Einschränkungen bei der zertifikatbasierten Microsoft Entra-Authentifizierung
In diesem Thema werden unterstützte und nicht unterstützte Szenarien für die zertifikatbasierte Authentifizierung mit Microsoft Entra behandelt.
Unterstützte Szenarios
Die folgenden Szenarien werden unterstützt:
- Benutzeranmeldungen bei webbrowserbasierten Anwendungen auf allen Plattformen.
- Benutzeranmeldungen bei mobilen Office-Apps, einschließlich Outlook, OneDrive usw.
- Benutzeranmeldungen in nativen mobilen Browsern.
- Unterstützung differenzierter Authentifizierungsregeln für die mehrstufige Authentifizierung mithilfe von Antragsteller und Richtlinien-OIDs des Zertifikatausstellers.
- Konfigurieren von Zertifikat-zu-Benutzerkonto-Bindungen mithilfe eines der Zertifikatfelder:
- Subject Alternate Name (SAN) PrincipalName und SAN RFC822Name
- Subject Key Identifier (SKI) und SHA1PublicKey
- Konfigurieren von Zertifikat-zu-Benutzerkonto-Bindungen mithilfe eines der Benutzerobjektattribute:
- Benutzerprinzipalname
- onPremisesUserPrincipalName
- CertificateUserIds
Nicht unterstützte Szenarien
Folgende Szenarien werden nicht unterstützt:
- Public Key-Infrastruktur zum Erstellen von Clientzertifikaten. Kunden müssen ihre eigene Public Key-Infrastruktur (PKI) konfigurieren und Zertifikate für ihre Benutzer und Geräte bereitstellen.
- Hinweise zur Zertifizierungsstelle werden nicht unterstützt, sodass die Liste der Zertifikate, die für Benutzer auf der Benutzeroberfläche angezeigt werden, nicht auf einen Bereich beschränkt ist.
- Es wird nur ein CRL-Verteilungspunkt (CDP) für eine vertrauenswürdige Zertifizierungsstelle unterstützt.
- Der CDP kann nur HTTP-URLs sein. Es werden weder OCSP-URLs (Online Certificate Status Protocol) noch LDAP-URLs (Lightweight Directory Access Protocol) unterstützt.
- Das Konfigurieren anderer Zertifikat-zu-Benutzerkonto-Bindungen, z. B. die Verwendung von Antragsteller + Aussteller oder Aussteller + Seriennummer, ist in dieser Version nicht verfügbar.
- Derzeit kann das Kennwort nicht deaktiviert werden, wenn CBA aktiviert ist und die Option zum Anmelden mit einem Kennwort angezeigt wird.
Unterstützte Betriebssysteme
| Betriebssystem | On-Device-Zertifikat/Abgeleitete PIV | Smartcards |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Nur unterstützte Anbieter |
| Android | ✅ | Nur unterstützte Anbieter |
Unterstützte Browser
| Betriebssystem | Chrome-Zertifikat auf dem Gerät | Chrome-Smartcard | Safari-Zertifikat auf dem Gerät | Safari-Smartcard | Edge-Zertifikat auf dem Gerät | Edge-Smartcard |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Nur unterstützte Anbieter | ❌ | ❌ |
| Android | ✅ | ❌ | – | – | ❌ | ❌ |
Hinweis
Auf mobilen iOS- und Android-Geräten können sich Benutzer des Edge-Browsers bei Edge anmelden, um mithilfe von MSAL (Microsoft Authentication Library), z. B. dem Ablauf zum Hinzufügen eines Kontos, ein Profil einzurichten. Wenn Sie mit einem Profil bei Edge angemeldet sind, wird die zertifikatbasierte Authentifizierung (CBA) mit On-Device-Zertifikaten und Smartcards unterstützt.
Smartcardanbieter
| Anbieter | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Nächste Schritte
- Übersicht über Microsoft Entra-CBA
- Ausführliche technische Informationen zur zertifikatbasierten Authentifizierung mit Azure AD
- Konfigurieren der zertifikatbasierten Microsoft Entra-Authentifizierung
- Windows-Smartcardanmeldung mithilfe der zertifikatbasierten Microsoft Entra-Authentifizierung
- Zertifikatbasierte Microsoft Entra-Authentifizierung auf mobilen Geräten (Android und iOS)
- CertificateUserIDs
- Migrieren von Verbundbenutzer*innen
- Häufig gestellte Fragen