Begränsningar med Microsoft Entra-certifikatbaserad autentisering
Det här avsnittet beskriver scenarier som stöds och inte stöds för Microsoft Entra-certifikatbaserad autentisering.
Stödda scenarier
Följande scenarier stöds:
- Användarinloggningar till webbläsarbaserade program på alla plattformar.
- Användarinloggningar till Office-mobilappar, inklusive Outlook, OneDrive och så vidare.
- Användarinloggningar i mobila inbyggda webbläsare.
- Stöd för detaljerade autentiseringsregler för multifaktorautentisering med certifikatutfärdaren Ämne och princip-OID: er.
- Konfigurera certifikat-till-användarkonto-bindningar med hjälp av något av certifikatfälten:
- Alternativt namn på certifikatmottagare (SAN) PrincipalName och SAN RFC822Name
- Ämnesnyckelidentifierare (SKI) och SHA1PublicKey
- Konfigurera certifikat-till-användarkonto-bindningar med hjälp av något av attributen för användarobjekt:
- Användarhuvudnamn
- onPremisesUserPrincipalName
- CertificateUserIds
Scenarier som inte stöds
Följande scenarier stöds inte:
- Offentlig nyckelinfrastruktur för att skapa klientcertifikat. Kunder måste konfigurera sin egen PKI (Public Key Infrastructure) och etablera certifikat till sina användare och enheter.
- Certifikatutfärdartips stöds inte, så listan över certifikat som visas för användare i användargränssnittet är inte begränsad.
- Endast en CRL-distributionsplats (CDP) för en betrodd ca stöds.
- CDP:n kan bara vara HTTP-URL:er. Vi stöder inte URL:er för Online Certificate Status Protocol (OCSP) eller Lightweight Directory Access Protocol (LDAP).
- Det går inte att konfigurera andra certifikat-till-användarkonto-bindningar, till exempel att använda ämne + utfärdare eller Utfärdare + serienummer, i den här versionen.
- För närvarande kan lösenord inte inaktiveras när CBA är aktiverat och alternativet att logga in med ett lösenord visas.
Operativsystem som stöds
| Operativsystem | Certifikat på enheten/härledd PIV | Smartkort |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Endast leverantörer som stöds |
| Android | ✅ | Endast leverantörer som stöds |
Webbläsare som stöds
| Operativsystem | Chrome-certifikat på enheten | Chrome-smartkort | Safari-certifikat på enheten | Safari smartkort | Edge-certifikat på enheten | Edge-smartkort |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Endast leverantörer som stöds | ❌ | ❌ |
| Android | ✅ | ❌ | Saknas | Inte tillgänglig | ❌ | ❌ |
Kommentar
På iOS- och Android-mobilen kan Edge-webbläsaranvändare logga in på Edge för att konfigurera en profil med hjälp av Microsoft Authentication Library (MSAL), till exempel Lägg till kontoflöde. När du är inloggad på Edge med en profil stöds CBA med certifikat på enheten och smartkort.
Smartkortsprovidrar
| Provider | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Nästa steg
- Översikt över Microsoft Entra CBA
- Teknisk djupdykning för Microsoft Entra CBA
- Så här konfigurerar du Microsoft Entra CBA
- Windows SmartCard-inloggning med Microsoft Entra CBA
- Microsoft Entra CBA på mobila enheter (Android och iOS)
- CertificateUserIDs
- Så här migrerar du federerade användare
- Vanliga frågor och svar