Omezení ověřování založeného na certifikátech Microsoft Entra
Toto téma se zabývá podporovanými a nepodporovanými scénáři ověřování na základě certifikátů Microsoft Entra.
Podporované scénáře
Podporovány jsou následující scénáře:
- Přihlášení uživatelů k aplikacím založeným na webovém prohlížeči na všech platformách
- Přihlášení uživatelů k mobilním aplikacím Office, včetně Outlooku, OneDrivu atd.
- Přihlášení uživatelů v mobilních nativních prohlížečích
- Podpora podrobných pravidel ověřování pro vícefaktorové ověřování pomocí identifikátorů OID vystavitele certifikátu a identifikátorů OID zásad
- Konfigurace vazeb účtů mezi certifikáty pomocí libovolného pole certifikátu:
- Alternativní název subjektu (SAN) PrincipalName a SAN RFC822Name
- Identifikátor klíče předmětu (SKI) a SHA1PublicKey
- Konfigurace vazeb účtu typu certificate-to-user pomocí libovolného atributu objektu uživatele:
- Hlavní název uživatele (UPN)
- onPremisesUserPrincipalName
- CertificateUserIds
Nepodporované scénáře
Následující scénáře se nepodporují:
- Infrastruktura veřejných klíčů pro vytváření klientských certifikátů Zákazníci musí nakonfigurovat vlastní infrastrukturu veřejných klíčů (PKI) a zřizovat certifikáty pro své uživatele a zařízení.
- Nápovědy certifikační autority nejsou podporované, takže seznam certifikátů, které se zobrazí pro uživatele v uživatelském rozhraní, není vymezený.
- Podporuje se pouze jeden distribuční bod seznamu CRL (CDP) pro důvěryhodnou certifikační autoritu.
- CdP může být pouze adresy URL HTTP. Nepodporujeme adresy URL protokolu OCSP (Online Certificate Status Protocol) ani adresy URL protokolu LDAP (Lightweight Directory Access Protocol).
- V této verzi nejsou v této verzi k dispozici konfigurace jiných vazeb účtu typu certificate-to-user, například použití subjektu + vystavitele nebo vystavitele + sériové číslo.
- V současné době není možné zakázat heslo, pokud je povolené CBA a zobrazí se možnost přihlášení pomocí hesla.
Podporované operační systémy
| Operační systém | Certifikát na zařízení nebo odvozený PIV | Čipové karty |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Pouze podporovaní dodavatelé |
| Android | ✅ | Pouze podporovaní dodavatelé |
Podporované prohlížeče
| Operační systém | Certifikát Chrome na zařízení | Čipová karta Chrome | Certifikát Safari na zařízení | Čipová karta Safari | Hraniční certifikát na zařízení | Čipová karta Edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Pouze podporovaní dodavatelé | ❌ | ❌ |
| Android | ✅ | ❌ | – | – | ❌ | ❌ |
Poznámka:
Na mobilních zařízeních s iOSem a Androidem se uživatelé prohlížeče Edge můžou přihlásit k Edgi a nastavit profil pomocí knihovny Microsoft Authentication Library (MSAL), jako je přidání toku účtu. Při přihlášení k Edgi s profilem se CBA podporuje s certifikáty na zařízení a čipovými kartami.
Poskytovatelé čipových karet
| Poskytovatel | Okna | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Další kroky
- Přehled jazyka Microsoft Entra CBA
- Podrobné technické informace pro Microsoft Entra CBA
- Jak nakonfigurovat Jazyk CBA microsoftu Entra
- Přihlášení pomocí čipové karty Windows pomocí jazyka Microsoft Entra CBA
- Microsoft Entra CBA na mobilních zařízeních (Android a iOS)
- Identifikátory CertificateUserID
- Migrace federovaných uživatelů
- Nejčastější dotazy