Limitaciones con la autenticación basada en certificados de Microsoft Entra
En este tema se tratan los escenarios admitidos y no admitidos para la autenticación basada en certificados de Microsoft Entra.
Escenarios admitidos
Se admiten los escenarios siguientes:
- El usuario inicia sesión en aplicaciones basadas en explorador web en todas las plataformas.
- Inicios de sesión de usuario en aplicaciones móviles de Office, como Outlook, OneDrive, etc.
- Inicios de sesión de usuario en exploradores nativos móviles.
- Compatibilidad con reglas de autenticación granulares para la autenticación multifactor mediante el emisor de certificados Firmante y los OID de directiva.
- Configuración de enlaces de certificado a cuenta de usuario mediante cualquiera de los campos de certificado:
- Nombre alternativo del firmante (SAN) PrincipalName y SAN RFC822Name
- Identificador de clave del firmante (SKI) y SHA1PublicKey
- Configuración de enlaces de certificado a cuenta de usuario mediante cualquiera de los atributos de objeto de usuario:
- Nombre principal del usuario
- onPremisesUserPrincipalName
- CertificateUserIds
Escenarios no admitidos
No se admiten los escenarios siguientes:
- Infraestructura de clave pública para crear certificados de cliente. Los clientes deben configurar su propia infraestructura de clave pública (PKI) y aprovisionar certificados para sus usuarios y dispositivos.
- No se admiten sugerencias de entidad de certificación, por lo que la lista de certificados que aparece para los usuarios en la interfaz de usuario no tiene ámbito.
- Solo se admite un punto de distribución de CRL (CDP) para una entidad de certificación de confianza.
- CDP solo puede ser direcciones URL HTTP. No se admiten direcciones URL del Protocolo de estado de certificado en línea (OSCP) ni del Protocolo ligero de acceso a directorios (LDAP).
- La configuración de otros enlaces de certificado a cuenta de usuario, como el uso de firmante + emisor o emisor + número de serie, no están disponibles en esta versión.
- Actualmente, la contraseña no se puede deshabilitar cuando CBA está habilitado y se muestra la opción para iniciar sesión con una contraseña.
Sistemas operativos admitidos
| Sistema operativo | Certificado en el dispositivo o PIV derivado | Tarjetas inteligentes |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Solo proveedores admitidos |
| Android | ✅ | Solo proveedores admitidos |
Exploradores compatibles
| Sistema operativo | Certificado de Chrome en el dispositivo | Tarjeta inteligente de Chrome | Certificado de Safari en el dispositivo | Tarjeta inteligente de Safari | Certificado de Edge en el dispositivo | Tarjeta inteligente de Edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Solo proveedores admitidos | ❌ | ❌ |
| Android | ✅ | ❌ | N/D | N/D | ❌ | ❌ |
Nota
En dispositivos móviles iOS y Android, los usuarios del explorador Edge pueden iniciar sesión en Edge para configurar un perfil mediante la biblioteca de autenticación de Microsoft (MSAL), como el flujo para agregar cuenta. Al iniciar sesión en Edge con un perfil, se admite la autenticación basada en certificados con certificados en el dispositivo y tarjetas inteligentes.
Proveedores de tarjetas inteligentes
| Proveedor | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Pasos siguientes
- Información general sobre la autenticación basada en certificados de Microsoft Entra
- Análisis técnico en profundidad para Microsoft Entra CBA
- Cómo configurar Microsoft Entra CBA
- Inicio de sesión de Tarjeta inteligente de Windows con Microsoft Entra CBA
- Autenticación basada en certificados de Microsoft Entra en dispositivos móviles (Android e iOS)
- CertificateUserIDs
- Cómo migrar de usuarios federados
- P+F