Ограничения проверки подлинности на основе сертификата Microsoft Entra
В этом разделе рассматриваются поддерживаемые и неподдерживаемые сценарии проверки подлинности на основе сертификатов Microsoft Entra.
Поддерживаемые сценарии
Поддерживаются следующие сценарии:
- Вход пользователей в браузерные приложения на всех платформах.
- Вход пользователей в мобильные приложения Office, включая Outlook, OneDrive и т. д.
- Вход пользователей в собственные браузеры для мобильных устройств.
- Поддержка детальных правил проверки подлинности для многофакторной проверки подлинности с помощью субъекта издателя сертификата и идентификаторов OID политики.
- Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из полей сертификата:
- Альтернативное имя субъекта (SAN) и SAN RFC822Name
- Идентификатор ключа субъекта (SKI) и SHA1PublicKey
- Настройка привязок учетных записей "сертификат — пользователь" с помощью любого из атрибутов объекта пользователя:
- Имя субъекта-пользователя
- onPremisesUserPrincipalName
- CertificateUserIds
Неподдерживаемые сценарии
Не поддерживаются следующие сценарии:
- Инфраструктура открытых ключей для создания сертификатов клиента. Клиентам требуется настроить инфраструктуру открытых ключей (PKI) и предоставить сертификаты для пользователей и устройств.
- Указания центра сертификации не поддерживаются, поэтому список сертификатов, отображаемых пользователям в пользовательском интерфейсе, не ограничен.
- Поддерживается только одна точка распространения из списка отзыва сертификатов (CDP) для доверенного центра сертификации.
- CDP может быть представлена только URL-адресами с протоколом HTTP. URL-адреса с протоколом Online Certificate Status Protocol (OCSP) или протоколом LDAP не поддерживаются.
- Настройка других привязок учетных записей сертификата к пользователю, таких как использование субъекта + издателя или издателя + серийный номер, недоступны в этом выпуске.
- В настоящее время пароль невозможно отключить, если включена проверка подлинности на основе сертификатов и отображается параметр входа с использованием пароля.
Поддерживаемые операционные системы
| Операционная система | Сертификат на устройстве или производный PIV | Смарт-карты |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Только поддерживаемые поставщики |
| Android | ✅ | Только поддерживаемые поставщики |
Поддерживаемые браузеры
| Операционная система | Сертификат Chrome на устройстве | Смарт-карта Chrome | Сертификат Safari на устройстве | Смарт-карта Safari | Пограничный сертификат на устройстве | Смарт-карта Edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Только поддерживаемые поставщики | ❌ | ❌ |
| Android | ✅ | ❌ | Неприменимо | Неприменимо | ❌ | ❌ |
Примечание.
В iOS и Android mobile пользователи браузера Edge могут войти в Edge, чтобы настроить профиль с помощью библиотеки проверки подлинности Майкрософт (MSAL), например потока добавления учетной записи. При входе в Edge с помощью профиля CBA поддерживается с сертификатами на устройстве и смарт-карта.
Поставщики смарт-карта
| Provider | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Следующие шаги
- Обзор Microsoft Entra CBA
- Техническое глубокое погружение для Microsoft Entra CBA
- Настройка Microsoft Entra CBA
- Вход в Систему Windows SmartCard с помощью Microsoft Entra CBA
- Microsoft Entra CBA на мобильных устройствах (Android и iOS)
- СертификатыUserID
- Перенос федеративных пользователей
- Вопросы и ответы