Beperkingen met verificatie op basis van Microsoft Entra-certificaten
In dit artikel worden ondersteunde en niet-ondersteunde scenario's behandeld voor verificatie op basis van Microsoft Entra-certificaten.
Ondersteunde scenario's
De volgende scenario's worden ondersteund:
- Gebruikersaanmelding bij webbrowsertoepassingen op alle platforms.
- Gebruikersaanmelding bij Office Mobile-apps, waaronder Outlook, OneDrive, enzovoort.
- Aanmeldingen van gebruikers in mobiele systeemeigen browsers.
- Ondersteuning voor gedetailleerde verificatieregels voor meervoudige verificatie met behulp van de certificaatverlener Onderwerp en beleids-OID's.
- Certificaat-naar-gebruiker-accountbindingen configureren met behulp van een van de certificaatvelden:
- Alternatieve onderwerpnaam (SAN) PrincipalName en SAN RFC822Name
- Onderwerpsleutel-id (SKI) en SHA1PublicKey
- Certificaat-naar-gebruiker-accountbindingen configureren met behulp van een van de kenmerken van het gebruikersobject:
- Gebruikershoofdnaam
- onPremisesUserPrincipalName
- CertificaatGebruikersIds
Niet-ondersteunde scenario's
De volgende scenario's worden niet ondersteund:
- Public Key Infrastructure voor het maken van clientcertificaten. Klanten moeten hun eigen PKI (Public Key Infrastructure) configureren en certificaten inrichten voor hun gebruikers en apparaten.
- Hints voor certificeringsinstanties worden niet ondersteund, dus de lijst met certificaten die voor gebruikers in de gebruikersinterface wordt weergegeven, is niet gespecificeerd.
- Slechts één CRL-distributiepunt (CDP) voor een vertrouwde CA wordt ondersteund.
- Het CDP kan alleen HTTP-URL's zijn. We bieden geen ondersteuning voor URL's (Online Certificate Status Protocol) of LDAP-URL's (Lightweight Directory Access Protocol).
- Het configureren van andere certificaat-naar-gebruikersaccountbindingen, zoals het gebruik van onderwerp + verlener of Issuer + serienummer, is niet beschikbaar in deze release.
- Het wachtwoord kan momenteel niet worden uitgeschakeld wanneer CBA is ingeschakeld en de optie om u aan te melden met een wachtwoord wordt weergegeven.
Ondersteunde besturingssystemen
| Besturingssysteem | Certificaat op apparaat/afgeleide PIV | Smartcards |
|---|---|---|
| Ramen | ✅ | ✅ |
| macOS | ✅ | ✅ |
| Ios | ✅ | Alleen ondersteunde leveranciers |
| Android | ✅ | Alleen ondersteunde leveranciers |
Ondersteunde browsers
| Besturingssysteem | Chrome-certificaat op apparaat | Chrome smartcard | Safari-certificaat op apparaat | Safari smartcard | Microsoft Edge-certificaat op apparaat | Microsoft Edge-smartcard |
|---|---|---|---|---|---|---|
| Ramen | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Ios | ❌ | ❌ | ✅ | Alleen ondersteunde leveranciers | ❌ | ❌ |
| Android | ✅ | ❌ | N.V.T. | N.V.T | ❌ | ❌ |
Notitie
Op mobiele iOS- en Android-apparaten kunnen microsoft Edge-browsergebruikers zich aanmelden bij Microsoft Edge om een profiel in te stellen met behulp van de Microsoft Authentication Library (MSAL), zoals de accountstroom Toevoegen. Wanneer u bent aangemeld bij Microsoft Edge met een profiel, wordt CBA ondersteund met certificaten en smartcards op het apparaat.
Smartcard-providers
| Aanbieder | Ramen | macOS | Ios | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Volgende stappen
- Overzicht van Microsoft Entra CBA
- Technische diepgaande informatie over Microsoft Entra CBA-
- Microsoft Entra CBA configureren
- Aanmelden bij Windows met een SmartCard via Microsoft Entra CBA
- Microsoft Entra CBA op mobiele apparaten (Android en iOS)
- CertificateUserIDs
- Federatieve gebruikers migreren
- veelgestelde vragen