Часто задаваемые вопросы о проверке подлинности на основе сертификатов Microsoft Entra

В этой статье рассматриваются часто задаваемые вопросы о том, как работает проверка подлинности на основе сертификатов (CBA) Microsoft Entra. Проверьте наличие обновленного содержимого.

Почему не отображается возможность входа в идентификатор Microsoft Entra с помощью сертификатов после ввода имени пользователя?

Администратор должен включить CBA для клиента, чтобы сделать этот параметр доступным для пользователей сертификатом. Дополнительные сведения см. в шаге 3. Настройка политики привязки проверки подлинности.

Где можно получить дополнительные диагностические сведения после сбоя входа пользователя?

На странице ошибок выберите дополнительные сведения , чтобы помочь администратору клиента. Администратор клиента может проверить журналы входа, чтобы изучить ошибку. Например, если сертификат пользователя отозван и находится в списке отзыва сертификатов (CRL), проверка подлинности завершается ошибкой по мере необходимости.

Как включить Microsoft Entra CBA?

  1. Войдите в Центр администрирования Microsoft Entra , используя по крайней мере назначенную роль администратора политики проверки подлинности .
  2. Перейдите кполитикам методов >проверки подлинности> записи.
  3. Выберите политику проверки подлинности на основе сертификатов .
  4. На вкладке "Включить" и "Целевой " нажмите кнопку "Включить".

Является ли Microsoft Entra CBA бесплатной функцией?

Microsoft Entra CBA — это бесплатная функция.

Каждый выпуск идентификатора Microsoft Entra включает Microsoft Entra CBA.

Дополнительные сведения о функциях в каждом выпуске Microsoft Entra см. в разделе о ценах на Microsoft Entra.

Поддерживает ли Microsoft Entra CBA альтернативный идентификатор в качестве имени пользователя вместо userPrincipalName?

Нет. В настоящее время вход с помощью значения, отличного от имени участника-пользователя, например альтернативного сообщения электронной почты, не поддерживается.

Можно ли использовать несколько точек распространения CRL для центра сертификации?

Нет, поддерживается только одна точка распространения CRL (CDP) для каждого центра сертификации (ЦС).

Можно ли использовать URL-адрес, отличный от HTTP для CDP?

Нет. CDP поддерживает только URL-адреса HTTP.

Как найти список отзыва сертификатов для ЦС или как устранить ошибку "AADSTS2205015: список отзыва сертификатов (CRL) завершился ошибкой"?

Скачайте список отзыва сертификатов и сравните сертификат ЦС и сведения о списке отзыва сертификатов, чтобы убедиться, что crlDistributionPoint значение является допустимым для ЦС, который требуется добавить. Вы можете настроить список отзыва сертификатов для соответствующего ЦС, сопоставив идентификатор ключа субъекта ЦС (SKI) с идентификатором ключа центра сертификации (AKI) CRL (CA Issuer SKI == CRL AKI).

В следующей таблице и на рисунке показано, как сопоставить сведения из сертификата ЦС с атрибутами скачаемого списка отзыва сертификатов.

Сведения о сертификате ЦС = Скачанные сведения о списке отзыва сертификатов
Тема = Эмитент
Идентификатор ключа субъекта (SKI) = Идентификатор ключа центра (KeyID)

Снимок экрана: сравнение полей сертификата ЦС с сведениями о CRL.

Как проверить конфигурацию ЦС?

Важно убедиться, что конфигурация центра сертификации в хранилище доверия дает возможность Microsoft Entra проверить цепочку доверия центра сертификации. Кроме того, он должен успешно получить список отзыва сертификатов (CRL) из настроенной точки распространения CRL центра сертификации (CDP). Чтобы помочь с этой задачей, рекомендуется установить модуль PowerShell средств MSIdentity и запустить Test-MsIdCBATrustStoreConfiguration. Этот командлет PowerShell просмотрит конфигурацию центра сертификации клиента Microsoft Entra и ошибки или предупреждения для распространенных проблем с неправильной настройкой.

Вступают ли в силу изменения политики методов проверки подлинности немедленно?

Политика кэшируется. После обновления политики может потребоваться до часа, чтобы изменения вступили в силу.

Почему после сбоя отображается параметр CBA?

Политика метода проверки подлинности всегда отображает все доступные методы проверки подлинности для пользователя, чтобы он смог повторить вход с помощью любого метода, который они предпочитают.

Идентификатор Microsoft Entra не скрывает доступные методы на основе успешного или неудачного входа.

Почему цикл CBA после сбоя?

Браузер кэширует сертификат после появления средства выбора сертификатов. Если пользователь повторяет проверку подлинности, кэшированный сертификат автоматически используется. Пользователь должен закрыть браузер, а затем снова открыть новый сеанс, чтобы повторить попытку CBA.

Почему проверка подлинности для регистрации других методов проверки подлинности не отображается в качестве параметра при использовании однофакторных сертификатов?

Пользователь считается способным многофакторной проверки подлинности (MFA), когда пользователь находится в области CBA в политике методов проверки подлинности. Это требование политики означает, что пользователь не может использовать проверку подлинности в рамках проверки подлинности для регистрации других доступных методов.

Как использовать однофакторные сертификаты для выполнения MFA?

Мы поддерживаем однофакторную CBA для получения MFA. Единый фактор CBA с входом без пароля и единым фактором CBA с FIDO2 — это два поддерживаемых сочетания для получения MFA с помощью однофакторных сертификатов.

Дополнительные сведения см. в разделе MFA с однофакторными сертификатами.

Обновление certificateUserIds завершается ошибкой, так как это существующее значение. Как администратор может запрашивать все объекты пользователя с одинаковым значением?

Администраторы клиента могут выполнять запросы Microsoft Graph, чтобы найти всех пользователей, имеющих определенное certificateUserIds значение. Дополнительные сведения см. в разделеcertificateUserIds "Запросы Graph".

Например, эта команда возвращает все пользовательские объекты, имеющие значениеbob@contoso.com:certificateUserIds

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

Можно ли использовать Microsoft Entra CBA в Microsoft Surface Hub?

Да. CBA работает вне коробки для большинства сочетаний смарт-карт и средства чтения смарт-карт. Если для сочетания смарт-карт и средства чтения смарт-карт требуются другие драйверы, необходимо установить драйверы, прежде чем использовать сочетание смарт-карт и средства чтения смарт-карт в Surface Hub.

Если ваш вопрос не ответит здесь, ознакомьтесь со следующими связанными статьями: