Batasan dengan autentikasi berbasis sertifikat Microsoft Entra
Topik ini mencakup skenario yang didukung dan tidak didukung untuk autentikasi berbasis sertifikat Microsoft Entra.
Skenario yang didukung
Skenario berikut didukung:
- Kredensial masuk pengguna ke aplikasi berbasis browser web.
- Masuk pengguna ke aplikasi seluler Office, termasuk Outlook, OneDrive, dan sebagainya.
- Kredensial masuk pengguna di browser asli seluler.
- Dukungan untuk aturan autentikasi granular untuk autentikasi multifaktor dengan menggunakan penerbit sertifikat Subjek dan OID kebijakan.
- Mengonfigurasi pengikatan akun sertifikat ke pengguna dengan menggunakan salah satu bidang sertifikat:
- Nama Pengganti Subjek (SAN) PrincipalName dan SAN RFC822Name
- Pengidentifikasi Kunci Subjek (SKI) dan SHA1PublicKey
- Mengonfigurasi pengikatan akun sertifikat ke pengguna dengan menggunakan salah satu atribut objek pengguna:
- Nama Utama Pengguna
- onPremisesUserPrincipalName
- CertificateUserIds
Skenario yang tidak didukung
Skenario berikut tidak didukung:
- Infrastruktur Kunci Publik untuk membuat sertifikat klien. Pelanggan perlu mengonfigurasi Infrastruktur Kunci Publik (PKI) mereka sendiri dan memberikan sertifikat kepada pengguna dan perangkat mereka.
- Petunjuk Otoritas Sertifikat tidak didukung, sehingga daftar sertifikat yang muncul untuk pengguna di UI tidak dicakup.
- Hanya satu CRL Distribution Point (CDP) untuk CA tepercaya yang didukung.
- CDP hanya dapat berupa URL HTTP. Kami tidak mendukung URL Online Certificate Status Protocol (OCSP), atau Lightweight Directory Access Protocol (LDAP).
- Mengonfigurasi pengikatan akun sertifikat ke pengguna lainnya, seperti menggunakan subjek + penerbit atau Penerbit + Nomor Seri, tidak tersedia dalam rilis ini.
- Saat ini, kata sandi tidak dapat dinonaktifkan saat CBA diaktifkan dan opsi untuk masuk menggunakan kata sandi ditampilkan.
Sistem operasi yang didukung
| Sistem operasi | Sertifikat di perangkat/PIV Turunan | Kartu pintar |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Vendor yang didukung saja |
| Android | ✅ | Vendor yang didukung saja |
Browser yang didukung
| Sistem operasi | Sertifikat Chrome di perangkat | Kartu pintar Chrome | Sertifikat Safari di perangkat | Kartu pintar Safari | Sertifikat Edge di perangkat | Kartu pintar Edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Vendor yang didukung saja | ❌ | ❌ |
| Android | ✅ | ❌ | T/A | T/A | ❌ | ❌ |
Catatan
Di iOS dan Android seluler, pengguna browser Edge dapat masuk ke Edge untuk menyiapkan profil dengan menggunakan Microsoft Authentication Library (MSAL), seperti alur Tambahkan akun. Saat masuk ke Edge dengan profil, CBA didukung dengan sertifikat di perangkat dan kartu pintar.
Penyedia kartu pintar
| Penyedia | Jendela | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Langkah berikutnya
- Gambaran umum Microsoft Entra CBA
- Penyelaman teknis mendalam untuk Microsoft Entra CBA
- Cara mengonfigurasi Microsoft Entra CBA
- Log masuk Windows SmartCard menggunakan Microsoft Entra CBA
- Microsoft Entra CBA di perangkat seluler (Android dan iOS)
- CertificateUserIDs
- Cara memigrasikan pengguna federasi
- FAQ