Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Uživatelé Microsoft Entra se můžou ověřit pomocí certifikátů X.509 na svých čipových kartách přímo proti Microsoft Entra ID při přihlášení k systému Windows. Na klientovi Systému Windows není nutná žádná zvláštní konfigurace, která by přijímala ověřování čipové karty.
Uživatelské prostředí
Pokud chcete nastavit přihlášení pomocí čipové karty Windows, postupujte takto:
Připojte počítač k MICROSOFT Entra ID nebo hybridnímu prostředí (hybridní připojení).
Nakonfigurujte Microsoft Entra CBA ve vašem tenantovi, jak je popsáno v Konfigurace Microsoft Entra CBA.
Ujistěte se, že uživatel buď používá spravované ověřování, nebo Staged Rollout.
Předáte testovacímu počítači fyzickou nebo virtuální čipovou kartu.
Vyberte ikonu čipové karty, zadejte PIN kód a ověřte uživatele.
Po úspěšném přihlášení uživatelé z ID Microsoft Entra získají primární obnovovací token (PRT). V závislosti na konfiguraci CBA bude PRT obsahovat vícefaktorový nárok.
Očekávané chování Windows při odesílání hlavního názvu uživatele (UPN) společnosti Microsoft Entra CBA
| Přihlášení | Připojení Microsoft Entra | Hybridní připojení |
|---|---|---|
| První přihlášení | Stažení z certifikátu | UPN nebo x509Hint pro AD |
| Další přihlášení | Stažení z certifikátu | UPN Microsoft Entra uložený v mezipaměti |
Pravidla Windows pro odesílání hlavního názvu uživatele (UPN) pro zařízení zapojená do Microsoft Entra
Systém Windows nejprve použije hlavní název a pokud není k dispozici, pak RFC822Name z subjectAlternativeName (SAN) certifikátu použitého k přihlášení k systému Windows. Pokud žádný není k dispozici, musí uživatel navíc zadat nápovědu pro uživatelské jméno. Další informace naleznete v části Nápověda pro uživatelské jméno
Pravidla Windows pro odesílání hlavního názvu uživatele (UPN) pro hybridně připojená zařízení systému Microsoft Entra
Přihlášení službou Hybrid Join musí nejprve úspěšně proběhnout k doméně služby Active Directory (AD). Uživatelský UPN systému AD je odeslán do Microsoft Entra ID. Ve většině případů je hodnota UPN služby Active Directory stejná jako hodnota UPN Microsoft Entra a je synchronizována s Microsoft Entra Connect.
Zákazníci mohou mít různé, a někdy nesměrovatelné, hodnoty hlavního názvu uživatele (UPN) v Active Directory (například user@woodgrove.local). V těchto případech nemusí hodnota odeslaná systémem Windows odpovídat Microsoft Entra UPN uživatele. Pro podporu těchto scénářů, kdy ID Microsoft Entra nemůže odpovídat hodnotě odeslané systémem Windows, se pro uživatele s odpovídající hodnotou v atributu onPremisesUserPrincipalName provede následné vyhledávání. Pokud je přihlášení úspěšné, systém Windows uloží do mezipaměti UPN Microsoft Entra uživatele, které se použije při dalších přihlášeních.
Poznámka:
Ve všech případech bude odeslán uživatelsky zadaný přihlašovací název (X509UserNameHint), pokud je zadán. Další informace naleznete v části Nápověda pro uživatelské jméno
Důležité
Pokud uživatel zadá nápovědu pro přihlášení uživatelského jména (X509UserNameHint), zadaná hodnota MUSÍ být ve formátu UPN.
Další informace o toku Windows naleznete v tématu Požadavky na certifikáty a výčet (Windows).
Podporované platformy Windows
Přihlášení pomocí čipové karty Windows funguje s nejnovějším buildem Preview Windows 11. Funkce jsou také k dispozici pro tyto starší verze Systému Windows po instalaci jedné z následujících aktualizací KB5017383:
- Windows 11 – kb5017383
- Windows 10 – kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 – kb5017381
- Windows Server 2019 – kb5017379
Podporované prohlížeče
| Okraj | Chrom | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Poznámka:
Microsoft Entra CBA podporuje certifikáty na zařízení i externí úložiště, jako jsou klíče zabezpečení ve Windows.
Windows Out of the box experience (OOBE)
Prostředí Windows OOBE by mělo uživateli umožnit přihlášení pomocí externí chytré čtečky karet a autentizaci pomocí Microsoft Entra CBA. Windows OOBE by ve výchozím nastavení měly mít před instalací OOBE potřebné ovladače čipových karet nebo ovladače čipových karet, které byly dříve přidány do image systému Windows.
Omezení a upozornění
- Microsoft Entra CBA se podporuje na zařízeních s Windows, která jsou hybridní nebo připojená k Microsoft Entra.
- Uživatelé musí být ve spravované doméně nebo pomocí postupného uvedení a nemůžou používat model federovaného ověřování.