Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden unterstützte und nicht unterstützte Szenarien für die zertifikatbasierte Microsoft Entra-Authentifizierung behandelt.
Unterstützte Szenarien
Folgende Szenarios werden unterstützt:
- Benutzeranmeldungen bei webbrowserbasierten Anwendungen auf allen Plattformen.
- Benutzeranmeldungen bei mobilen Office-Apps, einschließlich Outlook, OneDrive usw.
- Benutzeranmeldungen in nativen mobilen Browsern.
- Unterstützung differenzierter Authentifizierungsregeln für die mehrstufige Authentifizierung mithilfe von Antragsteller und Richtlinien-OIDs des Zertifikatausstellers.
- Konfigurieren von Zertifikat-zu-Benutzerkonto-Bindungen mithilfe eines der Zertifikatfelder:
- Alternativer Antragstellername (SAN) PrincipalName und SAN RFC822Name
- Subject Key Identifier (SKI) und SHA1PublicKey
- Konfigurieren von Zertifikat-zu-Benutzerkonto-Bindungen mithilfe eines der Benutzerobjektattribute:
- Benutzerprinzipalname
- onPremisesUserPrincipalName
- ZertifikatBenutzerIDs
Nicht unterstützte Szenarien
Folgende Szenarien werden nicht unterstützt:
- Public Key-Infrastruktur zum Erstellen von Clientzertifikaten. Kunden müssen ihre eigene Public Key-Infrastruktur (PKI) konfigurieren und Zertifikate für ihre Benutzer und Geräte bereitstellen.
- Hinweise von der Zertifizierungsstelle werden nicht unterstützt, sodass die Liste der Zertifikate, die für Benutzer in der Benutzeroberfläche angezeigt wird, nicht spezifiziert ist.
- Es wird nur ein CRL-Verteilungspunkt (CDP) für eine vertrauenswürdige Zertifizierungsstelle unterstützt.
- Der CDP kann nur HTTP-URLs sein. Wir unterstützen Online Certificate Status Protocol (OCSP) und Lightweight Directory Access Protocol (LDAP) URLs nicht.
- Das Konfigurieren anderer Zertifikat-zu-Benutzer-Kontobindungen, z. B. die Verwendung des Betreffs +Ausstellers oder ausstellers + Seriennummer, ist in dieser Version nicht verfügbar.
- Derzeit kann das Kennwort nicht deaktiviert werden, wenn CBA aktiviert ist und die Option zum Anmelden mit einem Kennwort angezeigt wird.
Unterstützte Betriebssysteme
| Betriebssystem | Zertifikat geräteintern/Abgeleitetes PIV | Smartcards |
|---|---|---|
| Fenster | ✅ | ✅ |
| macOS | ✅ | ✅ |
| Ios | ✅ | Nur unterstützte Anbieter |
| Android | ✅ | Nur unterstützte Anbieter |
Unterstützte Browser
| Betriebssystem | Chrome-Zertifikat auf dem Gerät | Chrome-Smartkarte | Safari-Zertifikat auf dem Gerät | Safari Smartkarte | Microsoft Edge-Zertifikat auf dem Gerät | Microsoft Edge Smartcard |
|---|---|---|---|---|---|---|
| Fenster | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Ios | ❌ | ❌ | ✅ | Nur unterstützte Anbieter | ❌ | ❌ |
| Android | ✅ | ❌ | N/A | N/A | ❌ | ❌ |
Hinweis
Auf iOS- und Android-Mobilgeräten können sich Microsoft Edge-Browserbenutzer bei Microsoft Edge anmelden, um ein Profil mithilfe der Microsoft Authentication Library (MSAL) einzurichten, z. B. den Fluss "Konto hinzufügen". Wenn Sie mit einem Profil bei Microsoft Edge angemeldet sind, wird CBA mit Zertifikaten und Smartcards auf Geräten unterstützt.
Smartcardanbieter
| Provider | Fenster | macOS | Ios | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Nächste Schritte
- Übersicht über microsoft Entra CBA
- Intensiver Einblick in Microsoft Entra CBA
- Konfigurieren von Microsoft Entra CBA
- Windows-Anmeldung per Smartcard mit Microsoft Entra CBA
- Microsoft Entra CBA-Zertifikatsperrliste
- Zertifikatbasierte Authentifizierung in Microsoft Entra auf Mobilgeräten (Android und iOS)
- CertificateUserIDs
- Migrieren von Verbundbenutzern
- Häufig gestellte Fragen