Přihlášení pomocí čipové karty Windows pomocí ověřování založeného na certifikátu Microsoft Entra
Uživatelé Microsoft Entra se můžou ověřit pomocí certifikátů X.509 na svých čipových kartách přímo proti Microsoft Entra ID při přihlášení k systému Windows. Na klientovi Systému Windows není nutná žádná zvláštní konfigurace, která by přijímala ověřování čipové karty.
Uživatelské prostředí
Pokud chcete nastavit přihlášení pomocí čipové karty Windows, postupujte takto:
Připojte počítač k MICROSOFT Entra ID nebo hybridnímu prostředí (hybridní připojení).
Nakonfigurujte Jazyk CBA Microsoft Entra ve vašem tenantovi, jak je popsáno v tématu Konfigurace jazyka Microsoft Entra CBA.
Ujistěte se, že je uživatel ve spravovaném ověřování nebo pomocí postupného uvedení.
Předáte testovacímu počítači fyzickou nebo virtuální čipovou kartu.
Vyberte ikonu čipové karty, zadejte PIN kód a ověřte uživatele.
Po úspěšném přihlášení uživatelé z ID Microsoft Entra získají primární obnovovací token (PRT). V závislosti na konfiguraci CBA bude prT obsahovat vícefaktorové deklarace identity.
Očekávané chování windows odesílajícího hlavního názvu uživatele (UPN) společnosti Microsoft Entra CBA
| Přihlášení | Připojení Microsoft Entra | Hybridní připojení |
|---|---|---|
| První přihlášení | Vyžádání z certifikátu | UPN nebo x509Hint služby AD |
| Další přihlášení | Vyžádání z certifikátu | Microsoft Entra UPN uložená v mezipaměti |
Pravidla Windows pro odesílání hlavního názvu uživatele (UPN) pro zařízení připojená k Microsoft Entra
Systém Windows nejprve použije hlavní název a pokud není k dispozici, pak rfC822Name z subjectAlternativeName (SAN) certifikátu použitého k přihlášení k Systému Windows. Pokud žádný není k dispozici, musí uživatel navíc zadat nápovědu pro uživatelské jméno. Další informace naleznete v tématu Nápověda pro uživatelské jméno
Pravidla Windows pro odesílání hlavního názvu uživatele (UPN) pro zařízení s hybridním připojeným systémem Microsoft Entra
Přihlášení službou Hybrid Join se musí nejprve úspěšně přihlásit k doméně služby Active Directory (AD). Hlavní název uživatele (UPN) uživatele se odešle na ID Microsoft Entra. Ve většině případů je hodnota hlavního názvu uživatele služby Active Directory stejná jako hodnota hlavního názvu uživatele (UPN) Microsoft Entra a je synchronizována s Microsoft Entra Připojení.
Někteří zákazníci mohou udržovat jiné a někdy mohou mít nesměrovatelné hodnoty hlavního názvu uživatele (UPN) ve službě Active Directory (například user@woodgrove.local) V těchto případech nemusí hodnota odeslaná systémem Windows odpovídat uživatelům Microsoft Entra UPN. Pro podporu těchto scénářů, kdy ID Microsoft Entra nemůže odpovídat hodnotě odeslané systémem Windows, se pro uživatele s odpovídající hodnotou v atributu onPremisesUserPrincipalName provede následné vyhledávání. Pokud je přihlášení úspěšné, systém Windows uloží uživatele do mezipaměti microsoft Entra UPN a odešle se v následných přihlášeních.
Poznámka:
Ve všechpřípadechch Další informace naleznete v tématu Nápověda pro uživatelské jméno
Důležité
Pokud uživatel zadá nápovědu pro přihlášení uživatelského jména (X509UserNameHint), musí být zadaná hodnota ve formátu UPN.
Další informace o toku Windows naleznete v tématu Požadavky na certifikáty a výčet (Windows).
Podporované platformy Windows
Přihlášení pomocí čipové karty Windows funguje s nejnovějším buildem Preview Windows 11. Funkce jsou také k dispozici pro tyto starší verze Windows po instalaci jedné z následujících aktualizací KB5017383:
- Windows 11 – kb5017383
- Windows 10 – kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 – kb5017381
- Windows Server 2019 – kb5017379
Podporované prohlížeče
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Poznámka:
Microsoft Entra CBA podporuje certifikáty na zařízení i externí úložiště, jako jsou klíče zabezpečení ve Windows.
Windows Out of the box experience (OOBE)
Prostředí Windows OOBE by mělo uživateli umožnit přihlášení pomocí externí čtečky čipových karet a ověření v jazyce Microsoft Entra CBA. Windows OOBE by ve výchozím nastavení měly mít před instalací OOBE potřebné ovladače čipových karet nebo ovladače čipových karet, které byly dříve přidány do image systému Windows.
Omezení a upozornění
- Microsoft Entra CBA se podporuje na zařízeních s Windows, která jsou hybridní nebo připojená k Microsoft Entra.
- Uživatelé musí být ve spravované doméně nebo pomocí postupného uvedení a nemůžou používat model federovaného ověřování.