In dit artikel vindt u veelgestelde vragen over hoe Verificatie op basis van certificaten (CBA) van Microsoft Entra werkt. Kom terug voor bijgewerkte inhoud.
Waarom zie ik geen optie om me aan te melden bij Microsoft Entra ID met behulp van certificaten nadat ik mijn gebruikersnaam heb ingevoerd?
Een beheerder moet CBA inschakelen voor de tenant om de optie te maken om zich aan te melden met behulp van een certificaat dat beschikbaar is voor gebruikers. Zie stap 3: Het verificatiebindingsbeleid configureren voor meer informatie.
Waar kan ik meer diagnostische informatie krijgen nadat de aanmelding van een gebruiker is mislukt?
Selecteer op de foutpagina meer details voor meer informatie om uw tenantbeheerder te helpen. De tenantbeheerder kan de aanmeldingslogboeken controleren om de fout te onderzoeken. Als een gebruikerscertificaat bijvoorbeeld is ingetrokken en zich in de CRL (Certificeringintrekkingslijst) bevindt, mislukt de verificatie zoals bedoeld.
Hoe schakelen we Microsoft Entra CBA in?
- Meld u aan bij het Microsoft Entra-beheercentrum met ten minste de rol Verificatiebeleidbeheerder toegewezen.
- Ga naar Beleid voor verificatiemethoden voor Entra-id's>>.
- Selecteer het verificatiebeleid op basis van certificaten .
- SelecteerInschakelen op het tabblad Inschakelen en doel.
Is Microsoft Entra CBA een gratis functie?
Microsoft Entra CBA is een gratis functie.
Elke editie van Microsoft Entra ID bevat Microsoft Entra CBA.
Zie prijzen voor Microsoft Entra voor meer informatie over functies in elke Microsoft Entra-editie.
Ondersteunt Microsoft Entra CBA een alternatieve id als gebruikersnaam in plaats van userPrincipalName?
Nee. Aanmelden met een niet-UPN-waarde, zoals een alternatief e-mailbericht, wordt momenteel niet ondersteund.
Kan ik meer dan één CRL-distributiepunt hebben voor een certificeringsinstantie?
Nee, er wordt slechts één CRL-distributiepunt (CDP) ondersteund per certificeringsinstantie (CA).
Kan ik een niet-HTTP-URL voor een CDP gebruiken?
Nee. CDP ondersteunt alleen HTTP-URL's.
Hoe kan ik de CRL voor een CA vinden of hoe los ik de fout 'AADSTS2205015: De certificaatintrekkingslijst (CRL) is mislukte handtekeningvalidatie' op?
Download de CRL en vergelijk het CA-certificaat en de CRL-informatie om te controleren of de crlDistributionPoint waarde geldig is voor de CA die u wilt toevoegen. U kunt de CRL configureren voor de bijbehorende CA door de verlener van de onderwerpsleutel-id (SKI) van de certificeringsinstantie te koppelen aan de autoriteitssleutel-id (AKI) van de CRL (CA Issuer SKI == CRL AKI).
In de volgende tabel en afbeelding ziet u hoe u informatie van het CA-certificaat kunt toewijzen aan de kenmerken van de gedownloade CRL.
| CA-certificaatgegevens | = | Gedownloade CRL-gegevens |
|---|---|---|
| Onderwerp | = | Uitgevende instelling |
| Onderwerpsleutel-id (SKI) | = | Authority Key Identifier (Sleutel-ID) |
Hoe valideer ik de CA-configuratie?
Het is belangrijk om ervoor te zorgen dat de configuratie van de certificeringsinstantie in het vertrouwensarchief resulteert in de mogelijkheid van Microsoft Entra om beide de vertrouwensketen van de certificeringsinstantie te valideren. Daarnaast moet deze de certificaatintrekkingslijst (CRL) verkrijgen van het geconfigureerde CRL-distributiepunt (CDP). Voor hulp bij deze taak is het raadzaam om de PowerShell-module MSIdentity Tools te installeren en Test-MsIdCBATrustStoreConfiguration uit te voeren. Deze PowerShell-cmdlet controleert de configuratie van de Microsoft Entra-tenantcertificaatinstantie en geeft fouten/waarschuwingen weer voor veelvoorkomende problemen met onjuiste configuratie.
Worden wijzigingen in het beleid voor verificatiemethoden onmiddellijk van kracht?
Het beleid wordt in de cache opgeslagen. Na een beleidsupdate kan het tot een uur duren voordat de wijzigingen van kracht worden.
Waarom zie ik de CBA-optie nadat deze is mislukt?
In het beleid voor verificatiemethoden worden altijd alle beschikbare verificatiemethoden voor de gebruiker weergegeven, zodat ze zich opnieuw kunnen aanmelden met behulp van elke gewenste methode.
Microsoft Entra ID verbergt de beschikbare methoden niet op basis van het slagen of mislukken van een aanmelding.
Waarom mislukt de CBA-lus nadat deze is mislukt?
In de browser wordt het certificaat in de cache opgeslagen nadat de certificaatkiezer wordt weergegeven. Als de gebruiker verificatie opnieuw probeert uit te proberen, wordt het certificaat in de cache automatisch gebruikt. De gebruiker moet de browser sluiten en vervolgens een nieuwe sessie opnieuw openen om CBA opnieuw te proberen.
Waarom wordt identiteitsbewijs voor het registreren van andere verificatiemethoden niet weergegeven als optie wanneer ik certificaten met één factor gebruik?
Een gebruiker wordt beschouwd als geschikt voor meervoudige verificatie (MFA) wanneer de gebruiker binnen het bereik van CBA valt in het beleid voor verificatiemethoden. Deze beleidsvereiste betekent dat een gebruiker geen identiteitsbewijs kan gebruiken als onderdeel van hun verificatie om andere beschikbare methoden te registreren.
Hoe kan ik meervoudige certificaten gebruiken om MFA te voltooien?
We ondersteunen CBA met één factor om MFA te verkrijgen. CBA single-factor with passwordless phone sign-in and CBA single-factor with FIDO2 are the two supported combinations to get MFA by using single-factor certificates.
Zie MFA met certificaten met één factor voor meer informatie.
De update certificateUserIds mislukt omdat het een bestaande waarde is. Hoe kan een beheerder een query uitvoeren op alle gebruikersobjecten met dezelfde waarde?
Tenantbeheerders kunnen Microsoft Graph-query's uitvoeren om alle gebruikers te vinden die een specifieke certificateUserIds waarde hebben. Zie certificateUserIds Graph-query's voor meer informatie.
Met deze opdracht worden bijvoorbeeld alle gebruikersobjecten geretourneerd met de waarde bob@contoso.com in certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Kan Microsoft Entra CBA worden gebruikt op Microsoft Surface Hub?
Ja. CBA werkt standaard voor de meeste combinaties van smartcard en smartcardlezer. Als voor de combinatie smartcard en smartcardlezer andere stuurprogramma's zijn vereist, moet u de stuurprogramma's installeren voordat u de combinatie smartcard en smartcardlezer op Surface Hub kunt gebruiken.
Verwante inhoud
Als uw vraag hier niet wordt beantwoord, raadpleegt u de volgende gerelateerde artikelen:
- Overzicht van Microsoft Entra CBA
- Technische concepten van Microsoft Entra CBA
- Microsoft Entra CBA op iOS-apparaten
- Microsoft Entra CBA op Android-apparaten
- Microsoft Entra CBA instellen
- Aanmelden met Windows-smartcard met behulp van Microsoft Entra CBA
- Certificaatgebruikers-id's
- Federatieve gebruikers migreren