Microsoft Entra 憑證型驗證的限制
本主題涵蓋 Microsoft Entra 憑證型驗證的支援和不支援案例。
支援的案例
以下是支援的案例:
- 使用者在所有平台上登入網頁瀏覽器型應用程式。
- 使用者登入 Office 行動應用程式,包括 Outlook、OneDrive 等等。
- 使用者在行動原生瀏覽器上登入。
- 支援使用憑證簽發者主體和原則 OID 進行多重要素驗證的細微驗證規則。
- 使用任何憑證欄位來設定憑證對用戶帳戶繫結:
- 主體替代名稱 (SAN) PrincipalName 和 SAN RFC822Name
- 主體金鑰識別碼 (SKI) 和 SHA1PublicKey
- 使用任何使用者物件屬性來設定憑證對用戶帳戶繫結:
- 使用者主體名稱
- onPremisesUserPrincipalName
- CertificateUserIds
不支援的情節
不支援下列案例:
- 用來建立用戶端憑證的公開金鑰基礎結構。 客戶需要設定自己的公開金鑰基礎結構 (PKI),並將憑證佈建到其使用者和裝置。
- 不支援憑證授權單位提示,因此在 UI 中為使用者顯示的憑證清單未設定範圍。
- 受信任的 CA 僅支援一個 CRL 發佈點 (CDP)。
- CDP 只能是 HTTP URL。 我們不支援線上憑證狀態通訊協定 (OCSP),或輕量型目錄存取協定 (LDAP) URL。
- 此版本中無法設定其他憑證對使用者帳戶繫結,例如使用 [主旨 + 簽發者] 或 [簽發者 + 序號]。
- 目前,啟用 CBA 時無法停用密碼,並且會顯示使用密碼登入的選項。
受支援的作業系統
| 作業系統 | 裝置上的憑證/衍生的 PIV | 智慧卡 |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | 僅限支援的廠商 |
| Android | ✅ | 僅限支援的廠商 |
支援的瀏覽器
| 作業系統 | 裝置上的 Chrome 憑證 | Chrome 智慧卡 | 裝置上的 Safari 憑證 | Safari 智慧卡 | 裝置上的 Azure IoT Edge 串流分析憑證 | Edge 智慧卡 |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | 僅限支援的廠商 | ❌ | ❌ |
| Android | ✅ | ❌ | N/A | 無法使用 | ❌ | ❌ |
注意
在 iOS 和 Android 行動裝置上,Edge 瀏覽器使用者可以登入 Edge,以使用 Microsoft 驗證程式庫 (MSAL) 來設定設定檔,例如新增帳戶流程。 使用設定檔登入 Edge 時,裝置上的憑證和智慧卡均支援 CBA。
智慧卡提供者
| Provider | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |