Microsoft Entra 基于证书的身份验证的限制
此主题介绍 Microsoft Entra 基于证书的身份验证的支持和不支持的方案。
支持的方案
支持以下方案:
- 用户在所有平台上登录到基于 Web 浏览器的应用程序。
- 用户登录到 Office 移动应用,包括 Outlook、OneDrive 等。
- 用户在移动本机浏览器上登录。
- 支持通过使用证书颁发者“使用者”和“策略 OID”进行多重身份验证的精细身份验证规则。
- 使用以下任何证书字段配置证书到用户帐户的绑定:
- 使用者可选名称 (SAN) PrincipalName 和 SAN RFC822Name
- 使用者密钥标识符 (SKI) 和 SHA1PublicKey
- 使用以下任何用户对象属性配置证书到用户帐户的绑定:
- 用户主体名称
- onPremisesUserPrincipalName
- CertificateUserIds
不支持的方案
不支持以下方案:
- 用于创建客户端证书的公钥基础结构。 客户需要配置自己的公钥基础结构 (PKI) 并将证书预配到用户和设备。
- 不支持证书颁发机构提示,因此在 UI 中为用户显示的证书列表不受范围限制。
- 仅支持可信 CA 的一个 CRL 分发点 (CDP)。
- CDP 只能是 HTTP URL。 我们不支持联机证书状态协议 (OCSP) 或轻型目录访问协议 (LDAP) URL。
- 此版本不提供配置其他证书到用户帐户的绑定,例如使用“使用者 + 证书颁发者”或“证书颁发者 + 序列号”。
- 目前,启用 CBA 并显示使用密码登录的选项时,无法禁用密码。
支持的操作系统
| 操作系统 | 设备端证书/派生 PIV | 智能卡 |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | 仅限支持的供应商 |
| Android | ✅ | 仅限支持的供应商 |
支持的浏览器
| 操作系统 | 设备端 Chrome 证书 | Chrome 智能卡 | 设备端 Safari 证书 | Safari 智能卡 | 设备端 Edge 证书 | Edge 智能卡 |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | 仅限支持的供应商 | ❌ | ❌ |
| Android | ✅ | ❌ | 空值 | 空值 | ❌ | ❌ |
注意
在 iOS 和 Android 移动版中,Edge 浏览器用户可以使用 Microsoft 身份验证库 (MSAL) 登录到 Edge 来设置配置文件,如“添加帐户”流。 使用配置文件登录到 Edge 时,设备端证书和智能卡支持 CBA。
智能卡提供程序
| 提供程序 | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |