Cet article répond aux questions fréquemment posées sur le fonctionnement de l’authentification Microsoft Entra basée sur les certificats. Vérifiez le contenu mis à jour.
Pourquoi je ne vois pas d’option de connexion à Microsoft Entra ID quand j’utilise des certificats après avoir entré mon nom d’utilisateur ?
Un administrateur doit activer l’autorité de certification du locataire pour rendre l’option de connexion à l’aide d’un certificat disponible pour les utilisateurs. Pour plus d’informations, consultez l’étape 3 : Configurer la stratégie de liaison d’authentification.
Où puis-je obtenir plus d’informations de diagnostic après l’échec de la connexion d’un utilisateur ?
Dans la page d’erreur, sélectionnez Plus de détails pour plus d’informations pour aider votre administrateur client. L’administrateur du locataire peut vérifier les journaux de connexion pour examiner l’erreur. Par exemple, si un certificat utilisateur est révoqué et se trouve dans la liste de révocation de certificats (CRL), l’authentification échoue comme prévu.
Comment activer Microsoft Entra CBA ?
- Connectez-vous au Centre d’administration Microsoft Entra avec au moins le rôle Administrateur de stratégie d’authentification attribué.
- Accédez aux stratégies des>>.
- Sélectionnez la stratégie d’authentification basée sur le certificat .
- Sous l’onglet Activer et Cible , sélectionnez Activer.
La fonctionnalité d’authentification Microsoft Entra basée sur les certificats est-elle gratuite ?
Microsoft Entra CBA est une fonctionnalité gratuite.
Chaque édition de Microsoft Entra ID inclut Microsoft Entra CBA.
Pour plus d’informations sur les fonctionnalités de chaque édition Microsoft Entra, consultez la tarification de Microsoft Entra.
Microsoft Entra CBA prend-il en charge un autre ID comme nom d’utilisateur au lieu de userPrincipalName ?
Non. Actuellement, la connexion à l’aide d’une valeur non UPN, telle qu’un autre e-mail, n’est pas prise en charge.
Puis-je avoir plusieurs points de distribution de liste de révocation de certificats pour une autorité de certification ?
Non, un seul point de distribution de liste de révocation de certificats (CDP) est pris en charge par autorité de certification.
Puis-je utiliser une URL non HTTP pour un CDP ?
Non. CDP prend uniquement en charge les URL HTTP.
Comment trouver la liste de révocation de certificats pour une autorité de certification ou comment résoudre l’erreur « AADSTS2205015 : La liste de révocation de certificats (CRL) a échoué » ?
Téléchargez la liste de révocation de certificats et comparez le certificat d’autorité de certification et les informations de liste de révocation de certificats pour vérifier que la crlDistributionPoint valeur est valide pour l’autorité de certification que vous souhaitez ajouter. Vous pouvez configurer la liste de révocation de certificats sur l’autorité de certification correspondante en correspondant à l’identificateur de clé d’objet de l’autorité de certification (SKI) à l’identificateur de clé d’autorité (AKI) de la liste de révocation de certificats (CA Issuer SKI == CRL AKI).
Le tableau suivant et la figure montrent comment mapper des informations du certificat d’autorité de certification aux attributs de la liste de révocation de certificats téléchargée.
| Informations sur le certificat d’autorité de certification | = | Informations sur la liste de révocation de certificats téléchargées |
|---|---|---|
| Sujet | = | Émetteur |
| Identificateur de clé d’objet (SKI) | = | Identificateur de la clé de l’autorité (KeyID) |
Comment valider la configuration de l’autorité de certification ?
Il est important de s’assurer que la configuration de l’autorité de certification dans le magasin d’approbations entraîne la capacité de Microsoft Entra à valider la chaîne d’approbation de l’autorité de certification. En outre, il doit acquérir avec succès la liste de révocation de certificats (CRL) à partir du point de distribution de la liste de révocation de certificats configuré (CDP). Pour faciliter cette tâche, il est recommandé d’installer le module PowerShell des outils MSIdentity et d’exécuter Test-MsIdCBATrustStoreConfiguration. Cette applet de commande PowerShell passe en revue la configuration de l’autorité de certification du locataire Microsoft Entra et affiche les erreurs/avertissements pour les problèmes courants de configuration incorrecte.
Les modifications apportées à la stratégie des méthodes d’authentification prennent-elles effet immédiatement ?
La stratégie est mise en cache. Après une mise à jour de la stratégie, l’application des changements peut prendre jusqu’à une heure.
Pourquoi l’option CBA s’affiche-t-elle une fois qu’elle a échoué ?
La stratégie de méthode d’authentification affiche toujours toutes les méthodes d’authentification disponibles pour l’utilisateur afin qu’il puisse réessayer de se connecter à l’aide de n’importe quelle méthode qu’elle préfère.
L’ID Microsoft Entra ne masque pas les méthodes disponibles en fonction de la réussite ou de l’échec d’une connexion.
Pourquoi l’administrateur de base de données effectue-t-il une boucle après l’échec ?
Le navigateur met en cache le certificat après l’affichage du sélecteur de certificat. Si l’utilisateur retente l’authentification, le certificat mis en cache est automatiquement utilisé. L’utilisateur doit fermer le navigateur, puis rouvrir une nouvelle session pour réessayer.
Pourquoi la preuve d’identité n’apparaît-elle pas pour inscrire d’autres méthodes d’authentification en tant qu’option lorsque j’utilise des certificats à facteur unique ?
Un utilisateur est considéré comme capable d’authentification multifacteur (MFA) lorsque l’utilisateur est dans l’étendue de l’administrateur de base de données dans la stratégie de méthodes d’authentification. Cette exigence de stratégie signifie qu’un utilisateur ne peut pas utiliser la preuve d’identité dans le cadre de son authentification pour inscrire d’autres méthodes disponibles.
Comment utiliser des certificats à facteur unique pour procéder à l’authentification multifacteur ?
Nous prenons en charge l’authentification multifacteur pour obtenir l’authentification multifacteur. L’authentification par téléphone sans mot de passe et l’authentification unique CBA avec FIDO2 sont les deux combinaisons prises en charge pour obtenir l’authentification multifacteur à l’aide de certificats à facteur unique.
Pour plus d’informations, consultez MFA avec des certificats à facteur unique.
La mise à jour certificateUserIds échoue, car il s’agit d’une valeur existante. Comment un administrateur peut-il interroger tous les objets utilisateur qui ont la même valeur ?
Les administrateurs de locataires peuvent exécuter des requêtes Microsoft Graph pour rechercher tous les utilisateurs qui ont une valeur spécifique certificateUserIds . Pour plus d’informations, consultez certificateUserIds requêtes Graph.
Par exemple, cette commande retourne tous les objets utilisateur qui ont la valeur bob@contoso.com dans certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Microsoft Entra CBA peut-il être utilisé sur Microsoft Surface Hub ?
Oui. CBA fonctionne prête à l’emploi pour la plupart des combinaisons de cartes à puce et de lecteur de carte à puce. Si la carte à puce combinée et le lecteur de carte à puce nécessitent d’autres pilotes, vous devez installer les pilotes avant de pouvoir utiliser la carte à puce combinée et le lecteur de carte à puce sur Surface Hub.
Contenu connexe
Si votre question n’est pas répondue ici, consultez les articles connexes suivants :
- Vue d’ensemble de Microsoft Entra CBA
- Concepts techniques microsoft Entra CBA
- Microsoft Entra CBA sur les appareils iOS
- Microsoft Entra CBA sur les appareils Android
- Configurer Microsoft Entra CBA
- Connexion à la carte à puce Windows à l’aide de Microsoft Entra CBA
- ID d’utilisateur de certificat
- Migrer des utilisateurs fédérés