Limitações com a autenticação baseada em certificado do Microsoft Entra
Este tópico aborda cenários com e sem suporte para autenticação baseada em certificado do Microsoft Entra.
Cenários suportados
Os seguintes cenários são suportados:
- Login do usuário em aplicativos baseados em navegador da Web em todas as plataformas.
- O utilizador inicia sessão em aplicações móveis do Office, incluindo o Outlook, o OneDrive e assim por diante.
- Login do usuário em navegadores nativos móveis.
- Suporte para regras de autenticação granular para autenticação multifator usando o emissor do certificado Assunto e OIDs de política.
- Configurando associações de conta de certificado para usuário usando qualquer um dos campos de certificado:
- Nome alternativo da entidade (SAN) PrincipalName e SAN RFC822Name
- Identificador de chave de assunto (SKI) e SHA1PublicKey
- Configurando associações de conta de certificado para usuário usando qualquer um dos atributos de objeto de usuário:
- Nome Principal do Utilizador
- onPremisesUserPrincipalName
- CertificateUserIds
Cenários não suportados
Os seguintes cenários não são suportados:
- Infraestrutura de chave pública para criação de certificados de cliente. Os clientes precisam configurar sua própria infraestrutura de chave pública (PKI) e provisionar certificados para seus usuários e dispositivos.
- Não há suporte para dicas de Autoridade de Certificação, portanto, a lista de certificados que aparece para os usuários na interface do usuário não tem escopo.
- Apenas um ponto de distribuição de CRL (CDP) para uma autoridade de certificação confiável é suportado.
- A CDP pode ser apenas URLs HTTP. Não suportamos URLs OCSP (Online Certificate Status Protocol) ou LDAP (Lightweight Directory Access Protocol).
- A configuração de outras associações de conta de certificado para usuário, como usar o assunto + emissor ou Emissor + Número de série, não está disponível nesta versão.
- Atualmente, a senha não pode ser desabilitada quando o CBA está habilitado e a opção de entrar usando uma senha é exibida.
Sistemas operativos suportados
| Sistema operativo | Certificado no dispositivo/PIV derivado | Smart cards |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Apenas fornecedores suportados |
| Android | ✅ | Apenas fornecedores suportados |
Browsers suportados
| Sistema operativo | Certificado do Chrome no dispositivo | Cartão inteligente Chrome | Certificado do Safari no dispositivo | Cartão inteligente Safari | Certificado de borda no dispositivo | Cartão inteligente Edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Apenas fornecedores suportados | ❌ | ❌ |
| Android | ✅ | ❌ | N/A | N/A | ❌ | ❌ |
Nota
Em dispositivos móveis iOS e Android, os usuários do navegador Edge podem entrar no Edge para configurar um perfil usando a Biblioteca de Autenticação da Microsoft (MSAL), como o fluxo Adicionar conta. Quando conectado ao Edge com um perfil, o CBA é compatível com certificados no dispositivo e cartões inteligentes.
Fornecedores de cartões inteligentes
| Provider | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |