Begränsningar med Microsoft Entra-certifikatbaserad autentisering
Den här artikeln beskriver scenarier som stöds och inte stöds för Microsoft Entra-certifikatbaserad autentisering.
Scenarier som stöds
Följande scenarier stöds:
- Användarinloggningar till webbläsarbaserade program på alla plattformar.
- Användarinloggningar till Office-mobilappar, inklusive Outlook, OneDrive och så vidare.
- Användarinloggningar i mobila inbyggda webbläsare.
- Stöd för detaljerade autentiseringsregler för multifaktorautentisering med hjälp av certifikatutfärdaren Ämne och princip-OID:er.
- Konfigurera certifikat-till-användarkonto-bindningar med hjälp av något av certifikatfälten:
- Alternativt namn för ämne (Subject Alternate Name, SAN) PrincipalName och SAN RFC822Name
- Ämnesnyckelidentifierare (SKI) och SHA1PublicKey
- Konfigurera certifikat-till-användarkonto-bindningar med hjälp av något av attributen för användarobjekt:
- Användarens huvudnamn
- onPremisesUserPrincipalName
- CertifikatAnvändarIDn
Scenarier som inte stöds
Följande scenarier stöds inte:
- Offentlig nyckelinfrastruktur för att skapa klientcertifikat. Kunder måste konfigurera sin egen PKI (Public Key Infrastructure) och etablera certifikat till sina användare och enheter.
- Certifikatutfärdartips stöds inte, så listan över certifikat som visas för användare i användargränssnittet är inte begränsad.
- Endast en CRL-distributionsplats (CDP) för en betrodd CA stöds.
- CDP:n kan bara vara HTTP-URL:er. Vi stöder inte URL:er för Online Certificate Status Protocol (OCSP) eller Lightweight Directory Access Protocol (LDAP).
- Det går inte att konfigurera andra certifikat-till-användarkonto-bindningar, till exempel att använda ämne + utfärdare eller utfärdare + serienummer, i denna version.
- För närvarande kan lösenord inte inaktiveras när CBA är aktiverat och alternativet att logga in med ett lösenord visas.
Operativsystem som stöds
| Operativsystem | Certifikat på enheten/härledd PIV | Smartkort |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| Ios | ✅ | Endast leverantörer som stöds |
| Android | ✅ | Endast leverantörer som stöds |
Webbläsare som stöds
| Operativsystem | Chrome-certifikat på enheten | Chrome-smartkort | Safari-certifikat på enheten | Safari smartkort | Microsoft Edge-certifikat på enheten | Microsoft Edge-smartkort |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Ios | ❌ | ❌ | ✅ | Endast leverantörer som stöds | ❌ | ❌ |
| Android | ✅ | ❌ | Ej tillämpligt | Ej tillämpligt | ❌ | ❌ |
Anteckning
På iOS- och Android-mobilen kan Microsoft Edge-webbläsaranvändare logga in på Microsoft Edge för att konfigurera en profil med hjälp av Microsoft Authentication Library (MSAL), till exempel Lägg till kontoflöde. När du är inloggad på Microsoft Edge med en profil stöds CBA med certifikat på enheten och smartkort.
Smartkortsprovidrar
| Leverantör | Windows | macOS | Ios | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |