本文涵蓋Microsoft Entra 憑證型驗證的支援與不支援案例。
支援的案例
支援下列情境:
- 使用者在所有平臺上登入網頁瀏覽器型應用程式。
- 使用者登入 Office 行動應用程式,包括 Outlook、OneDrive 等等。
- 行動原生瀏覽器上的使用者登入。
- 支援通過使用憑證簽發者 主體 和 策略 OID的細緻驗證規則來實現多重要素驗證。
- 使用任何憑證欄位配置憑證對用戶帳戶的系結:
- 主體替代名稱 (SAN) PrincipalName 和 SAN RFC822Name
- 主體金鑰標識碼 (SKI) 和 SHA1PublicKey
- 使用任何使用者物件屬性來設定憑證與使用者帳戶的綁定:
- 用戶主體名稱
- onPremisesUserPrincipalName
- 使用者證書ID
不支援的案例
不支援下列案例:
- 用來建立客戶端憑證的公鑰基礎結構。 客戶必須設定自己的公鑰基礎結構 (PKI),並為其使用者和裝置布建憑證。
- 不支援證書頒發機構單位提示,因此UI中針對用戶顯示的憑證清單並未設定範圍。
- 僅支援信任 CA 的一個 CRL 發佈點 (CDP)。
- CDP 只能是 HTTP URL。 我們不支援在線憑證狀態通訊協定 (OCSP), 或輕量型目錄存取通訊協定 (LDAP) URL。
- 在此版本中不支援其他憑證對用戶帳戶的綁定,例如:使用 主體 + 發行者,或 發行者 + 序號。
- 目前,啟用 CBA 時無法停用密碼,而且會顯示使用密碼登入的選項。
支援的作業系統
| 操作系統 | 裝置上的憑證/衍生 PIV | 智慧卡 |
|---|---|---|
| 窗戶 | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | 僅限支援特定廠商 |
| Android | ✅ | 僅限支援特定廠商 |
支援的瀏覽器
| 操作系統 | 裝置上的 Chrome 憑證 | Chrome 智慧卡 | 裝置上的Safari憑證 | Safari 智慧卡 | Microsoft裝置上的Edge憑證 | Microsoft Edge 智慧卡 |
|---|---|---|---|---|---|---|
| 窗戶 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | 僅限支援特定廠商 | ❌ | ❌ |
| Android | ✅ | ❌ | N/A | N/A | ❌ | ❌ |
注意
在 iOS 和 Android 行動裝置上,Microsoft Edge 瀏覽器使用者可以登入並使用 Microsoft Authentication Library (MSAL) 來設定設定檔,就像新增帳戶的流程一樣。 使用配置檔登入 Microsoft Edge 時,CBA 支援裝置上的憑證和智慧卡。
智慧卡提供者
| 供應商 | 窗戶 | macOS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |