Limitações com a autenticação baseada em certificado do Microsoft Entra
Este tópico cobre cenários com e sem suporte para autenticação baseada em certificado do Microsoft Entra.
Cenários com suporte
Os cenários a seguir têm suporte:
- Entradas de usuário em aplicativos com base em navegador da Web em todas as plataformas.
- Entradas de usuário em aplicativos móveis do Office, incluindo Outlook, OneDrive e assim por diante.
- Entradas de usuário em navegadores móveis nativos.
- Suporte para regras de autenticação granulares para autenticação multifator usando o Assunto e os OIDs da política do emissor do certificado.
- Configurando associações de conta de certificado para usuário usando qualquer um dos campos de certificado:
- Nome Alternativo do Assunto (SAN) Nome Principal e SAN RFC822Name
- Identificador de chave de assunto (SKI) e SHA1PublicKey
- Configurando associações de conta de certificado para usuário usando qualquer um dos atributos de objeto do usuário:
- Nome UPN
- onPremisesUserPrincipalName
- CertificateUserIds
Cenários sem suporte
Ainda não há suporte para os cenários a seguir:
- Infraestrutura de Chave Pública para criar certificados de cliente. Os clientes precisam configurar sua própria PKI (Infraestrutura de Chave Pública) e provisionar certificados para os usuários e dispositivos.
- Não há suporte para dicas de Autoridade de Certificação, portanto, a lista de certificados exibida para usuários na interface do usuário não está no escopo.
- Há suporte para apenas um CDP (ponto de distribuição de CRL) para uma AC confiável.
- O CDP pode ser apenas URLs HTTP. Não há suporte para URLs de Protocolo OCSP ou de protocolo LDAP.
- A configuração de outras associações de conta de certificado para usuário, como usar o assunto + emissor ou Emissor + número de série, não está disponível nesta versão.
- No momento, a senha não pode ser desabilitada quando a CBA está habilitada e a opção de entrar usando uma senha é exibida.
Sistemas operacionais com suporte
| Sistema operacional | Certificado no dispositivo/PIV derivado | Cartões inteligentes |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Somente fornecedores com suporte |
| Android | ✅ | Somente fornecedores com suporte |
Navegadores com suporte
| Sistema operacional | Certificado do Chrome no dispositivo | Cartão inteligente do Chrome | Certificado Safari no dispositivo | Cartão inteligente Safari | Certificado do Edge no dispositivo | Cartão inteligente do Edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Somente fornecedores com suporte | ❌ | ❌ |
| Android | ✅ | ❌ | N/D | N/D | ❌ | ❌ |
Observação
Em dispositivos móveis iOS e Android, os usuários do navegador Edge podem entrar no Edge para configurar um perfil usando a Microsoft Authentication Library (MSAL), como o fluxo Adicionar conta. Quando conectado ao Edge com um perfil, o CBA é compatível com certificados e cartões inteligentes no dispositivo.
Provedores de cartão inteligente
| Provedor | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Próximas etapas
- Visão geral da CBA do Microsoft Entra
- Aprofundamento técnico para CBA do Microsoft Entra
- Como configurar a CBA do Microsoft Entra
- Logon do Windows SmartCard utilizando a CBA do Microsoft Entra
- CBA do Microsoft Entra nos dispositivos móveis (Android e iOS)
- CertificateUserIDs
- Como migrar usuários federados
- perguntas frequentes