Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los usuarios de Microsoft Entra pueden autenticarse mediante certificados X.509 en sus tarjetas inteligentes directamente con Microsoft Entra ID en el inicio de sesión de Windows. No se necesita ninguna configuración especial en el cliente de Windows para aceptar la autenticación de tarjeta inteligente.
Experiencia del usuario
Siga estos pasos para configurar el inicio de sesión con tarjeta inteligente de Windows:
Conecte la máquina a Microsoft Entra ID o a un entorno híbrido (conexión híbrida).
Configura Microsoft Entra CBA en tu cliente tal y como se describe en Configuración de Microsoft Entra CBA.
Asegúrese de que el usuario está en autenticación administrada o utilizando Staged Rollout.
Presente la tarjeta inteligente física o virtual a la máquina de prueba.
Seleccione el icono de tarjeta inteligente, escriba el PIN y autentíquelo.
Los usuarios obtendrán un token de actualización principal (PRT) de Microsoft Entra ID después del inicio de sesión correcto. Según la configuración de CBA, el PRT contendrá la notificación multifactor.
Comportamiento esperado de Windows al enviar el Nombre Principal de Usuario (UPN) a Microsoft Entra CBA
| Inicio de sesión | Unirse a Microsoft Entra | Unión híbrida |
|---|---|---|
| Primero, inicie sesión | Extracción del certificado | UPN de AD o x509Hint |
| Inicio de sesión posterior | Extracción del certificado | UPN de Microsoft Entra almacenados en caché |
Reglas de Windows para enviar UPN para dispositivos unidos a Microsoft Entra
Windows usará primero un nombre principal y, si no está presente, RFC822Name del SubjectAlternativeName (SAN) del certificado que se usa para iniciar sesión en Windows. Si ninguno está presente, el usuario debe proporcionar además una sugerencia de nombre de usuario. Para obtener más información, consulte Sugerencia de nombre de usuario.
Reglas de Windows para enviar UPN para dispositivos híbridos unidos a Microsoft Entra
El inicio de sesión de Unión híbrida primero debe iniciar sesión correctamente en el dominio de Active Directory (AD). El UPN de los usuarios de AD se envía a Microsoft Entra ID. En la mayoría de los casos, el valor de UPN de Active Directory es el mismo que el valor de UPN de Microsoft Entra y se sincroniza con Microsoft Entra Connect.
Algunos clientes pueden mantener diferentes y, a veces, pueden tener valores UPN no enrutables en Active Directory (como user@woodgrove.local) En estos casos, es posible que el valor enviado por Windows no coincida con los usuarios microsoft Entra UPN. Para admitir estos escenarios en los que el identificador de Entra de Microsoft no puede coincidir con el valor enviado por Windows, se realiza una búsqueda posterior para un usuario con un valor coincidente en su atributo onPremisesUserPrincipalName . Si el inicio de sesión se realiza correctamente, Windows almacenará en caché los usuarios el UPN de Microsoft Entra y se enviará en inicios de sesión posteriores.
Nota:
En todos los casos, se enviará una sugerencia de inicio de sesión de nombre de usuario proporcionada por el usuario (X509UserNameHint) si se proporciona. Para obtener más información, consulte Sugerencia de nombre de usuario.
Importante
Si un usuario proporciona una sugerencia de inicio de sesión de nombre de usuario (X509UserNameHint), el valor proporcionado debe estar en formato UPN.
Para obtener más información sobre el flujo de Windows, consulte Requisitos de certificado y enumeración (Windows).
Plataformas windows compatibles
El inicio de sesión de la tarjeta inteligente de Windows funciona con la versión preliminar más reciente de Windows 11. La funcionalidad también está disponible para estas versiones anteriores de Windows después de aplicar una de las siguientes actualizaciones KB5017383:
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Exploradores compatibles
| Edge | Cromo | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Nota:
Microsoft Entra CBA admite ambos certificados en el dispositivo, así como almacenamiento externo, como claves de seguridad en Windows.
Experiencia rápida de Windows (OOBE)
OOBE de Windows debe permitir al usuario iniciar sesión con un lector de tarjetas inteligentes externo y autenticarse en Microsoft Entra CBA. De forma predeterminada, OOBE de Windows debe tener los controladores de tarjeta inteligente necesarios o los controladores de tarjeta inteligente previamente agregados a la imagen de Windows antes de la configuración de OOBE.
Restricciones y advertencias
- Microsoft Entra CBA es compatible con dispositivos Windows que están configurados como híbridos o asociados a Microsoft Entra.
- Los usuarios deben estar en un dominio administrado o usar el lanzamiento preconfigurado y no pueden usar un modelo de autenticación federada.
Pasos siguientes
- Introducción a Microsoft Entra CBA
- Análisis técnico en profundidad para Microsoft Entra CBA
- Cómo configurar Microsoft Entra CBA
- Lista de revocación de certificados de Microsoft Entra CBA
- Microsoft Entra CBA en dispositivos iOS
- Autenticación basada en certificados de Microsoft Entra en dispositivos Android
- Identificadores de usuario de certificado
- Migración de usuarios federados
- Preguntas Frecuentes