Limitazioni con l'autenticazione basata su certificati Microsoft Entra
Questo argomento illustra gli scenari supportati e non supportati per l'autenticazione basata su certificati Microsoft Entra.
Scenari supportati
Sono supportati gli scenari che seguono:
- Accessi utente alle applicazioni basate su Web browser in tutte le piattaforme.
- Accessi utente alle app office per dispositivi mobili, tra cui Outlook, OneDrive e così via.
- Accessi utente nei browser nativi per dispositivi mobili.
- Supporto per regole di autenticazione granulari per l'autenticazione a più fattori usando l'oggetto dell'autorità di certificazione e gli ID dei criteri.
- Configurazione delle associazioni di account da certificato a utente usando uno dei campi del certificato:
- Nome alternativo soggetto (SAN) PrincipalName e SAN RFC822Name
- Identificatore chiave soggetto (SKI) e SHA1PublicKey
- Configurazione delle associazioni di account da certificato a utente tramite uno degli attributi dell'oggetto utente:
- Nome entità utente
- onPremisesUserPrincipalName
- CertificateUserIds
Scenari non supportati
Gli scenari seguenti non sono supportati:
- Infrastruttura a chiave pubblica per la creazione di certificati client. I clienti devono configurare la propria infrastruttura a chiave pubblica (PKI) e effettuare il provisioning dei certificati ai propri utenti e dispositivi.
- Gli hint dell'autorità di certificazione non sono supportati, quindi l'elenco dei certificati visualizzati per gli utenti nell'interfaccia utente non ha ambito.
- È supportato un solo punto di distribuzione CRL (CDP) per una CA attendibile.
- Cdp può essere solo URL HTTP. Gli URL LDAP (Lightweight Directory Access Protocol) non sono supportati da Online Certificate Status Protocol (OCSP).
- La configurazione di altre associazioni di account da certificato a utente, ad esempio l'uso dell'oggetto + autorità di certificazione o emittente + numero di serie, non sono disponibili in questa versione.
- Attualmente, la password non può essere disabilitata quando CBA è abilitata e viene visualizzata l'opzione per accedere usando una password.
Sistemi operativi supportati
| Sistema operativo | Certificato sul dispositivo/PIV derivato | Smart card |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Solo fornitori supportati |
| Android | ✅ | Solo fornitori supportati |
Browser supportati
| Sistema operativo | Certificato Chrome nel dispositivo | Smart card Chrome | Certificato Safari nel dispositivo | Smart card Safari | Certificato Edge nel dispositivo | Smart card Edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Solo fornitori supportati | ❌ | ❌ |
| Android | ✅ | ❌ | N/A | N/A | ❌ | ❌ |
Nota
In dispositivi mobili iOS e Android gli utenti del browser Edge possono accedere a Edge per configurare un profilo usando Microsoft Authentication Library (MSAL), come il flusso Aggiungi account. Quando è stato eseguito l'accesso a Edge con un profilo, L'autorità di certificazione è supportata con i certificati sul dispositivo e le smart card.
Provider di smart card
| Provider | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Passaggi successivi
- Panoramica di Microsoft Entra CBA
- Approfondimento tecnico per Microsoft Entra CBA
- Come configurare Microsoft Entra CBA
- Accesso a Smart Card di Windows con Microsoft Entra CBA
- Microsoft Entra CBA nei dispositivi mobili (Android e iOS)
- CertificateUserIDs
- Come eseguire la migrazione di utenti federati
- Domande frequenti