Este artigo aborda perguntas frequentes sobre como funciona a autenticação baseada em certificado (CBA) do Microsoft Entra. Verifique novamente se há conteúdo atualizado.
Por que não vejo uma opção para entrar no Microsoft Entra ID usando certificados depois de inserir meu nome de usuário?
Um administrador deve ativar o CBA para que o locatário torne a opção de entrar usando um certificado disponível para os usuários. Para obter mais informações, consulte Etapa 3: Configurar a política de associação de autenticação.
Onde posso obter mais informações de diagnóstico depois que um login de usuário falhar?
Na página de erro, selecione Mais detalhes para obter mais informações para ajudar o administrador do locatário. O administrador do locatário pode verificar os logs de entrada para investigar o erro. Por exemplo, se um certificado de usuário for revogado e estiver na lista de revogação de certificação (CRL), a autenticação falhará conforme pretendido.
Como ativamos o Microsoft Entra CBA?
- Entre no centro de administração do Microsoft Entra com pelo menos a função de Administrador de Política de Autenticação atribuída.
- Vá para Políticas de> de autenticação do >.
- Selecione a política de autenticação baseada em certificado .
- Na guia Habilitar e Destino , selecione Habilitar.
O Microsoft Entra CBA é um recurso gratuito?
Microsoft Entra CBA é um recurso gratuito.
Todas as edições do Microsoft Entra ID incluem o Microsoft Entra CBA.
Para obter mais informações sobre os recursos em cada edição do Microsoft Entra, consulte de preços do Microsoft Entra .
O Microsoft Entra CBA suporta uma ID alternativa como nome de usuário em vez de userPrincipalName?
Não. Atualmente, não há suporte para login usando um valor não UPN, como um email alternativo.
Posso ter mais de um ponto de distribuição de CRL para uma autoridade de certificação?
Não, apenas um ponto de distribuição de CRL (CDP) é suportado por autoridade de certificação (CA).
Posso usar um URL não HTTP para uma CDP?
Não. A CDP suporta apenas URLs HTTP.
Como posso encontrar a CRL de uma AC ou como resolvo o erro "AADSTS2205015: A lista de certificados revogados (CRL) falhou na validação da assinatura"?
Baixe a CRL e compare o certificado da autoridade de certificação e as informações da CRL para validar se o crlDistributionPoint valor é válido para a autoridade de certificação que você deseja adicionar. Você pode configurar a CRL para a autoridade de certificação correspondente fazendo a correspondência entre o identificador de chave de assunto (SKI) do emissor da autoridade de certificação e o identificador de chave de autoridade (AKI) da CRL (CA Issuer SKI == CRL AKI).
A tabela e a figura a seguir mostram como mapear informações do certificado da autoridade de certificação para os atributos da CRL baixada.
| Informações do certificado da autoridade de certificação | = | Informações da CRL baixadas |
|---|---|---|
| Assunto | = | Emissor |
| Identificador de chave de assunto (SKI) | = | Identificador de chave de autoridade (KeyID) |
Como faço para validar a configuração da autoridade de certificação?
É importante garantir que a configuração da Autoridade de Certificação no repositório de confiança resulte na capacidade do Microsoft Entra de validar a cadeia de confiança da autoridade de certificação. Além disso, ele deve adquirir com êxito a lista de revogação de certificados (CRL) do CDP (ponto de distribuição de CRL) da autoridade de certificação configurado. Para ajudar com essa tarefa, é recomendável instalar o módulo PowerShell MSIdentity Tools e executar Test-MsIdCBATrustStoreConfiguration. Este cmdlet do PowerShell analisará a configuração da autoridade de certificação do locatário do Microsoft Entra e os erros/avisos de superfície para problemas comuns de configuração incorreta.
As alterações na política de métodos de autenticação entram em vigor imediatamente?
A política é armazenada em cache. Após uma atualização de política, pode levar até uma hora para que as alterações entrem em vigor.
Por que motivo vejo a opção ACB depois de esta falhar?
A política de método de autenticação sempre mostra todos os métodos de autenticação disponíveis para o usuário para que ele possa tentar entrar novamente usando qualquer método de sua preferência.
O Microsoft Entra ID não oculta os métodos disponíveis com base no sucesso ou falha de uma entrada.
Por que o CBA faz loop depois que ele falha?
O navegador armazena o certificado em cache depois que o seletor de certificados aparece. Se o usuário tentar novamente a autenticação, o certificado armazenado em cache será usado automaticamente. O usuário deve fechar o navegador e, em seguida, reabrir uma nova sessão para tentar CBA novamente.
Por que a prova de identidade para registrar outros métodos de autenticação não aparece como uma opção quando uso certificados de fator único?
Um usuário é considerado capaz de autenticação multifator (MFA) quando o usuário está no escopo para CBA na política de métodos de autenticação. Esse requisito de política significa que um usuário não pode usar a prova de identidade como parte de sua autenticação para registrar outros métodos disponíveis.
Como posso usar certificados de fator único para concluir o MFA?
Apoiamos a ACB de fator único para obter a AMF. CBA de fator único com login por telefone sem senha e CBA de fator único com FIDO2 são as duas combinações suportadas para obter MFA usando certificados de fator único.
Para obter mais informações, consulte MFA com certificados de fator único.
A atualização certificateUserIds falha porque é um valor existente. Como um administrador pode consultar todos os objetos de usuário que têm o mesmo valor?
Os administradores de locatários podem executar consultas do Microsoft Graph para localizar todos os usuários que têm um valor específico certificateUserIds . Para obter mais informações, consulte certificateUserIds Consultas do gráfico.
Por exemplo, este comando retorna todos os objetos de usuário que têm o valor bob@contoso.com em certificateUserIds:
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
O Microsoft Entra CBA pode ser usado no Microsoft Surface Hub?
Sim. O CBA funciona pronto para a maioria das combinações de cartão inteligente e leitor de cartão inteligente. Se a combinação de cartão inteligente e leitor de cartão inteligente requer outros drivers, você deve instalar os drivers antes de poder usar a combinação de cartão inteligente e leitor de cartão inteligente no Surface Hub.
Conteúdo relacionado
Se a sua pergunta não for respondida aqui, consulte os seguintes artigos relacionados:
- Visão geral do Microsoft Entra CBA
- Conceitos técnicos do Microsoft Entra CBA
- Microsoft Entra CBA em dispositivos iOS
- Microsoft Entra CBA em dispositivos Android
- Configurar o Microsoft Entra CBA
- Entrada de cartão inteligente do Windows usando o Microsoft Entra CBA
- IDs de usuário do certificado
- Migrar usuários federados