答

本文介绍了有关Microsoft基于证书的身份验证(CBA)的工作原理的常见问题。 继续检查更新的内容。

输入用户名后,为何看不到使用证书登录到 Microsoft Entra ID 的选项?

管理员需要为租户启用 CBA 才能让用户使用证书选项登录。 有关详细信息,请参阅 步骤 3:配置身份验证绑定策略

用户登录失败后,可在何处获取更多诊断信息?

在错误页上,选择“更多详细信息”,以获取帮助租户管理员的详细信息。租户管理员可以检查 登录日志 以进一步调查。 例如,如果用户证书被吊销,并且是证书吊销列表的一部分,则身份验证会正确失败。 若要获取更多诊断信息,请检查 登录日志

管理员如何启用 Microsoft Entra CBA?

  1. 以至少 身份验证策略管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到 保护>身份验证方法>策略
  3. 选择 基于证书的身份验证 策略。
  4. “启用”和“目标”选项卡上,选择 “启用”。

Microsoft Entra CBA 是否为免费功能?

基于证书的身份验证是免费的功能。 每个版本的 Microsoft Entra ID 都包括 Microsoft Entra CBA。 有关每个 Microsoft Entra 版本中的功能的详细信息,请参阅 Microsoft Entra 定价

Microsoft Entra CBA 是否支持备用 ID 作为用户名而不是 userPrincipalName?

否,现在不支持使用非 UPN 值(例如备用电子邮件)登录。

是否可以有多个适用于证书颁发机构 (CA) 的 CRL 分发点 (CDP) ?

否,每个 CA 仅支持一个 CDP。

是否可以为 CDP 使用非 http URL?

否,CDP 仅支持 HTTP URL。

如何查找证书颁发机构的 CRL,或者如何排查错误AADSTS2205015:证书吊销列表(CRL)签名验证失败?

下载 CRL 并比较 CA 证书和 CRL 信息,以验证 crlDistributionPoint 值是否对要添加的 CA 有效。 通过将 CA 的颁发者 SKI 与 CRL 的 AKI 匹配(CA 颁发者 SKI == CRL AKI),可以将 CRL 配置为相应的 CA。 下表和图形显示如何将 CA 证书中的信息映射到下载的 CRL 的属性。

CA 证书信息 = 下载的 CRL 信息
主题 = 发行
使用者密钥标识符 = 颁发机构密钥标识符(KeyID)

将 CA 证书与 CRL 信息进行比较的屏幕截图。

如何验证证书颁发机构配置?

请务必确保信任存储中的证书颁发机构配置会导致Microsoft Entra 能够同时验证证书颁发机构信任链。 此外,它应从配置的证书颁发机构 CRL 分发点(CDP)成功获取证书吊销列表(CRL)。 为了帮助完成此任务,建议安装 MSIdentity Tools PowerShell 模块并运行 Test-MsIdCBATrustStoreConfiguration。 此 PowerShell cmdlet 将查看 Microsoft Entra 租户证书颁发机构配置,并显示常见错误配置问题的错误/警告。

如何打开或关闭特定 CA 的证书吊销检查?

强烈建议不要禁用证书吊销列表(CRL),因为无法吊销证书。 但是,如果需要调查 CRL 检查问题,可以在 Microsoft Entra 管理中心中免除 CRL 检查的 CA。 在 CBA 身份验证方法策略中,单击 配置,然后单击 添加豁免。 选择要免除的 CA,然后单击“添加

CRL 大小是否有限制?

以下 CRL 大小限制适用:

  • 交互式登录下载限制:20 MB(Azure 全球包括 GCC)、45 MB(Azure 美国政府,包括 GCC High、防御部)
  • 服务下载限制:65 MB(Azure 全球包括 GCC)、150 MB(Azure 美国政府,包括 GCC High、防御部)

CRL 下载失败时,将显示以下消息:

“从 {uri} 下载的证书吊销列表 (CRL) 已超过 Microsoft Entra ID 中 CRL 允许的最大大小({size} 字节)。 在几分钟内重试。 如果问题仍然存在,请与租户管理员联系。

下载仍保留在后台,限制更高。

我们正在审查这些限制的影响,并制定删除这些限制的计划。

我看到有效的证书吊销列表(CRL)终结点集,但我为什么看不到任何 CRL 吊销?

  • 确保 CRL 分发点设置为有效的 HTTP URL。
  • 确保可通过面向 Internet 的 URL 访问 CRL 分发点。
  • 确保 CRL 大小在限制范围内。

如何立即吊销证书?

按照步骤手动撤销证书

对身份验证方法策略的更改是否会立即生效?

策略已缓存。 策略更新后,更改可能需要长达一小时才能生效。

为什么在证书失败后看到基于证书的身份验证选项?

身份验证方法策略始终向用户显示所有可用的身份验证方法,以便他们可以使用他们喜欢的任何方法重试登录。 Microsoft Entra ID 不会根据登录的成功或失败隐藏可用方法。

为什么基于证书的身份验证(CBA)循环失败?

浏览器在证书选取器出现后缓存证书。 如果用户重试,则会自动使用缓存的证书。 用户应关闭浏览器,然后重新打开新会话以再次尝试 CBA。

为什么在使用单因素证书时无法证明注册其他身份验证方法?

当用户在身份验证方法策略中 基于证书的身份验证 范围内时,该用户被视为能够执行 MFA。 此策略要求意味着用户无法使用证明作为身份验证的一部分来注册其他可用方法。

如何使用单因素证书来完成 MFA?

我们支持单因素 CBA 来获取 MFA。 CBA SF + 无密码手机登录(PSI)和 CBA SF + FIDO2 是两种受支持的组合,用于使用单因素证书获取 MFA。 使用单因素证书 MFA

CertificateUserIds 更新失败,值已存在。 管理员如何查询具有相同值的所有用户对象?

租户管理员可以运行 Microsoft Graph 查询来查找具有给定 certificateUserId 值的所有用户。 有关详细信息,请参阅 CertificateUserIds 图形查询

此命令返回在 certificateUserIds 中具有值“bob@contoso.com”值的所有用户对象:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

配置 CRL 终结点后,最终用户无法登录,他们会看到以下诊断消息: “”http AADSTS500173:无法下载 CRL。 禁止从 CRL 分发点错误代码中禁用状态代码:500173“'”

当防火墙规则设置阻止访问 CRL 终结点时,通常会看到这种情况。

是否可以在 Surface Hub 上使用 Microsoft Entra CBA?

是的。 CBA 适用于大多数智能卡和智能卡读卡器组合的现装。 如果智能卡和智能卡读卡器组合需要其他驱动程序,则必须安装它们,然后才能在 Surface Hub 上使用智能卡和智能卡读卡器组合。

后续步骤

如果此处未回答你的问题,请参阅以下相关主题: