Dela via


Begränsningar med Microsoft Entra-certifikatbaserad autentisering

Det här avsnittet beskriver scenarier som stöds och inte stöds för Microsoft Entra-certifikatbaserad autentisering.

Stödda scenarier

Följande scenarier stöds:

  • Användarinloggningar till webbläsarbaserade program på alla plattformar.
  • Användarinloggningar till Office-mobilappar, inklusive Outlook, OneDrive och så vidare.
  • Användarinloggningar i mobila inbyggda webbläsare.
  • Stöd för detaljerade autentiseringsregler för multifaktorautentisering med certifikatutfärdaren Ämne och princip-OID: er.
  • Konfigurera certifikat-till-användarkonto-bindningar med hjälp av något av certifikatfälten:
    • Alternativt namn på certifikatmottagare (SAN) PrincipalName och SAN RFC822Name
    • Ämnesnyckelidentifierare (SKI) och SHA1PublicKey
  • Konfigurera certifikat-till-användarkonto-bindningar med hjälp av något av attributen för användarobjekt:
    • Användarhuvudnamn
    • onPremisesUserPrincipalName
    • CertificateUserIds

Scenarier som inte stöds

Följande scenarier stöds inte:

  • Offentlig nyckelinfrastruktur för att skapa klientcertifikat. Kunder måste konfigurera sin egen PKI (Public Key Infrastructure) och etablera certifikat till sina användare och enheter.
  • Certifikatutfärdartips stöds inte, så listan över certifikat som visas för användare i användargränssnittet är inte begränsad.
  • Endast en CRL-distributionsplats (CDP) för en betrodd ca stöds.
  • CDP:n kan bara vara HTTP-URL:er. Vi stöder inte URL:er för Online Certificate Status Protocol (OCSP) eller Lightweight Directory Access Protocol (LDAP).
  • Det går inte att konfigurera andra certifikat-till-användarkonto-bindningar, till exempel att använda ämne + utfärdare eller Utfärdare + serienummer, i den här versionen.
  • För närvarande kan lösenord inte inaktiveras när CBA är aktiverat och alternativet att logga in med ett lösenord visas.

Operativsystem som stöds

Operativsystem Certifikat på enheten/härledd PIV Smartkort
Windows
macOS
iOS Endast leverantörer som stöds
Android Endast leverantörer som stöds

Webbläsare som stöds

Operativsystem Chrome-certifikat på enheten Chrome-smartkort Safari-certifikat på enheten Safari smartkort Edge-certifikat på enheten Edge-smartkort
Windows
macOS
iOS Endast leverantörer som stöds
Android Saknas Inte tillgänglig

Kommentar

På iOS- och Android-mobilen kan Edge-webbläsaranvändare logga in på Edge för att konfigurera en profil med hjälp av Microsoft Authentication Library (MSAL), till exempel Lägg till kontoflöde. När du är inloggad på Edge med en profil stöds CBA med certifikat på enheten och smartkort.

Smartkortsprovidrar

Provider Windows Mac OS iOS Android
YubiKey

Nästa steg