Limitações com a autenticação baseada em certificado do Microsoft Entra

Este tópico aborda cenários com e sem suporte para autenticação baseada em certificado do Microsoft Entra.

Cenários suportados

Os seguintes cenários são suportados:

  • Login do usuário em aplicativos baseados em navegador da Web em todas as plataformas.
  • O utilizador inicia sessão em aplicações móveis do Office, incluindo o Outlook, o OneDrive e assim por diante.
  • Login do usuário em navegadores nativos móveis.
  • Suporte para regras de autenticação granular para autenticação multifator usando o emissor do certificado Assunto e OIDs de política.
  • Configurando associações de conta de certificado para usuário usando qualquer um dos campos de certificado:
    • Nome alternativo da entidade (SAN) PrincipalName e SAN RFC822Name
    • Identificador de chave de assunto (SKI) e SHA1PublicKey
  • Configurando associações de conta de certificado para usuário usando qualquer um dos atributos de objeto de usuário:
    • Nome Principal do Utilizador
    • onPremisesUserPrincipalName
    • CertificateUserIds

Cenários não suportados

Os seguintes cenários não são suportados:

  • Infraestrutura de chave pública para criação de certificados de cliente. Os clientes precisam configurar sua própria infraestrutura de chave pública (PKI) e provisionar certificados para seus usuários e dispositivos.
  • Não há suporte para dicas de Autoridade de Certificação, portanto, a lista de certificados que aparece para os usuários na interface do usuário não tem escopo.
  • Apenas um ponto de distribuição de CRL (CDP) para uma autoridade de certificação confiável é suportado.
  • A CDP pode ser apenas URLs HTTP. Não suportamos URLs OCSP (Online Certificate Status Protocol) ou LDAP (Lightweight Directory Access Protocol).
  • A configuração de outras associações de conta de certificado para usuário, como usar o assunto + emissor ou Emissor + Número de série, não está disponível nesta versão.
  • Atualmente, a senha não pode ser desabilitada quando o CBA está habilitado e a opção de entrar usando uma senha é exibida.

Sistemas operativos suportados

Sistema operativo Certificado no dispositivo/PIV derivado Smart cards
Windows
macOS
iOS Apenas fornecedores suportados
Android Apenas fornecedores suportados

Browsers suportados

Sistema operativo Certificado do Chrome no dispositivo Cartão inteligente Chrome Certificado do Safari no dispositivo Cartão inteligente Safari Certificado de borda no dispositivo Cartão inteligente Edge
Windows
macOS
iOS Apenas fornecedores suportados
Android N/A N/A

Nota

Em dispositivos móveis iOS e Android, os usuários do navegador Edge podem entrar no Edge para configurar um perfil usando a Biblioteca de Autenticação da Microsoft (MSAL), como o fluxo Adicionar conta. Quando conectado ao Edge com um perfil, o CBA é compatível com certificados no dispositivo e cartões inteligentes.

Fornecedores de cartões inteligentes

Provider Windows Mac OS iOS Android
YubiKey

Próximos passos