什么是 Microsoft Entra 基于证书的身份验证？

组织可以使用Microsoft基于证书的身份验证（CBA）来允许或要求用户使用在Microsoft Entra ID 中进行身份验证的 X.509 证书直接进行身份验证，以便应用程序和浏览器登录。

使用此功能采用防钓鱼身份验证，并使用 X.509 证书对公钥基础结构（PKI）进行身份验证。

什么是 Microsoft Entra CBA？

在云托管支持 Microsoft Entra ID 中的 CBA 功能推出之前，组织必须实施联合 CBA，以便用户使用 X.509 证书针对 Microsoft Entra ID 进行身份验证。 它包括部署 Active Directory 联合身份验证服务（AD FS）。 使用 Microsoft Entra CBA，可以直接针对 Microsoft Entra ID 进行身份验证，并无需联合 AD FS，从而简化环境和降低成本。

下图显示了 Microsoft Entra CBA 如何通过消除联合 AD FS 来简化您的环境。

具有联合 AD FS 的 CBA

Microsoft Entra CBA

使用 Microsoft Entra CBA 的主要优势

支持的方案

支持以下方案：

• 用户登录到所有平台上基于 Web 浏览器的应用程序

• 用户登录到 iOS 和 Android 平台上的 Office 移动应用，以及 Windows 中的 Office 本机应用，包括 Outlook 和 OneDrive

• 移动原生浏览器上的用户登录

• 使用证书颁发者主体和策略 OID 为 MFA 制定细粒度身份验证规则

• 可以使用任何证书字段将证书与用户帐户绑定：

  • SubjectAlternativeName （SAN）、 PrincipalName和 RFC822Name
  • SubjectKeyIdentifier （SKI） 和 SHA1PublicKey
  • IssuerAndSubject 和 IssuerAndSerialNumber

• 使用任何用户对象属性来实现证书与用户帐户的绑定：

  • userPrincipalName
  • onPremisesUserPrincipalName
  • certificateUserIds

不支持的方案

不支持以下方案：

• 不支持证书颁发机构（CA）提示信息。 证书选取器 UI 中为用户显示的证书列表未限定范围。
• 仅支持受信任的 CA 的一个 CRL 分发点（CDP）。
• CDP 只能是 HTTP URL。 我们不支持联机证书状态协议（OCSP）或轻型目录访问协议（LDAP）URL。
• 无法关闭密码作为身份验证方法。 即使Microsoft Entra CBA 方法可供用户使用，也会出现使用密码登录的选项。

Windows Hello 企业版证书的已知限制

尽管 Windows Hello 企业版可用于 Microsoft Entra ID 中的 MFA，但新的 MFA 不支持 Windows Hello 企业版。 可以选择使用 Windows Hello 企业版密钥/对为用户注册证书。 正确配置后，Windows Hello 企业版证书可用于 Microsoft Entra ID 中的 MFA。

Windows Hello 企业版证书与 Microsoft Edge 和 Chrome 浏览器中Microsoft Entra CBA 兼容。 目前，Windows Hello 企业版证书在非浏览方案中（如 Office 365 应用程序中）与 Microsoft Entra CBA 不兼容。 解决方法是使用 “登录 Windows Hello”或“安全密钥 ”选项登录（如果可用）。 此选项不使用证书进行身份验证，并避免Microsoft Entra CBA 出现问题。 在某些早期应用程序中，此选项可能不可用。

范围不足

以下方案超出了 Microsoft Entra CBA 的范围：

• 创建或提供用于创建客户端证书的公钥基础结构（PKI）。 必须配置自己的 PKI 并向用户和设备预配证书。

相关内容

• Microsoft Entra CBA 技术概念
• 设置 Microsoft Entra CBA
• iOS 设备上的 Microsoft Entra CBA
• Android 设备上的 Microsoft Entra CBA
• 通过 Microsoft Entra CBA 使用智能卡登录 Windows
• 证书用户 ID
• 迁移联合用户
• 常见问题解答