本文介绍了 Microsoft Entra 基于证书的身份验证的支持和不支持的方案。
支持的方案
支持以下方案:
- 用户在所有平台上登录到基于 Web 浏览器的应用程序。
- 用户登录到 Office 移动应用,包括 Outlook、OneDrive 等。
- 用户在移动设备的系统默认浏览器上登录。
- 通过使用证书颁发者使用者和策略 OID,支持多重身份验证的精细身份验证规则。
- 使用以下任何证书字段配置证书到用户帐户的绑定:
- 使用者备用名称 (SAN) PrincipalName 和 SAN RFC822Name
- 使用者密钥标识符 (SKI) 和 SHA1公钥
- 使用以下任何用户对象属性配置证书到用户帐户的绑定:
- 用户主体名称
- onPremisesUserPrincipalName
- 证书用户ID
不支持的方案
不支持以下方案:
- 用于创建客户端证书的公钥基础结构。 客户需要配置自己的公钥基础结构 (PKI) 并将证书预配到用户和设备。
- 不支持证书颁发机构提示,因此在 UI 中为用户显示的证书列表不受范围限制。
- 仅支持可信 CA 的一个 CRL 分发点 (CDP)。
- CDP 只能是 HTTP URL。 我们不支持联机证书状态协议 (OCSP) 或轻型目录访问协议 (LDAP) URL。
- 此版本不支持配置其他类型的证书与用户账户的绑定,例如 使用者 + 颁发者 或 颁发者 + 序列号。
- 目前,启用 CBA 时无法禁用密码,并且显示使用密码登录的选项。
受支持的操作系统
| 操作系统 | 设备端证书/派生 PIV | 智能卡 |
|---|---|---|
| Windows操作系统 | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | 仅限支持的供应商 |
| 安卓 | ✅ | 仅限支持的供应商 |
支持的浏览器
| 操作系统 | 设备端 Chrome 证书 | Chrome 智能卡 | 设备端 Safari 证书 | Safari 智能卡 | 设备上的 Microsoft Edge 证书 | Microsoft Edge 智能卡 |
|---|---|---|---|---|---|---|
| Windows操作系统 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | 仅限支持的供应商 | ❌ | ❌ |
| 安卓 | ✅ | ❌ | 无 | 无 | ❌ | ❌ |
注释
在 iOS 和 Android 移动版上,Microsoft Edge 浏览器用户可以通过登录 Microsoft Edge 并使用 Microsoft 身份验证库(MSAL),像添加账户流程一样来设置个人配置文件。 使用配置文件登录到 Microsoft Edge 时,设备端证书和智能卡支持 CBA。
智能卡提供商
| 提供者 | Windows操作系统 | macOS | iOS | 安卓 |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |