Den här artikeln tar upp vanliga frågor om hur Microsoft Entra-certifikatbaserad autentisering (CBA) fungerar. Kom tillbaka för uppdaterat innehåll.
Varför visas inte ett alternativ för att logga in på Microsoft Entra-ID med hjälp av certifikat när jag har angett mitt användarnamn?
En administratör måste aktivera CBA för klientorganisationen för att alternativet att logga in ska kunna användas med hjälp av ett certifikat som är tillgängligt för användarna. Mer information finns i Steg 3: Konfigurera autentiseringsbindningsprincipen.
Var kan jag få mer diagnostikinformation när en användarinloggning misslyckas?
På felsidan väljer du Mer information för mer information för att hjälpa klientadministratören. Klientadministratören kan kontrollera inloggningsloggarna för att undersöka felet. Om till exempel ett användarcertifikat återkallas och finns med i listan över återkallade certifikat (CRL) misslyckas autentiseringen som avsett.
Hur aktiverar vi Microsoft Entra CBA?
- Logga in på administrationscentret för Microsoft Entra med minst rollen Administratör för autentiseringsprincip tilldelad.
- Gå tillPrinciper för >>.
- Välj den certifikatbaserade autentiseringsprincipen .
- På fliken Aktivera och Mål väljer du Aktivera.
Är Microsoft Entra CBA en kostnadsfri funktion?
Microsoft Entra CBA är en kostnadsfri funktion.
Varje utgåva av Microsoft Entra ID innehåller Microsoft Entra CBA.
Mer information om funktioner i varje Microsoft Entra-utgåva finns i Microsoft Entra-priser.
Stöder Microsoft Entra CBA ett alternativt ID som användarnamn i stället för userPrincipalName?
Nej. För närvarande stöds inte inloggning med hjälp av ett icke-UPN-värde, till exempel ett alternativt e-postmeddelande.
Kan jag ha fler än en CRL-distributionsplats för en certifikatutfärdare?
Nej, endast en CRL-distributionsplats (CDP) stöds per certifikatutfärdare (CA).
Kan jag använda en icke-HTTP-URL för en CDP?
Nej. CDP stöder endast HTTP-URL:er.
Hur hittar jag crl för en certifikatutfärdare eller hur felsöker jag felet "AADSTS2205015: Valideringen av certifikatåterkallningslistan (CRL) misslyckades med signaturverifiering"?
Ladda ned crl och jämför CA-certifikatet och CRL-informationen för att verifiera att crlDistributionPoint värdet är giltigt för den certifikatutfärdare som du vill lägga till. Du kan konfigurera certifikatutfärdaren till motsvarande certifikatutfärdare genom att matcha certifikatutfärdarens utfärdare ämnesnyckelidentifierare (SKI) med utfärdarnyckelidentifieraren (AKI) för CRL (CA Issuer SKI == CRL AKI).
Följande tabell och bild visar hur du mappar information från CA-certifikatet till attributen för den nedladdade CRL:en.
| Ca-certifikatinformation | = | Hämtad CRL-information |
|---|---|---|
| Subjekt | = | Utfärdare |
| Ämnesnyckelidentifierare (SKI) | = | Utfärdarnyckelidentifierare (KeyID) |
Hur verifierar jag CA-konfigurationen?
Det är viktigt att se till att certifikatutfärdarkonfigurationen i förtroendearkivet ger Microsoft Entra möjlighet att både verifiera certifikatutfärdarens förtroendekedja. Dessutom bör den hämta listan över återkallade certifikat (CRL) från den konfigurerade certifikatutfärdarens CRL-distributionsplats (CDP). För att hjälpa till med den här uppgiften rekommenderar vi att du installerar MSIdentity Tools PowerShell-modulen och kör Test-MsIdCBATrustStoreConfiguration. Den här PowerShell-cmdleten granskar konfigurationen av Certifikatutfärdaren för Microsoft Entra-klientorganisation och fel/varningar om vanliga felkonfigurationsproblem.
Börjar ändringarna av principen för autentiseringsmetoder gälla omedelbart?
Principen cachelagras. Efter en principuppdatering kan det ta upp till en timme innan ändringarna börjar gälla.
Varför visas cba-alternativet när det misslyckas?
Principen för autentiseringsmetod visar alltid alla tillgängliga autentiseringsmetoder för användaren så att de kan försöka logga in igen med valfri metod.
Microsoft Entra-ID döljer inte tillgängliga metoder baserat på lyckade eller misslyckade inloggningar.
Varför loopar CBA när det misslyckas?
Webbläsaren cachelagrar certifikatet när certifikatväljaren visas. Om användaren försöker autentisering igen används det cachelagrade certifikatet automatiskt. Användaren bör stänga webbläsaren och sedan öppna en ny session igen för att försöka med CBA igen.
Varför visas inte identitetsbevis för att registrera andra autentiseringsmetoder som ett alternativ när jag använder enfaktorcertifikat?
En användare anses kunna multifaktorautentisering (MFA) när användaren är i omfånget för CBA i principen för autentiseringsmetoder. Det här principkravet innebär att en användare inte kan använda identitetsbevis som en del av sin autentisering för att registrera andra tillgängliga metoder.
Hur kan jag använda enfaktorcertifikat för att slutföra MFA?
Vi har stöd för enfaktors-CBA för att få MFA. CBA single-factor med lösenordslös telefoninloggning och CBA single-factor med FIDO2 är de två kombinationer som stöds för att få MFA med hjälp av enfaktorcertifikat.
Mer information finns i MFA med enfaktorcertifikat.
Uppdateringen certificateUserIds misslyckas eftersom det är ett befintligt värde. Hur kan en administratör köra frågor mot alla användarobjekt som har samma värde?
Klientadministratörer kan köra Microsoft Graph-frågor för att hitta alla användare som har ett specifikt certificateUserIds värde. Mer information finns i certificateUserIds Graph-frågor.
Det här kommandot returnerar till exempel alla användarobjekt som har värdet bob@contoso.com i certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Kan Microsoft Entra CBA användas på Microsoft Surface Hub?
Ja. CBA fungerar out-of-the-box för de flesta kombinationer av smartkort och smartkortsläsare. Om kombinationen smartkort och smartkortsläsare kräver andra drivrutiner måste du installera drivrutinerna innan du kan använda kombinationen smartkort och smartkortsläsare på Surface Hub.
Relaterat innehåll
Om din fråga inte besvaras här kan du läsa följande relaterade artiklar: