Freigeben über


Windows-Smartcardanmeldung mithilfe der zertifikatbasierten Microsoft Entra-Authentifizierung

Microsoft Entra-Benutzer können sich mithilfe von X.509-Zertifikaten auf ihren Smartcards direkt mit Microsoft Entra ID bei der Windows-Anmeldung authentifizieren. Auf dem Windows-Client ist keine spezielle Konfiguration erforderlich, damit die Authentifizierung per Smartcard akzeptiert wird.

Benutzerfreundlichkeit

Führen Sie die folgenden Schritte aus, um die Windows-Smartcardanmeldung einzurichten:

  1. Verknüpfen Sie den Computer entweder mit Microsoft Entra ID oder einer Hybridumgebung (Hybridverknüpfung).

  2. Konfigurieren Sie Microsoft Entra-CBA in Ihrem Mandanten, wie unter Konfigurieren von Microsoft Entra-CBA beschrieben.

  3. Stellen Sie sicher, dass der Benutzer entweder für verwaltete Authentifizierung eingerichtet ist oder einen gestaffelten Rollout verwendet.

  4. Legen Sie dem Testcomputer die physische oder virtuelle Smartcard vor.

  5. Wählen Sie das Smartcardsymbol aus, geben Sie die PIN ein, und authentifizieren Sie den Benutzer.

    Screenshot of smart card sign-in.

Nach erfolgreicher Anmeldung werden Benutzer ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) von Microsoft Entra ID erhalten. Je nach CBA-Konfiguration enthält das PRT den Anspruch für die Multifaktorauthentifizierung.

Erwartetes Verhalten von Windows beim Senden der Benutzer-UPN an Microsoft Entra-CBA

Anmelden Microsoft Entra-Beitritt Hybrideinbindung
Erste Anmeldung Pull aus Zertifikat AD-UPN oder x509Hint
Nachfolgende Anmeldung Pull aus Zertifikat Zwischengespeicherter Microsoft Entra-UPN

Windows-Regeln zum Senden des UPN für mit Microsoft Entra verknüpfte Geräte

Windows verwendet zunächst einen Prinzipalnamen. Wenn ein solcher nicht vorhanden ist, wird der RFC822Name-Wert aus dem SubjectAlternativeName (SAN) des Zertifikats verwendet, das zum Anmelden bei Windows verwendet wird. Wenn keiner dieser Werte vorhanden ist, muss der Benutzer zusätzlich einen Benutzernamenhinweis angeben. Weitere Informationen finden Sie unter Benutzernamenhinweis.

Windows-Regeln zum Senden des UPN für hybrid, mit Microsoft Entra verknüpfte Geräte

Geräte mit Hybrideinbindung müssen sich zunächst erfolgreich bei der Active Directory-Domäne anmelden. Der AD-UPN der Benutzer wird an Microsoft Entra ID gesendet. In den meisten Fällen entspricht der Active Directory-UPN-Wert dem Microsoft Entra-UPN-Wert und wird mit Microsoft Entra Connect synchronisiert.

Einige Kunden pflegen möglicherweise unterschiedliche und manchmal nicht weiterleitbare UPN-Werte in Active Directory (wie z. B. user@woodgrove.local). In diesen Fällen stimmt der von Windows gesendete Wert möglicherweise nicht mit dem Microsoft Entra-UPN des Benutzers überein. Um diese Szenarien zu unterstützen, in denen Microsoft Entra ID keine Übereinstimmung mit dem von Windows gesendeten Wert findet, wird ein nachfolgender Lookupvorgang ausgeführt, bei dem nach einem Benutzer mit einem übereinstimmenden Wert im Attribut onPremisesUserPrincipalName gesucht wird. Wenn die Anmeldung erfolgreich ist, wird Windows den Microsoft Entra-UPN des Benutzers zwischenspeichern und sendet ihn in nachfolgenden Anmeldevorgängen.

Hinweis

In allen Fällen wird ein vom Benutzer bereitgestellter Anmeldehinweis für den Benutzernamen (X509UserNameHint) gesendet, sofern er bereitgestellt wurde. Weitere Informationen finden Sie unter Benutzernamenhinweis.

Wichtig

Wenn ein Benutzer einen Anmeldehinweis für den Benutzernamen (X509UserNameHint) angibt, MUSS der angegebene Wert im UPN-Format vorliegen.

Weitere Informationen zum Windows-Flow finden Sie unter Zertifikatanforderungen und Enumeration (Windows).

Unterstützte Windows-Plattformen

Die Windows-Smartcardanmeldung funktioniert unter dem neuesten Vorschaubuild von Windows 11. Die Funktionalität ist auch für die folgenden früheren Windows-Versionen verfügbar, nachdem einer der folgenden Updates angewendet wurde (KB5017383):

Unterstützte Browser

Microsoft Edge Chrome Safari Firefox

Hinweis

Microsoft Entra-CBA unterstützt Zertifikate sowohl auf dem Gerät als auch in externen Speichern wie z. B. Sicherheitsschlüssel unter Windows.

Windows-Willkommensseite

Die Windows-Willkommensseite sollte es Benutzern ermöglichen, sich mit einem externen Smartcard-Leser anzumelden und mit Microsoft Entra-CBA zu authentifizieren. Die Windows-Willkommensseite sollte standardmäßig über die erforderlichen Smartcardtreiber verfügen. Andernfalls sollten die Smartcardtreiber vor dem Einrichten der Windows-Willkommensseite dem Windows-Image hinzugefügt werden.

Einschränkungen und Vorbehalte

  • Microsoft Entra-CBA wird auf Windows-Geräten unterstützt, die hybrid oder mit Microsoft Entra verknüpft sind.
  • Benutzer müssen sich in einer verwalteten Domäne befinden oder einen gestaffelten Rollout verwenden. Die Verwendung eines Verbundauthentifizierungsmodells ist nicht zulässig.

Nächste Schritte