Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article traite des scénarios pris en charge et non pris en charge pour l’authentification basée sur des certificats Microsoft Entra.
Scénarios pris en charge
Les scénarios suivants sont pris en charge :
- Les utilisateurs se connectent aux applications basées sur un navigateur web sur toutes les plateformes possibles.
- Connexions utilisateur aux applications mobiles Office, notamment Outlook, OneDrive, et ainsi de suite.
- Connexions des utilisateurs sur les navigateurs mobiles natifs.
- Prise en charge de règles d’authentification granulaires pour l’authentification multifacteur à l’aide de l’émetteur du certificat, de l’Objet et des OID de stratégie (policy OIDs).
- Configuration des liaisons compte d'utilisateur–certificat à l'aide de l'un quelconque des champs de certificat :
- Autre nom d’objet (SAN) PrincipalName et SAN RFC822Name
- Identificateur de clé d’objet (SKI) et SHA1PublicKey
- Configuration des liaisons compte d'utilisateur–certificat à l'aide de l'un quelconque des attributs d'objet utilisateur :
- Nom d’utilisateur principal
- onPremisesUserPrincipalName
- CertificateUserIds
Scénarios non pris en charge
Les scénarios suivants ne sont pas pris en charge :
- Infrastructure à clé publique pour créer des certificats clients. Les clients doivent configurer leur propre infrastructure à clé publique (PKI) et provisionner des certificats pour leurs utilisateurs et leurs appareils.
- Les indicateurs d’autorité de certification ne sont pas pris en charge. Donc, la liste des certificats qui apparaissent pour les utilisateurs dans l’interface utilisateur n’est pas délimitée.
- Un seul point de distribution de liste de révocation de certificats (CDP) pour une autorité de certification approuvée est pris en charge.
- Le CDP peut être uniquement des URL HTTP. Nous ne prenons pas en charge le protocole OCSP (Online Certificate Status Protocol) ou les URL LDAP (Lightweight Directory Access Protocol).
- La configuration d’autres liaisons de compte de certificat à utilisateur, telles que l’utilisation de l’objet + émetteur ou émetteur + numéro de série, n’est pas disponible dans cette version.
- Actuellement, le mot de passe ne peut pas être désactivé lorsque l'authentification basée sur des certificats est activée et que l'option de se connecter avec un mot de passe s'affiche.
Systèmes d'exploitation pris en charge
| Système d’exploitation | Certificat sur l’appareil/PIV dérivé | Cartes à puce |
|---|---|---|
| Fenêtres | ✅ | ✅ |
| macOS | ✅ | ✅ |
| Ios | ✅ | Fournisseurs pris en charge uniquement |
| Android | ✅ | Fournisseurs pris en charge uniquement |
Navigateurs pris en charge
| Système d’exploitation | Certificat Chrome sur un appareil | Carte à puce Chrome | Certificat Safari sur un appareil | Carte à puce Safari | Certificat Microsoft Edge sur appareil | Carte à puce Microsoft Edge |
|---|---|---|---|---|---|---|
| Fenêtres | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Ios | ❌ | ❌ | ✅ | Fournisseurs pris en charge uniquement | ❌ | ❌ |
| Android | ✅ | ❌ | N/A | N/A | ❌ | ❌ |
Remarque
Sur iOS et Android mobile, les utilisateurs du navigateur Microsoft Edge peuvent se connecter à Microsoft Edge pour configurer un profil à l’aide de la bibliothèque d’authentification Microsoft (MSAL), comme le flux Ajouter un compte. Quand vous êtes connecté à Microsoft Edge avec un profil, l'authentification basée sur les certificats (CBA) est prise en charge avec des certificats et des cartes à puce sur l'appareil.
Fournisseurs de cartes à puce
| Fournisseur | Fenêtres | macOS | Ios | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Étapes suivantes
- Vue d’ensemble de Microsoft Entra CBA
- Présentation technique approfondie de Microsoft Entra CBA
- Guide pratique pour configurer Microsoft Entra CBA
- Ouverture de session par carte à puce Windows avec l'authentification CBA Microsoft Entra
- Liste de révocation de certificats Microsoft Entra CBA
- Authentification basée sur certificat Microsoft Entra sur les appareils mobiles (Android et iOS)
- CertificateUserIDs
- Comment migrer des utilisateurs fédérés
- FORUM AUX QUESTIONS