Ограничения проверки подлинности на основе сертификата Microsoft Entra
В этой статье рассматриваются поддерживаемые и неподдерживаемые сценарии проверки подлинности на основе сертификата Microsoft Entra.
Поддерживаемые сценарии
Поддерживаются следующие сценарии:
- Вход пользователей в веб-браузерные приложения на всех платформах.
- Вход пользователей в мобильные приложения Office, включая Outlook, OneDrive и т. д.
- Вход пользователей в мобильные встроенные браузеры.
- Поддержка детализированных правил аутентификации для многофакторной аутентификации с использованием издателя сертификата и идентификаторов политики.
- Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из полей сертификата:
- Альтернативное имя субъекта (SAN) PrincipalName и SAN RFC822Name
- Идентификатор ключа субъекта (SKI) и SHA1PublicKey
- Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из атрибутов объекта пользователя:
- Основное имя пользователя
- onPremisesUserPrincipalName
- ИдентификаторыПользователейСертификата
Неподдерживаемые сценарии
Следующие сценарии не поддерживаются.
- Инфраструктура открытых ключей для создания сертификатов клиента. Клиентам необходимо настроить собственную инфраструктуру открытых ключей (PKI) и подготовить сертификаты для своих пользователей и устройств.
- Указания центра сертификации не поддерживаются, поэтому список сертификатов, отображаемых для пользователей в пользовательском интерфейсе, не ограничен.
- Поддерживается только одна точка распространения CRL (CDP) для доверенного ЦС.
- CDP может содержать только URL-адреса HTTP. Мы не поддерживаем протокол проверки статуса онлайн-сертификатов (OCSP) или URL-адреса протокола LDAP.
- Настройка других привязок учетной записи сертификата к пользователю, например использование субъекта и издателя или издателя + серийный номер, недоступны в этом выпуске.
- В настоящее время пароль нельзя отключить при включении CBA, а параметр входа с помощью пароля отображается.
Поддерживаемые операционные системы
| Операционная система | Сертификат на устройстве или производный PIV | Смарт-карты |
|---|---|---|
| Виндоус | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Только поддерживаемые поставщики |
| Андроид | ✅ | Только поддерживаемые поставщики |
Поддерживаемые браузеры
| Операционная система | Сертификат Chrome на устройстве | Смарт-карта Chrome | Сертификат Safari на устройстве | Смарт-карта Safari | Сертификат Microsoft Edge на устройстве | Смарт-карта Microsoft Edge |
|---|---|---|---|---|---|---|
| Виндоус | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Только поддерживаемые поставщики | ❌ | ❌ |
| Андроид | ✅ | ❌ | N/A | N/A | ❌ | ❌ |
Заметка
На мобильных устройствах iOS и Android пользователи браузера Microsoft Edge могут войти в Microsoft Edge, чтобы настроить профиль с помощью библиотеки проверки подлинности Майкрософт (MSAL), например потока добавления учетной записи. При входе в Microsoft Edge с помощью профиля поддерживается аутентификация на основе сертификатов (CBA) с использованием сертификатов на устройстве и смарт-карт.
Поставщики смарт-карт
| Поставщик | Виндоус | macOS | iOS | Андроид |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Дальнейшие действия
- Обзор Microsoft Entra CBA
- Технический глубокий анализ Microsoft Entra CBA
- Как настроить Microsoft Entra CBA
- вход в Windows с помощью SmartCard через Microsoft Entra CBA
- Microsoft Entra CBA на мобильных устройствах (Android и iOS)
- ПользовательскиеIDсертификата
- Как перенести федеративных пользователей
- вопросы и ответы