Azure AD 憑證式驗證的限制

本主題涵蓋 Azure Active Directory (Azure AD) 憑證式驗證的支援和不支援案例。

支援的案例

以下是支援的案例:

  • 使用者登入所有平台上的網頁瀏覽器型應用程式。
  • 使用者登入 Office 行動應用程式,包括 Outlook、OneDrive 等等。
  • 使用者登入行動原生瀏覽器。
  • 支援使用憑證簽發者主體原則 OID 進行多重要素驗證的細微驗證規則。
  • 使用任何憑證欄位來設定憑證對使用者帳戶繫結:
    • 主體替代名稱 (SAN) PrincipalName 和 SAN RFC822Name
    • 主體金鑰識別碼 (SKI) 和 SHA1PublicKey
  • 使用任何使用者物件屬性來設定憑證對使用者帳戶繫結:
    • 使用者主體名稱
    • onPremisesUserPrincipalName
    • CertificateUserIds

不支援的案例

不支援下列案例:

  • 用來建立用戶端憑證的公開金鑰基礎結構。 客戶需要設定自己的公開金鑰基礎結構 (PKI),並將憑證佈建到其使用者和裝置。
  • 不支援憑證授權單位提示,因此在 UI 中為使用者顯示的憑證清單未設定範圍。
  • 針對受信任的 CA 只支援一個 CRL 發佈點 (CDP)。
  • CDP 只能是 HTTP URL。 我們不支援線上憑證狀態通訊協定 (OCSP),或輕量型目錄存取協定 (LDAP) URL。
  • 此版本中無法設定其他憑證對使用者帳戶繫結,例如使用 [主旨 + 簽發者] 或 [簽發者 + 序號]。
  • 目前,啟用 CBA 時無法停用密碼,並且會顯示使用密碼登入的選項。

支援的作業系統

作業系統 裝置上的憑證/衍生的 PIV 智慧卡
Windows
macOS
iOS 僅限支援的廠商
Android 僅限支援的廠商

支援的瀏覽器

作業系統 裝置上的 Chrome 憑證 Chrome 智慧卡 裝置上的 Safari 憑證 Safari 智慧卡 裝置上的 Azure IoT Edge 串流分析憑證 Edge 智慧卡
Windows
macOS
iOS 僅限支援的廠商
Android N/A N/A

注意

在 iOS 和 Android 行動裝置上,Edge 瀏覽器使用者可以登入 Edge,以使用 Microsoft 驗證程式庫 (MSAL) 來設定設定檔,例如新增帳戶流程。 使用設定檔登入 Edge 時,裝置上的憑證和智慧卡均支援 CBA。

智慧卡提供者

提供者 Windows Mac OS iOS Android
YubiKey

後續步驟