Este artigo aborda as perguntas frequentes sobre como a CBA (autenticação baseada em certificado) do Microsoft Entra funciona. Verifique se há conteúdo atualizado.
Por que não vejo uma opção para entrar no Microsoft Entra ID usando certificados após inserir meu nome de usuário?
Um administrador deve ativar a CBA para que o locatário faça a opção de entrar usando um certificado disponível para os usuários. Para obter mais informações, consulte a Etapa 3: Configurar a política de associação de autenticação.
Onde posso obter mais informações de diagnóstico depois que uma entrada do usuário falhar?
Na página de erros, selecione Mais Detalhes para obter mais informações para ajudar o administrador do locatário. O administrador do locatário pode verificar os logs de entrada para investigar o erro. Por exemplo, se um certificado de usuário for revogado e estiver na CRL (lista de revogação de certificação), a autenticação falhará conforme o esperado.
Como ativar o Microsoft Entra CBA?
- Entre no Centro de administração do Microsoft Entra com pelo menos a função Administrador de Política de Autenticação atribuída.
- Vá parapolíticas de métodos> deAutenticaçãode > do Entra.
- Selecione a política de autenticação baseada em certificado .
- Na guia Habilitar e Destino , selecione Habilitar.
O CBA do Microsoft Entra é um recurso gratuito?
O Microsoft Entra CBA é um recurso gratuito.
Toda edição do Microsoft Entra ID inclui a CBA do Microsoft Entra.
Para obter mais informações sobre recursos em cada edição do Microsoft Entra, consulte os preços do Microsoft Entra.
O Microsoft Entra CBA dá suporte a uma ID alternativa como o nome de usuário em vez de userPrincipalName?
Não. Atualmente, não há suporte para entrar usando um valor não UPN, como um email alternativo.
Posso ter mais de um ponto de distribuição de CRL para uma autoridade de certificação?
Não, apenas um CDP (ponto de distribuição de CRL) tem suporte por AC (autoridade de certificação).
Posso usar uma URL não HTTP para uma CDP?
Não. A CDP dá suporte apenas a URLs HTTP.
Como fazer para localizar a CRL de uma AC ou como solucionar o erro "AADSTS2205015: a validação de assinatura com falha na CRL (Lista de Revogação de Certificados)"?
Baixe a CRL e compare o certificado de AC e as informações de CRL para validar se o crlDistributionPoint valor é válido para a AC que você deseja adicionar. Você pode configurar a CRL para a AC correspondente, correspondendo o SKI (identificador de chave de entidade do emissor) da AC ao identificador de chave de autoridade (AKI) da CRL (CA Issuer SKI == CRL AKI).
A tabela e a figura a seguir mostram como mapear informações do certificado de AC para os atributos da CRL baixada.
| Informações do certificado de autoridade de certificação | = | Informações de CRL baixadas |
|---|---|---|
| Assunto | = | Emissor |
| Ski (Identificador de Chave de Assunto) | = | Identificador de Chave de Autoridade (KeyID) |
Como fazer para validar a configuração da AC?
É importante garantir que a configuração da Autoridade de Certificação no repositório de confiança resulte na capacidade do Microsoft Entra de validar a cadeia de confiança da autoridade de certificação. Além disso, ele deve adquirir com êxito a CRL (lista de certificados revogados) do CDP (ponto de distribuição de CRL) da autoridade de certificação configurada. Para ajudar nessa tarefa, é recomendável instalar o módulo do PowerShell das Ferramentas msidentity e executar Test-MsIdCBATrustStoreConfiguration. Este cmdlet do PowerShell examinará a configuração da autoridade de certificação de locatário do Microsoft Entra e os erros/avisos de superfície para problemas comuns de configuração incorreta.
As alterações na política de métodos de autenticação entrarão em vigor imediatamente?
A política é armazenada em cache. Após a atualização de uma política, pode levar até uma hora para que as alterações entrem em vigor.
Por que vejo a opção CBA depois que ela falha?
A política de método de autenticação sempre mostra todos os métodos de autenticação disponíveis para o usuário para que ele possa tentar novamente a entrada usando qualquer método que preferir.
A ID do Microsoft Entra não oculta os métodos disponíveis com base no sucesso ou falha de uma entrada.
Por que a CBA faz loop depois que falha?
O navegador armazenará em cache o certificado depois que o seletor de certificados for exibido. Se o usuário tentar novamente a autenticação, o certificado armazenado em cache será usado automaticamente. O usuário deve fechar o navegador e reabrir uma nova sessão para tentar a CBA novamente.
Por que a prova de identidade para registrar outros métodos de autenticação não aparece como uma opção quando uso certificados de fator único?
Um usuário é considerado capaz de autenticação multifator (MFA) quando o usuário está no escopo da CBA na política de métodos de autenticação. Esse requisito de política significa que um usuário não pode usar a prova de identidade como parte de sua autenticação para registrar outros métodos disponíveis.
Como posso usar certificados de fator único para concluir a MFA?
Damos suporte à CBA de fator único para obter a MFA. O fator único da CBA com entrada por telefone sem senha e o fator único da CBA com FIDO2 são as duas combinações compatíveis para obter a MFA usando certificados de fator único.
Para obter mais informações, consulte MFA com certificados de fator único.
A atualização certificateUserIds falha porque é um valor existente. Como um administrador pode consultar todos os objetos de usuário que têm o mesmo valor?
Os administradores de locatários podem executar consultas do Microsoft Graph para localizar todos os usuários que têm um valor específico certificateUserIds . Para obter mais informações, consulte consultas do certificateUserIds Graph.
Por exemplo, este comando retorna todos os objetos de usuário que têm o valor bob@contoso.com em certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
O Microsoft Entra CBA pode ser usado no Microsoft Surface Hub?
Sim. A CBA trabalha pronta para a maioria das combinações de cartão inteligente e leitor de cartão inteligente. Se a combinação de cartão inteligente e leitor de cartão inteligente exigir outros drivers, você deverá instalar os drivers antes de poder usar a combinação de cartão inteligente e leitor de cartão inteligente no Surface Hub.
Conteúdo relacionado
Se sua pergunta não for respondida aqui, consulte os seguintes artigos relacionados:
- Visão geral do Microsoft Entra CBA
- Conceitos técnicos do Microsoft Entra CBA
- Microsoft Entra CBA em dispositivos iOS
- Microsoft Entra CBA em dispositivos Android
- Configurar o Microsoft Entra CBA
- Entrada de cartão inteligente do Windows usando o Microsoft Entra CBA
- IDs de usuário de certificado
- Migrar usuários federados