Microsoft Entra 憑證型驗證的限制
本主題涵蓋 Microsoft Entra 憑證型驗證的支援和不支援案例。
支援的案例
支援下列案例:
- 使用者在所有平臺上登入網頁瀏覽器型應用程式。
- 使用者登入 Office 行動應用程式,包括 Outlook、OneDrive 等等。
- 行動原生瀏覽器上的使用者登入。
- 支援使用憑證簽發者 主體 和 原則 OID 進行多重要素驗證的細微驗證規則。
- 使用任何憑證欄位設定憑證對使用者帳戶系結:
- 主體替代名稱 (SAN) PrincipalName 和 SAN RFC822Name
- 主體金鑰識別碼 (SKI) 和 SHA1PublicKey
- 使用任何使用者物件屬性來設定憑證對使用者帳戶系結:
- 使用者主體名稱
- onPremisesUserPrincipalName
- CertificateUserIds
不支援的情節
不支援下列案例:
- 用來建立用戶端憑證的公開金鑰基礎結構。 客戶必須設定自己的公開金鑰基礎結構 (PKI),並為其使用者和裝置布建憑證。
- 不支援憑證授權單位單位提示,因此 UI 中針對使用者顯示的憑證清單並未設定範圍。
- 僅支援信任 CA 的一個 CRL 發佈點 (CDP)。
- CDP 只能是 HTTP URL。 我們不支援線上憑證狀態通訊協定 (OCSP), 或輕量型目錄存取通訊協定 (LDAP) URL。
- 在此版本中無法使用其他憑證對使用者帳戶系結,例如使用 主體 + 簽發者 或 簽發者 + 序號 。
- 目前,啟用 CBA 時無法停用密碼,而且會顯示使用密碼登入的選項。
受支援的作業系統
| 作業系統 | 裝置上的憑證/衍生 PIV | 智慧卡 |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | 僅支援廠商 |
| Android | ✅ | 僅支援廠商 |
支援的瀏覽器
| 作業系統 | 裝置上的 Chrome 憑證 | Chrome 智慧卡 | 裝置上的 Safari 憑證 | Safari 智慧卡 | 裝置上的 Edge 憑證 | Edge 智慧卡 |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | 僅支援廠商 | ❌ | ❌ |
| Android | ✅ | ❌ | N/A | 無法使用 | ❌ | ❌ |
注意
在 iOS 和 Android 行動裝置上,Edge 瀏覽器使用者可以登入 Edge,使用 Microsoft 驗證程式庫 (MSAL) 來設定設定檔,例如新增帳戶流程。 使用設定檔登入 Edge 時,使用裝置憑證和智慧卡支援 CBA。
智慧卡提供者
| 提供者 | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |