Dela via


Begränsningar med Microsoft Entra-certifikatbaserad autentisering

Den här artikeln beskriver scenarier som stöds och inte stöds för Microsoft Entra-certifikatbaserad autentisering.

Scenarier som stöds

Följande scenarier stöds:

  • Användarinloggningar till webbläsarbaserade program på alla plattformar.
  • Användarinloggningar till Office-mobilappar, inklusive Outlook, OneDrive och så vidare.
  • Användarinloggningar i mobila inbyggda webbläsare.
  • Stöd för detaljerade autentiseringsregler för multifaktorautentisering med hjälp av certifikatutfärdaren Ämne och princip-OID:er.
  • Konfigurera certifikat-till-användarkonto-bindningar med hjälp av något av certifikatfälten:
    • Alternativt namn för ämne (Subject Alternate Name, SAN) PrincipalName och SAN RFC822Name
    • Ämnesnyckelidentifierare (SKI) och SHA1PublicKey
  • Konfigurera certifikat-till-användarkonto-bindningar med hjälp av något av attributen för användarobjekt:
    • Användarens huvudnamn
    • onPremisesUserPrincipalName
    • CertifikatAnvändarIDn

Scenarier som inte stöds

Följande scenarier stöds inte:

  • Offentlig nyckelinfrastruktur för att skapa klientcertifikat. Kunder måste konfigurera sin egen PKI (Public Key Infrastructure) och etablera certifikat till sina användare och enheter.
  • Certifikatutfärdartips stöds inte, så listan över certifikat som visas för användare i användargränssnittet är inte begränsad.
  • Endast en CRL-distributionsplats (CDP) för en betrodd CA stöds.
  • CDP:n kan bara vara HTTP-URL:er. Vi stöder inte URL:er för Online Certificate Status Protocol (OCSP) eller Lightweight Directory Access Protocol (LDAP).
  • Det går inte att konfigurera andra certifikat-till-användarkonto-bindningar, till exempel att använda ämne + utfärdare eller utfärdare + serienummer, i denna version.
  • För närvarande kan lösenord inte inaktiveras när CBA är aktiverat och alternativet att logga in med ett lösenord visas.

Operativsystem som stöds

Operativsystem Certifikat på enheten/härledd PIV Smartkort
Windows
macOS
Ios Endast leverantörer som stöds
Android Endast leverantörer som stöds

Webbläsare som stöds

Operativsystem Chrome-certifikat på enheten Chrome-smartkort Safari-certifikat på enheten Safari smartkort Microsoft Edge-certifikat på enheten Microsoft Edge-smartkort
Windows
macOS
Ios Endast leverantörer som stöds
Android Ej tillämpligt Ej tillämpligt

Anteckning

På iOS- och Android-mobilen kan Microsoft Edge-webbläsaranvändare logga in på Microsoft Edge för att konfigurera en profil med hjälp av Microsoft Authentication Library (MSAL), till exempel Lägg till kontoflöde. När du är inloggad på Microsoft Edge med en profil stöds CBA med certifikat på enheten och smartkort.

Smartkortsprovidrar

Leverantör Windows macOS Ios Android
YubiKey

Nästa steg