Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se tratan los escenarios admitidos y no admitidos para la autenticación basada en certificados de Microsoft Entra.
Escenarios admitidos
Se admiten los siguientes escenarios:
- El usuario inicia sesión en aplicaciones basadas en explorador web en todas las plataformas.
- Inicios de sesión de usuario en aplicaciones móviles de Office, como Outlook, OneDrive, etc.
- Inicios de sesión de usuario en exploradores nativos móviles.
- Compatibilidad con reglas de autenticación granulares para la autenticación multifactor mediante el emisor de certificados Firmante y los OID de directiva.
- Configuración de enlaces de certificado a cuenta de usuario mediante cualquiera de los campos de certificado:
- Nombre alternativo del firmante (SAN) PrincipalName y SAN RFC822Name
- Identificador de clave del firmante (SKI) y SHA1PublicKey
- Configuración de enlaces de certificados a cuentas de usuario mediante cualquiera de los atributos de un objeto de usuario:
- Nombre principal del usuario
- onPremisesUserPrincipalName
- CertificateUserIds
Escenarios no soportados
No se admiten los escenarios siguientes:
- Infraestructura de clave pública para crear certificados de cliente. Los clientes deben configurar su propia infraestructura de clave pública (PKI) y aprovisionar certificados a sus usuarios y dispositivos.
- No se admiten sugerencias de certificado de autoridad, por lo que la lista de certificados que aparece para los usuarios en la interfaz de usuario no tiene ámbito.
- Solo se admite un punto de distribución de CRL (CDP) para una entidad de certificación de confianza.
- El CDP solo puede ser URLs HTTP. No se admiten direcciones URL de Protocolo de estado de certificado en línea (OCSP) ni Protocolo ligero de acceso a directorios (LDAP).
- La configuración de otros enlaces de cuenta de certificado a usuario, como el uso del firmante + emisor o emisor + número de serie, no está disponible en esta versión.
- Actualmente, no se puede deshabilitar la contraseña cuando CBA está habilitado y se muestra la opción para iniciar sesión con una contraseña.
Sistemas operativos compatibles
| Sistema operativo | Certificado en el dispositivo o PIV derivado | Tarjetas inteligentes |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| Ios | ✅ | Solo proveedores admitidos |
| Androide | ✅ | Solo proveedores admitidos |
Exploradores compatibles
| Sistema operativo | Certificado chrome en el dispositivo | Tarjeta inteligente Chrome | Certificado safari en el dispositivo | Tarjeta inteligente Safari | Certificado de Microsoft Edge en el dispositivo | Tarjeta inteligente de Microsoft Edge |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Ios | ❌ | ❌ | ✅ | Solo proveedores admitidos | ❌ | ❌ |
| Androide | ✅ | ❌ | No disponible | No disponible | ❌ | ❌ |
Nota:
En dispositivos móviles iOS y Android, los usuarios del explorador Microsoft Edge pueden iniciar sesión en Microsoft Edge para configurar un perfil mediante la Biblioteca de autenticación de Microsoft (MSAL), como el flujo Agregar cuenta. Al iniciar sesión en Microsoft Edge con un perfil, se admite la autenticación basada en certificados con certificados en el dispositivo y tarjetas inteligentes.
Proveedores de tarjetas inteligentes
| Proveedor | Windows | macOS | Ios | Androide |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |
Pasos siguientes
- Introducción a Microsoft Entra CBA
- Análisis técnico en profundidad para Microsoft Entra CBA
- Cómo configurar Microsoft Entra CBA
- Inicio de sesión de Windows SmartCard mediante CBA de Microsoft Entra
- CBA de Microsoft Entra en dispositivos móviles (Android e iOS)
- CertificateUserIDs
- Migración de usuarios federados
- Preguntas Frecuentes