Microsoft Entra 인증서 기반 인증의 제한 사항
이 토픽에서는 Microsoft Entra 인증서 기반 인증에 대해 지원되는 시나리오와 지원되지 않는 시나리오를 다룹니다.
지원되는 시나리오
다음과 같은 시나리오가 지원됩니다.
- 모든 플랫폼에서 웹 브라우저 기반 애플리케이션에 대한 사용자 로그인.
- Outlook, OneDrive 등을 비롯한 Office 모바일 앱에 대한 사용자 로그인
- 모바일 기본 브라우저에서의 사용자 로그인.
- 인증서 발급자 Subject 및 policy OID를 사용하여 다단계 인증에 대한 세세한 인증 규칙을 지원합니다.
- 인증서 필드를 사용하여 인증서-사용자 계정 바인딩 구성:
- SAN(주체 대체 이름) PrincipalName 및 SAN RFC822Name
- SKI(주체 키 식별자) 및 SHA1PublicKey
- 사용자 개체 특성을 사용하여 인증서-사용자 계정 바인딩 구성:
- 사용자 계정 이름
- onPremisesUserPrincipalName
- CertificateUserIds
지원되지 않는 시나리오
다음 시나리오는 지원되지 않습니다.
- 클라이언트 인증서 만들기를 위한 공개 키 인프라. 자체 PKI(공개 키 인프라)를 구성하고 사용자 및 디바이스에 인증서를 프로비저닝해야 하는 고객.
- 인증 기관 힌트가 지원되지 않으므로 UI에서 사용자에게 표시되는 인증서 목록의 범위가 지정되지 않음.
- 신뢰할 수 있는 CA에 대해 하나의 CDP(CRL Distribution Point)만 지원됩니다.
- CDP는 HTTP URL만 될 수 있습니다. OCSP(온라인 인증서 상태 프로토콜) 또는 LDAP(Lightweight Directory Access Protocol) URL은 지원하지 않습니다.
- 주체 + 발급자 또는 발급자 + 일련 번호 사용 등의 다른 인증서-사용자 계정 바인딩 구성은 이 릴리스에서 사용할 수 없습니다.
- 현재 CBA가 사용하도록 설정되고 암호를 사용하여 로그인하는 옵션이 표시되면 암호를 사용하지 않도록 설정할 수 없음.
지원되는 운영 체제
| 운영 체제 | 디바이스의 인증서/파생 PIV | 스마트 카드 |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | 지원되는 공급업체만 |
| Android | ✅ | 지원되는 공급업체만 |
지원되는 브라우저
| 운영 체제 | 디바이스의 Chrome 인증서 | Chrome 스마트 카드 | 디바이스의 Safari 인증서 | Safari 스마트 카드 | 디바이스의 Edge 인증서 | Edge 스마트 카드 |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | 지원되는 공급업체만 | ❌ | ❌ |
| Android | ✅ | ❌ | 해당 없음 | 사용 불가 | ❌ | ❌ |
참고 항목
iOS 및 Android 모바일에서 Edge 브라우저 사용자는 Edge에 로그인한 후 계정 흐름 추가와 같은 MSAL(Microsoft 인증 라이브러리)을 사용하여 프로필을 설정할 수 있습니다. 프로필을 사용하여 Edge에 로그인하면 CBA는 디바이스 내 인증서 및 스마트 카드에서 지원됩니다.
스마트 카드 공급자
| Provider | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |