Omezení ověřování založeného na certifikátech Microsoft Entra
Tento článek se zabývá podporovanými a nepodporovanými scénáři ověřování na základě certifikátů Microsoft Entra.
Podporované scénáře
Podporují se následující scénáře:
- Přihlášení uživatelů k aplikacím založeným na webovém prohlížeči na všech platformách
- Přihlášení uživatelů k mobilním aplikacím Office, včetně Outlooku, OneDrivu atd.
- Přihlášení uživatelů v mobilních nativních prohlížečích
- Podpora podrobných ověřovacích pravidel pro vícefaktorové ověřování pomocí vystavitele certifikátu subjektu a identifikátorů OID zásad .
- Konfigurace přiřazení certifikátů k uživatelským účtům pomocí libovolného pole certifikátu:
- Alternativní název subjektu (SAN) PrincipalName a SAN RFC822Name
- Identifikátor klíče subjektu (SKI) a SHA1PublicKey
- Konfigurace vazeb účtu typu certificate-to-user pomocí libovolného atributu objektu uživatele:
- Hlavní název uživatele
- onPremisesUserPrincipalName
- IdentifikátoryUživatelůCertifikátu
Nepodporované scénáře
Následující scénáře se nepodporují:
- Infrastruktura veřejných klíčů pro vytváření klientských certifikátů Zákazníci musí nakonfigurovat vlastní infrastrukturu veřejných klíčů (PKI) a zřizovat certifikáty pro své uživatele a zařízení.
- Nápovědy certifikační autority nejsou podporované, takže seznam certifikátů, které se zobrazí pro uživatele v uživatelském rozhraní, není vymezený.
- Podporuje se pouze jeden distribuční bod CRL (CDP) pro důvěryhodnou certifikační autoritu.
- CDP mohou být pouze adresy URL HTTP. Nepodporujeme adresy URL protokolu OCSP (Online Certificate Status Protocol) ani adresy URL protokolu LDAP (Lightweight Directory Access Protocol).
- Konfigurace dalších vazeb mezi certifikátem a uživatelským účtem, jako je použití subjektu + vystavitele nebo Vystavitel + Sériové číslo, nejsou v této verzi dostupné.
- V současné době není možné zakázat heslo, pokud je povolené CBA a zobrazí se možnost přihlášení pomocí hesla.
Podporované operační systémy
| Operační systém | Certifikát pro zařízení/odvozený PIV | Čipové karty |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| Ios | ✅ | Pouze podporovaní dodavatelé |
| Android | ✅ | Pouze podporovaní dodavatelé |
Podporované prohlížeče
| Operační systém | Certifikát Chrome na zařízení | Čipová karta Chrome | Certifikát Safari na zařízení | Čipová karta Safari | Certifikát Microsoft Edge na zařízení | Čipová karta Microsoft Edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Ios | ❌ | ❌ | ✅ | Pouze podporovaní dodavatelé | ❌ | ❌ |
| Android | ✅ | ❌ | Není k dispozici | Není k dispozici | ❌ | ❌ |
Poznámka
Na mobilních zařízeních s iOSem a Androidem se uživatelé prohlížeče Microsoft Edge můžou přihlásit do Microsoft Edge a nastavit profil pomocí knihovny Microsoft Authentication Library (MSAL), jako je přidání účtu. Při přihlášení do Microsoft Edge pomocí profilu je CBA podporováno s certifikáty umístěnými na zařízení a čipovými kartami.
Poskytovatelé čipových karet
| Poskytovatel | Windows | macOS | Ios | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Další kroky
- Přehled Microsoft Entra CBA
- podrobné informace o technickém microsoft Entra CBA
- Jak nakonfigurovat Microsoft Entra CBA
- Přihlášení pomocí čipové karty ve Windows pomocí Microsoft Entra CBA
- Microsoft Entra CBA na mobilních zařízeních (Android a iOS)
- CertifikátUživatelskáID
- Postup migrace federovaných uživatelů
- nejčastější dotazy