Beperkingen met verificatie op basis van Microsoft Entra-certificaten
In dit onderwerp worden ondersteunde en niet-ondersteunde scenario's behandeld voor verificatie op basis van Microsoft Entra-certificaten.
Ondersteunde scenario's
De volgende scenario's worden ondersteund:
- Gebruikersaanmelding bij webbrowsertoepassingen op alle platforms.
- Gebruikersaanmelding bij Office Mobile-apps, waaronder Outlook, OneDrive, enzovoort.
- Aanmeldingen van gebruikers in mobiele systeemeigen browsers.
- Ondersteuning voor gedetailleerde verificatieregels voor meervoudige verificatie met behulp van de onderwerp- en beleids-OID's van de certificaatverlener.
- Certificaat-naar-gebruiker-accountbindingen configureren met behulp van een van de certificaatvelden:
- Alternatieve onderwerpnaam (SAN) PrincipalName en SAN RFC822Name
- Onderwerpsleutel-id (SKI) en SHA1PublicKey
- Certificaat-naar-gebruiker-accountbindingen configureren met behulp van een van de kenmerken van het gebruikersobject:
- User Principal Name
- onPremisesUserPrincipalName
- CertificateUserIds
Niet-ondersteunde scenario's
De volgende scenario's worden niet ondersteund:
- Public Key Infrastructure voor het maken van clientcertificaten. Klanten moeten hun eigen PKI (Public Key Infrastructure) configureren en certificaten inrichten voor hun gebruikers en apparaten.
- Hints voor certificeringsinstantie worden niet ondersteund, dus de lijst met certificaten die worden weergegeven voor gebruikers in de gebruikersinterface, is niet beperkt.
- Er wordt slechts één CRL-distributiepunt (CDP) ondersteund voor een vertrouwde CA.
- Het CDP kan alleen HTTP-URL's zijn. We bieden geen ondersteuning voor URL's (Online Certificate Status Protocol) of LDAP-URL's (Lightweight Directory Access Protocol).
- Het configureren van andere certificaat-naar-gebruikersaccountbindingen, zoals het gebruik van het onderwerp + verlener of Issuer + Serienummer, zijn niet beschikbaar in deze release.
- Het wachtwoord kan momenteel niet worden uitgeschakeld wanneer CBA is ingeschakeld en de optie om u aan te melden met een wachtwoord wordt weergegeven.
Ondersteunde besturingssystemen
| Besturingssysteem | Certificaat op apparaat/afgeleide PIV | Smartcards |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Alleen ondersteunde leveranciers |
| Android | ✅ | Alleen ondersteunde leveranciers |
Ondersteunde browsers
| Besturingssysteem | Chrome-certificaat op apparaat | Chrome smartcard | Safari-certificaat op apparaat | Safari-smartcard | Edge-certificaat op apparaat | Edge-smartcard |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Alleen ondersteunde leveranciers | ❌ | ❌ |
| Android | ✅ | ❌ | N.v.t. | N.v.t. | ❌ | ❌ |
Notitie
Op mobiele iOS- en Android-apparaten kunnen edge-browsergebruikers zich aanmelden bij Edge om een profiel in te stellen met behulp van de Microsoft Authentication Library (MSAL), zoals de accountstroom Toevoegen. Wanneer u bent aangemeld bij Edge met een profiel, wordt CBA ondersteund met certificaten en smartcards op apparaten.
Smartcardproviders
| Provider | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| Yubikey | ✅ | ✅ | ✅ | ✅ |
Volgende stappen
- Overzicht van Microsoft Entra CBA
- Technische diepgaande informatie voor Microsoft Entra CBA
- Microsoft Entra CBA configureren
- Windows SmartCard-aanmelding met Microsoft Entra CBA
- Microsoft Entra CBA op mobiele apparaten (Android en iOS)
- CertificateUserID's
- Federatieve gebruikers migreren
- Veelgestelde vragen