Condividi tramite


Limitazioni con l'autenticazione basata su certificati Microsoft Entra

Questo argomento illustra gli scenari supportati e non supportati per l'autenticazione basata su certificati Microsoft Entra.

Scenari supportati

Sono supportati gli scenari che seguono:

  • Accessi utente alle applicazioni basate su Web browser in tutte le piattaforme.
  • Accessi utente alle app office per dispositivi mobili, tra cui Outlook, OneDrive e così via.
  • Accessi utente nei browser nativi per dispositivi mobili.
  • Supporto per regole di autenticazione granulari per l'autenticazione a più fattori usando l'oggetto dell'autorità di certificazione e gli ID dei criteri.
  • Configurazione delle associazioni di account da certificato a utente usando uno dei campi del certificato:
    • Nome alternativo soggetto (SAN) PrincipalName e SAN RFC822Name
    • Identificatore chiave soggetto (SKI) e SHA1PublicKey
  • Configurazione delle associazioni di account da certificato a utente tramite uno degli attributi dell'oggetto utente:
    • Nome entità utente
    • onPremisesUserPrincipalName
    • CertificateUserIds

Scenari non supportati

Gli scenari seguenti non sono supportati:

  • Infrastruttura a chiave pubblica per la creazione di certificati client. I clienti devono configurare la propria infrastruttura a chiave pubblica (PKI) e effettuare il provisioning dei certificati ai propri utenti e dispositivi.
  • Gli hint dell'autorità di certificazione non sono supportati, quindi l'elenco dei certificati visualizzati per gli utenti nell'interfaccia utente non ha ambito.
  • È supportato un solo punto di distribuzione CRL (CDP) per una CA attendibile.
  • Cdp può essere solo URL HTTP. Gli URL LDAP (Lightweight Directory Access Protocol) non sono supportati da Online Certificate Status Protocol (OCSP).
  • La configurazione di altre associazioni di account da certificato a utente, ad esempio l'uso dell'oggetto + autorità di certificazione o emittente + numero di serie, non sono disponibili in questa versione.
  • Attualmente, la password non può essere disabilitata quando CBA è abilitata e viene visualizzata l'opzione per accedere usando una password.

Sistemi operativi supportati

Sistema operativo Certificato sul dispositivo/PIV derivato Smart card
Windows
macOS
iOS Solo fornitori supportati
Android Solo fornitori supportati

Browser supportati

Sistema operativo Certificato Chrome nel dispositivo Smart card Chrome Certificato Safari nel dispositivo Smart card Safari Certificato Edge nel dispositivo Smart card Edge
Windows
macOS
iOS Solo fornitori supportati
Android N/A N/A

Nota

In dispositivi mobili iOS e Android gli utenti del browser Edge possono accedere a Edge per configurare un profilo usando Microsoft Authentication Library (MSAL), come il flusso Aggiungi account. Quando è stato eseguito l'accesso a Edge con un profilo, L'autorità di certificazione è supportata con i certificati sul dispositivo e le smart card.

Provider di smart card

Provider Windows Mac OS iOS Android
YubiKey

Passaggi successivi