Microsoft Entra 憑證型驗證的常見問題 （CBA）

本文說明Microsoft Entra 憑證型驗證 （CBA） 運作方式的常見問題。 繼續檢查更新的內容。

為什麼我在輸入使用者名稱之後，看不到使用憑證登入 Microsoft Entra 標識符的選項？

系統管理員必須為租用戶啟用 CBA，才能讓使用者使用憑證選項登入。 如需詳細資訊，請參閱 步驟 3：設定驗證系結原則。

在使用者登入失敗之後，我可以在哪裡取得更多診斷資訊？

在錯誤頁面上，選取 [[更多詳細數據]，以取得詳細資訊以協助租用戶系統管理員。租用戶系統管理員可以檢查 登入記錄， 進一步調查。 例如，如果使用者憑證被撤銷，而且屬於證書吊銷清單的一部分，則驗證會正確失敗。 若要取得詳細資訊，請檢查 登入記錄。

系統管理員如何啟用 Microsoft Entra CBA？

1. 以至少 驗證原則管理員 身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 Protection>驗證方法，>原則。
3. 選取憑證式驗證 原則。
4. 在 [[啟用] 和 [目標] 索引標籤上，選取 [[啟用]。

Microsoft Entra CBA 是否為免費功能？

憑證式驗證是免費功能。 每個版本的 Microsoft Entra 識別碼都包含 Microsoft Entra CBA。 如需每個 Microsoft Entra 版本中功能的詳細資訊，請參閱 Microsoft Entra 定價。

Microsoft Entra CBA 是否支援替代標識符作為用戶名稱，而不是 userPrincipalName？

否，現在不支援使用非 UPN 值登入，例如替代電子郵件。

我可以有一個以上的CRL發佈點 （CDP） 作為證書頒發機構單位 （CA） 嗎？

否，每個 CA 僅支援一個 CDP。

我可以有適用於CDP的非 HTTPURL嗎？

否，CDP 僅支援 HTTP URL。

如何尋找證書頒發機構單位的CRL，或如何針對錯誤進行疑難解答AADSTS2205015：證書吊銷清單 （CRL） 簽章驗證失敗？

下載CRL並比較 CA 憑證和 CRL 資訊，以驗證 crlDistributionPoint 值是否適用於您想要新增的 CA。 您可以將 CA 的簽發者 SKI 比對 CRL （CA 簽發者 SKI == CRL AKI） 的 AKI，將 CRL 設定為對應的 CA。 下表和圖形顯示如何將 CA 憑證的信息對應至所下載 CRL 的屬性。

CA 憑證資訊	=	下載的CRL資訊
主題	=	發行
主體金鑰標識碼	=	授權金鑰識別碼 （KeyID）

如何驗證證書頒發機構單位設定？

請務必確保信任存放區中的證書頒發機構單位設定會導致Microsoft Entra 能夠同時驗證證書頒發機構單位信任鏈結。 此外，它應該會從設定的證書頒發機構單位 CRL 發佈點 （CDP） 成功取得證書吊銷清單 （CRL）。 若要協助這項工作，建議您安裝 MSIdentity Tools PowerShell 模組，並執行 Test-MsIdCBATrustStoreConfiguration。 此 PowerShell Cmdlet 會檢閱 Microsoft Entra 租使用者證書頒發機構單位設定，並針對常見的設定錯誤問題呈現錯誤/警告。

如何開啟或關閉特定 CA 的證書吊銷檢查？

強烈建議您不要停用證書吊銷清單 （CRL） 檢查，因為您無法撤銷憑證。 不過，如果您需要調查 CRL 檢查的問題，您可以在 Microsoft Entra 系統管理中心豁免 CRL 簽入 CA。 在 CBA 驗證方法原則中，按兩下 [設定] []，然後按兩下 [[新增豁免]。 選擇您要豁免的 CA，然後按下 [[新增]。

CRL 大小是否有限制？

適用下列 CRL 大小限制：

• 互動式登錄下載限制：20 MB（Azure Global 包括 GCC）、45 MB for （Azure 美國政府，包括 GCC High、Defense 部）
• 服務下載限制：65 MB（Azure Global 包括 GCC）、150 MB for （Azure 美國政府，包括 GCC High、國防部）

CRL 下載失敗時，會出現下列訊息：

「從 {uri} 下載的證書吊銷清單 （CRL） 超過 Microsoft Entra ID 中 CRL 允許的大小上限 （{size} 個字節）。 請在幾分鐘內再試一次。 如果問題持續發生，請連絡您的租用戶系統管理員。」

下載會保留在背景中，但有較高的限制。

我們正在檢閱這些限制的影響，並計劃移除這些限制。

我看到有效的憑證撤銷清單 （CRL） 端點集，但我為什麼看不到任何 CRL 撤銷？

• 請確定CRL發佈點已設定為有效的 HTTP URL。
• 請確定CRL發佈點可透過因特網對向URL存取。
• 請確定CRL大小在限制內。

如何立即撤銷憑證？

請遵循下列步驟 來手動撤銷憑證。

驗證方法原則的變更是否會立即生效？

原則已快取。 原則更新之後，最多可能需要一小時的時間，變更才會生效。

為什麼在憑證型驗證選項失敗之後會看到它？

驗證方法原則一律向用戶顯示所有可用的驗證方法，以便他們可以使用他們偏好的任何方法重試登入。 Microsoft Entra ID 不會根據登入的成功或失敗來隱藏可用的方法。

為什麼憑證型驗證 （CBA） 會在失敗後迴圈？

瀏覽器會在憑證選擇器出現之後快取憑證。 如果使用者重試，則會自動使用快取的憑證。 使用者應該關閉瀏覽器，然後重新開啟新的工作階段，以再次嘗試 CBA。

為什麼當我使用單一因素憑證時，無法證明註冊其他驗證方法？

當使用者在驗證方法原則中 憑證式驗證的範圍 時，會將使用者視為能夠用於 MFA。 此原則需求表示使用者無法使用證明作為驗證的一部分，以註冊其他可用的方法。

如何使用單一要素憑證來完成 MFA？

我們支援單一因素 CBA 以取得 MFA。 CBA SF + 無密碼手機登入 （PSI） 和 CBA SF + FIDO2 是使用單一因素憑證取得 MFA 支援的兩種組合。 使用單一因素憑證 MFA

CertificateUserIds 更新失敗，值已經存在。 系統管理員如何查詢具有相同值的所有用戶物件？

租用戶系統管理員可以執行 Microsoft Graph 查詢，以尋找具有指定 certificateUserId 值的所有使用者。 如需詳細資訊，請參閱 CertificateUserIds 圖形查詢。

此指令會傳回 certificateUserIds 中值為 'bob@contoso.com' 值的所有使用者物件：

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

設定CRL端點之後，終端使用者將無法登入，而且他們會看到下列診斷訊息： '''HTTP AADSTS500173：無法下載 CRL。 無效的狀態代碼 禁止從 CRL 發佈點錯誤碼碼：500173 '''

當防火牆規則設定封鎖對 CRL 端點的存取時，通常會看到這種情況。

Microsoft Entra CBA 是否可以在 Surface Hub 上使用？

是的。 CBA 適用於大多數智慧卡和智慧卡閱讀機組合的現用功能。 如果智慧卡和智慧卡卡片閱讀機組合需要其他驅動程式，您必須先安裝它們，才能在 Surface Hub 上使用智慧卡和智慧卡閱讀機組合。

後續步驟

如果此處未回答您的問題，請參閱下列相關主題：

• CBA Microsoft概觀
• Microsoft Entra CBA 的技術深入探討
• iOS 裝置上的 Microsoft Entra CBA
• android 裝置上的 Microsoft Entra CBA
• 如何設定 Microsoft Entra CBA
• 使用 Microsoft Entra CBA Windows 智慧卡登入
• 憑證用戶標識碼
• 如何移轉同盟使用者

本文說明Microsoft Entra 憑證型驗證 （CBA） 運作方式的常見問題。 繼續檢查更新的內容。

系統管理員必須為租用戶啟用 CBA，才能讓使用者使用憑證選項登入。 如需詳細資訊，請參閱 步驟 3：設定驗證系結原則。

在錯誤頁面上，選取 [[更多詳細數據]，以取得詳細資訊以協助租用戶系統管理員。租用戶系統管理員可以檢查 登入記錄， 進一步調查。 例如，如果使用者憑證被撤銷，而且屬於證書吊銷清單的一部分，則驗證會正確失敗。 若要取得詳細資訊，請檢查 登入記錄。

1. 以至少 驗證原則管理員 身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 Protection>驗證方法，>原則。
3. 選取憑證式驗證 原則。
4. 在 [[啟用] 和 [目標] 索引標籤上，選取 [[啟用]。

憑證式驗證是免費功能。 每個版本的 Microsoft Entra 識別碼都包含 Microsoft Entra CBA。 如需每個 Microsoft Entra 版本中功能的詳細資訊，請參閱 Microsoft Entra 定價。

否，現在不支援使用非 UPN 值登入，例如替代電子郵件。

否，每個 CA 僅支援一個 CDP。

否，CDP 僅支援 HTTP URL。

下載CRL並比較 CA 憑證和 CRL 資訊，以驗證 crlDistributionPoint 值是否適用於您想要新增的 CA。 您可以將 CA 的簽發者 SKI 比對 CRL （CA 簽發者 SKI == CRL AKI） 的 AKI，將 CRL 設定為對應的 CA。 下表和圖形顯示如何將 CA 憑證的信息對應至所下載 CRL 的屬性。

CA 憑證資訊	=	下載的CRL資訊
主題	=	發行
主體金鑰標識碼	=	授權金鑰識別碼 （KeyID）

請務必確保信任存放區中的證書頒發機構單位設定會導致Microsoft Entra 能夠同時驗證證書頒發機構單位信任鏈結。 此外，它應該會從設定的證書頒發機構單位 CRL 發佈點 （CDP） 成功取得證書吊銷清單 （CRL）。 若要協助這項工作，建議您安裝 MSIdentity Tools PowerShell 模組，並執行 Test-MsIdCBATrustStoreConfiguration。 此 PowerShell Cmdlet 會檢閱 Microsoft Entra 租使用者證書頒發機構單位設定，並針對常見的設定錯誤問題呈現錯誤/警告。

強烈建議您不要停用證書吊銷清單 （CRL） 檢查，因為您無法撤銷憑證。 不過，如果您需要調查 CRL 檢查的問題，您可以在 Microsoft Entra 系統管理中心豁免 CRL 簽入 CA。 在 CBA 驗證方法原則中，按兩下 [設定] []，然後按兩下 [[新增豁免]。 選擇您要豁免的 CA，然後按下 [[新增]。

適用下列 CRL 大小限制：

• 互動式登錄下載限制：20 MB（Azure Global 包括 GCC）、45 MB for （Azure 美國政府，包括 GCC High、Defense 部）
• 服務下載限制：65 MB（Azure Global 包括 GCC）、150 MB for （Azure 美國政府，包括 GCC High、國防部）

CRL 下載失敗時，會出現下列訊息：

「從 {uri} 下載的證書吊銷清單 （CRL） 超過 Microsoft Entra ID 中 CRL 允許的大小上限 （{size} 個字節）。 請在幾分鐘內再試一次。 如果問題持續發生，請連絡您的租用戶系統管理員。」

下載會保留在背景中，但有較高的限制。

我們正在檢閱這些限制的影響，並計劃移除這些限制。

• 請確定CRL發佈點已設定為有效的 HTTP URL。
• 請確定CRL發佈點可透過因特網對向URL存取。
• 請確定CRL大小在限制內。

請遵循下列步驟 來手動撤銷憑證。

原則已快取。 原則更新之後，最多可能需要一小時的時間，變更才會生效。

驗證方法原則一律向用戶顯示所有可用的驗證方法，以便他們可以使用他們偏好的任何方法重試登入。 Microsoft Entra ID 不會根據登入的成功或失敗來隱藏可用的方法。

瀏覽器會在憑證選擇器出現之後快取憑證。 如果使用者重試，則會自動使用快取的憑證。 使用者應該關閉瀏覽器，然後重新開啟新的工作階段，以再次嘗試 CBA。

當使用者在驗證方法原則中 憑證式驗證的範圍 時，會將使用者視為能夠用於 MFA。 此原則需求表示使用者無法使用證明作為驗證的一部分，以註冊其他可用的方法。

我們支援單一因素 CBA 以取得 MFA。 CBA SF + 無密碼手機登入 （PSI） 和 CBA SF + FIDO2 是使用單一因素憑證取得 MFA 支援的兩種組合。 使用單一因素憑證 MFA

租用戶系統管理員可以執行 Microsoft Graph 查詢，以尋找具有指定 certificateUserId 值的所有使用者。 如需詳細資訊，請參閱 CertificateUserIds 圖形查詢。

此指令會傳回 certificateUserIds 中值為 'bob@contoso.com' 值的所有使用者物件：

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

當防火牆規則設定封鎖對 CRL 端點的存取時，通常會看到這種情況。

是的。 CBA 適用於大多數智慧卡和智慧卡閱讀機組合的現用功能。 如果智慧卡和智慧卡卡片閱讀機組合需要其他驅動程式，您必須先安裝它們，才能在 Surface Hub 上使用智慧卡和智慧卡閱讀機組合。

後續步驟

如果此處未回答您的問題，請參閱下列相關主題：

• CBA Microsoft概觀
• Microsoft Entra CBA 的技術深入探討
• iOS 裝置上的 Microsoft Entra CBA
• android 裝置上的 Microsoft Entra CBA
• 如何設定 Microsoft Entra CBA
• 使用 Microsoft Entra CBA Windows 智慧卡登入
• 憑證用戶標識碼
• 如何移轉同盟使用者