Ograniczenia dotyczące uwierzytelniania opartego na certyfikatach firmy Microsoft
W tym temacie opisano obsługiwane i nieobsługiwane scenariusze uwierzytelniania opartego na certyfikatach firmy Microsoft.
Obsługiwane scenariusze
Obsługiwane są następujące scenariusze:
- Logowania użytkowników do aplikacji opartych na przeglądarce internetowej na wszystkich platformach.
- Logowania użytkowników do aplikacji mobilnych pakietu Office, w tym aplikacji Outlook, OneDrive itd.
- Logowania użytkowników w przeglądarkach natywnych dla urządzeń przenośnych.
- Obsługa szczegółowych reguł uwierzytelniania na potrzeby uwierzytelniania wieloskładnikowego przy użyciu identyfikatorów OPERACYJNEGO podmiotu i zasad wystawcy certyfikatów.
- Konfigurowanie powiązań konta certyfikatu do użytkownika przy użyciu dowolnego pola certyfikatu:
- Nazwa podmiotu ( SAN) PrincipalName i SAN RFC822Name
- Identyfikator klucza podmiotu (SKI) i SHA1PublicKey
- Konfigurowanie powiązań konta certyfikatu do użytkownika przy użyciu dowolnych atrybutów obiektu użytkownika:
- Główna nazwa użytkownika
- onPremisesUserPrincipalName
- Identyfikatory użytkownika certyfikatu
Nieobsługiwane scenariusze
Następujące scenariusze nie są obsługiwane:
- Infrastruktura kluczy publicznych do tworzenia certyfikatów klienta. Klienci muszą skonfigurować własną infrastrukturę kluczy publicznych (PKI) i aprowizować certyfikaty dla użytkowników i urządzeń.
- Wskazówki dotyczące urzędu certyfikacji nie są obsługiwane, dlatego lista certyfikatów wyświetlanych dla użytkowników w interfejsie użytkownika nie jest ograniczona.
- Obsługiwany jest tylko jeden punkt dystrybucji listy CRL (CDP) dla zaufanego urzędu certyfikacji.
- CdP może być tylko adresami URL HTTP. Nie obsługujemy adresów URL protokołu OCSP (Online Certificate Status Protocol) ani Lightweight Directory Access Protocol (LDAP).
- Konfigurowanie innych powiązań konta certyfikatu do użytkownika, takich jak używanie podmiotu + wystawcy lub wystawcy i numeru seryjnego, nie są dostępne w tej wersji.
- Obecnie nie można wyłączyć hasła po włączeniu cba i jest wyświetlana opcja logowania przy użyciu hasła.
Obsługiwane systemy operacyjne
| System operacyjny | Certyfikat na urządzeniu/pochodne dane osobowe | Karty inteligentne |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Tylko obsługiwani dostawcy |
| Android | ✅ | Tylko obsługiwani dostawcy |
Obsługiwane przeglądarki
| System operacyjny | Certyfikat przeglądarki Chrome na urządzeniu | Karta inteligentna chrome | Certyfikat przeglądarki Safari na urządzeniu | Karta inteligentna Safari | Certyfikat usługi Edge na urządzeniu | Karta inteligentna edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Tylko obsługiwani dostawcy | ❌ | ❌ |
| Android | ✅ | ❌ | Brak | Brak | ❌ | ❌ |
Uwaga
W urządzeniach przenośnych z systemami iOS i Android użytkownicy przeglądarki Edge mogą logować się do przeglądarki Microsoft Edge, aby skonfigurować profil przy użyciu biblioteki Microsoft Authentication Library (MSAL), takiej jak przepływ Dodawanie konta. Po zalogowaniu się do przeglądarki Edge przy użyciu profilu cba jest obsługiwana przy użyciu certyfikatów urządzeń i kart inteligentnych.
Dostawcy kart inteligentnych
| Dostawca | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Następne kroki
- Omówienie usługi Microsoft Entra CBA
- Szczegółowe informacje techniczne dotyczące usługi Microsoft Entra CBA
- Jak skonfigurować usługę Microsoft Entra CBA
- Logowanie za pomocą usługi Windows SmartCard przy użyciu usługi Microsoft Entra CBA
- Microsoft Entra CBA na urządzeniach przenośnych (Android i iOS)
- Identyfikatory Użytkownika certyfikatu
- Jak migrować użytkowników federacyjnych
- Często zadawane pytania