Limites de l'authentification basée sur un certificat Microsoft Entra
Cette rubrique présente les scénarios pris en charge et non pris en charge pour l'authentification basée sur un certificat Microsoft Entra.
Scénarios pris en charge
Les scénarios suivants sont pris en charge :
- L’utilisateur se connecte à des applications s’appuyant sur un navigateur web sur toutes les plateformes.
- Connexions utilisateur aux applications mobiles Office, notamment Outlook, OneDrive, et ainsi de suite.
- Connexions utilisateur sur les navigateurs natifs mobiles.
- Prise en charge des règles d’authentification granulaires pour l’authentification multifacteur à l’aide des OID de stratégie et d’objet de l’émetteur de certificat.
- Configuration des liaisons de compte d’utilisateur à certificat à l’aide de l’un des champs de certificat :
- Autre nom d’objet (SAN) PrincipalName et SAN RFC822Name
- Identificateur de clé d’objet (SKI) et SHA1PublicKey
- Configuration des liaisons de compte d’utilisateur à certificat à l’aide de l’un des attributs d’objet utilisateur :
- Nom d’utilisateur principal
- onPremisesUserPrincipalName
- CertificateUserIds
Scénarios non pris en charge
Les scénarios suivants ne sont pas pris en charge :
- Infrastructure à clé publique pour créer des certificats clients. Les clients doivent configurer leur propre infrastructure à clé publique (PKI) et provisionner des certificats pour leurs utilisateurs et leurs appareils.
- Les indicateurs de l’autorité de certification ne sont pas pris en charge, donc la liste des certificats qui s’affiche pour les utilisateurs dans l’interface utilisateur n’est pas dans l’étendue.
- Un seul point de distribution de liste de révocation de certificats (CDP) pour une autorité de certification approuvée est pris en charge.
- Le CDP peut être uniquement des URL HTTP. Nous ne prenons pas en charge le protocole OCSP (Online Certificate Status Protocol) ou les URL LDAP (Lightweight Directory Access Protocol).
- La configuration d’autres liaisons de compte de certificat à utilisateur, telles que l’utilisation du sujet + émetteur ou émetteur + numéro de série, n’est pas disponible dans cette version.
- Actuellement, le mot de passe ne peut pas être désactivé quand l’authentification basée sur les certificats est activée et que l’option de connexion à l’aide d’un mot de passe s’affiche.
Systèmes d’exploitation pris en charge
| Système d’exploitation | Certificat sur l’appareil/PIV dérivé | Cartes à puce |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Fournisseurs pris en charge uniquement |
| Android | ✅ | Fournisseurs pris en charge uniquement |
Navigateurs pris en charge
| Système d’exploitation | Certificat Chrome sur un appareil | Carte à puce Chrome | Certificat Safari sur un appareil | Carte à puce Safari | Certificat Edge sur un appareil | Carte à puce Edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Fournisseurs pris en charge uniquement | ❌ | ❌ |
| Android | ✅ | ❌ | N/A | N/A | ❌ | ❌ |
Notes
Sur iOS et Android mobile, les utilisateurs du navigateur Edge peuvent se connecter à Edge pour configurer un profil à l’aide de la bibliothèque d’authentification Microsoft (MSAL), comme le flux Ajouter un compte. Lorsque vous êtes connecté à Edge avec un profil, l’autorité de certification est prise en charge avec des certificats sur appareil et des cartes à puce.
Fournisseur de cartes à puce
| Fournisseur | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Étapes suivantes
- Vue d’ensemble de l’authentification basée sur certificat Microsoft Entra
- Immersion technique dans l’authentification basée sur les certificats Microsoft Entra
- Comment configurer Microsoft Entra CBA
- Connexion par carte à puce Windows à l'aide de Microsoft Entra CBA
- Authentification basée sur certificat Microsoft Entra sur les appareils mobiles (Android et iOS)
- CertificateUserIDs
- Comment migrer des utilisateurs fédérés
- FORUM AUX QUESTIONS