Q: 输入用户名后，为何看不到使用证书登录到 Microsoft Entra ID 的选项？

管理员必须为租户启用 CBA 才能使用可供用户使用的证书登录。 有关详细信息，请参阅 步骤 3：配置身份验证绑定策略 。

Q: 用户登录失败后，可在何处获取更多诊断信息？

在错误页上，选择“ 更多详细信息 ”，以帮助你的租户管理员。租户管理员可以检查登录日志以调查错误。 例如，如果用户证书被吊销，并且位于认证吊销列表（CRL），身份验证会按预期方式失败。

Q: 如何启用 Microsoft Entra CBA？

使用至少分配的 身份验证策略管理员 角色登录到 Microsoft Entra 管理中心 。 转到 Entra ID > 身份验证方法 > 策略 。 选择 基于证书的身份验证 策略。 在“ 启用和目标 ”选项卡上，选择“ 启用 ”。

Q: Microsoft Entra CBA 是否支持作为用户名而不是 userPrincipalName 的备用 ID？

否。 目前不支持使用非 UPN 值（如备用电子邮件）登录。

Q: 如何查找 CA 的 CRL，或者如何排查错误“AADSTS2205015：证书吊销列表（CRL）签名验证失败”？

下载 CRL 并比较 CA 证书和 CRL 信息，以验证该值是否 crlDistributionPoint 对要添加的 CA 有效。 通过将 CA 的颁发者主体密钥标识符（SKI）与 CRL（CA 颁发者 SKI == CRL AKI）的颁发者密钥标识符（AKI）匹配，可以将 CRL 配置为相应的 CA。 下表和图显示了如何将 CA 证书中的信息映射到下载的 CRL 的属性。 CA 证书信息 = 下载的 CRL 信息 主题 = 发行 使用者密钥标识符（SKI） = 颁发机构密钥标识符（KeyID）

Q: 如何验证 CA 配置？

请务必确保信任存储中的证书颁发机构配置会导致Microsoft Entra 能够同时验证证书颁发机构信任链。 此外，它应从配置的证书颁发机构 CRL 分发点（CDP）成功获取证书吊销列表（CRL）。 为了帮助完成此任务，建议安装 MSIdentity 工具 PowerShell 模块并运行 Test-MsIdCBATrustStoreConfiguration 。 此 PowerShell cmdlet 将查看 Microsoft Entra 租户证书颁发机构配置，并显示常见错误配置问题的错误/警告。

Q: 对身份验证方法策略的更改是否立即生效？

策略已缓存。 策略更新后，更改可能需要长达一小时才能生效。

Question 1

输入用户名后，为何看不到使用证书登录到 Microsoft Entra ID 的选项？

Accepted Answer

管理员必须为租户启用 CBA 才能使用可供用户使用的证书登录。有关详细信息，请参阅步骤 3：配置身份验证绑定策略。

Question 2

用户登录失败后，可在何处获取更多诊断信息？

Accepted Answer

在错误页上，选择“ 更多详细信息 ”，以帮助你的租户管理员。租户管理员可以检查登录日志以调查错误。例如，如果用户证书被吊销，并且位于认证吊销列表（CRL），身份验证会按预期方式失败。

Question 3

如何启用 Microsoft Entra CBA？

Accepted Answer

使用至少分配的身份验证策略管理员角色登录到 Microsoft Entra 管理中心。
转到 Entra ID>身份验证方法>策略。
选择 基于证书的身份验证 策略。
在“ 启用和目标 ”选项卡上，选择“ 启用”。

Question 4

Microsoft Entra CBA 是否为免费功能？

Accepted Answer

Microsoft Entra CBA 是免费的功能。

每个版本的 Microsoft Entra ID 都包括 Microsoft Entra CBA。

有关每个 Microsoft Entra 版本中的功能的详细信息，请参阅 Microsoft Entra 定价。

Question 5

Microsoft Entra CBA 是否支持作为用户名而不是 userPrincipalName 的备用 ID？

Accepted Answer

否。目前不支持使用非 UPN 值（如备用电子邮件）登录。

Question 6

是否可以为证书颁发机构使用多个 CRL 分发点？

Accepted Answer

否，每个证书颁发机构（CA）仅支持一个 CRL 分发点（CDP）。

Question 7

是否可以对 CDP 使用非 HTTP URL？

Accepted Answer

否。 CDP 仅支持 HTTP URL。

Question 8

如何查找 CA 的 CRL，或者如何排查错误“AADSTS2205015：证书吊销列表（CRL）签名验证失败”？

Accepted Answer

下载 CRL 并比较 CA 证书和 CRL 信息，以验证该值是否 crlDistributionPoint 对要添加的 CA 有效。通过将 CA 的颁发者主体密钥标识符（SKI）与 CRL（CA 颁发者 SKI == CRL AKI）的颁发者密钥标识符（AKI）匹配，可以将 CRL 配置为相应的 CA。

下表和图显示了如何将 CA 证书中的信息映射到下载的 CRL 的属性。

CA 证书信息	=	下载的 CRL 信息
主题	=	发行
使用者密钥标识符（SKI）	=	颁发机构密钥标识符（KeyID）

将 CA 证书字段与 CRL 信息进行比较的屏幕截图。

Question 9

如何验证 CA 配置？

Accepted Answer

请务必确保信任存储中的证书颁发机构配置会导致Microsoft Entra 能够同时验证证书颁发机构信任链。此外，它应从配置的证书颁发机构 CRL 分发点（CDP）成功获取证书吊销列表（CRL）。为了帮助完成此任务，建议安装 MSIdentity 工具 PowerShell 模块并运行 Test-MsIdCBATrustStoreConfiguration。此 PowerShell cmdlet 将查看 Microsoft Entra 租户证书颁发机构配置，并显示常见错误配置问题的错误/警告。

Question 10

对身份验证方法策略的更改是否立即生效？

Accepted Answer

策略已缓存。策略更新后，更改可能需要长达一小时才能生效。

Question 11

为什么在 CBA 选项失败后看到该选项？

Accepted Answer

身份验证方法策略始终向用户显示所有可用的身份验证方法，以便他们可以使用他们喜欢的任何方法重试登录。

Microsoft Entra ID 不会根据登录的成功或失败隐藏可用方法。

Question 12

为什么 CBA 循环在失败后会失败？

Accepted Answer

浏览器在证书选取器出现后缓存证书。如果用户重试身份验证，则会自动使用缓存的证书。用户应关闭浏览器，然后重新打开新会话以再次尝试 CBA。

Question 13

使用单因素证书时，为什么注册其他身份验证方法的标识证明不显示为选项？

Accepted Answer

当用户在身份验证方法策略中的 CBA 范围内时，该用户被视为能够进行多重身份验证（MFA）。此策略要求意味着用户无法使用标识证明作为身份验证的一部分来注册其他可用方法。

Question 14

如何使用单因素证书来完成 MFA？

Accepted Answer

我们支持单因素 CBA 来获取 MFA。使用无密码手机登录的 CBA 单因素和 FIDO2 的 CBA 单因素是支持使用单因素证书获取 MFA 的两种组合。

有关详细信息，请参阅包含单因素证书的 MFA。

Question 15

certificateUserIds 更新失败，因为它是现有值。 管理员如何查询具有相同值的所有用户对象？

Accepted Answer

租户管理员可以运行 Microsoft Graph 查询来查找具有特定 certificateUserIds 值的所有用户。有关详细信息，请参阅 certificateUserIds Graph 查询。

例如，此命令返回具有以下值bob@contoso.comcertificateUserIds的所有用户对象：

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Question 16

Microsoft Entra CBA 是否可以在 Microsoft Surface Hub 上使用？

Accepted Answer

是的。 CBA 适用于智能卡和智能卡读卡器的大部分组合的现装。如果组合智能卡和智能卡读卡器需要其他驱动程序，则必须安装驱动程序，然后才能在 Surface Hub 上使用智能卡和智能卡读卡器。

通过

有关基于 entra 证书的身份验证Microsoft常见问题解答