Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Pengguna Microsoft Entra dapat mengautentikasi menggunakan sertifikat X.509 pada kartu pintar mereka langsung terhadap ID Microsoft Entra saat masuk Windows. Tidak ada konfigurasi khusus yang diperlukan pada klien Windows untuk menerima autentikasi kartu pintar.
Pengalaman pengguna
Ikuti langkah-langkah berikut untuk menyiapkan masuk kartu pintar Windows.
Gabungkan mesin ke ID Microsoft Entra atau ke lingkungan hibrid (gabungan hibrid).
Konfigurasikan Microsoft Entra CBA di penyewa Anda seperti yang dijelaskan dalam Mengonfigurasi Microsoft Entra CBA.
Pastikan pengguna berada di autentikasi terkelola atau menggunakan Peluncuran Bertahap.
Sajikan kartu pintar fisik atau virtual ke mesin uji.
Pilih ikon kartu pintar, masukkan PIN, dan autentikasi pengguna.
Pengguna akan mendapatkan token refresh utama (PRT) dari ID Microsoft Entra setelah berhasil masuk. Tergantung pada konfigurasi CBA, PRT akan berisi klaim multifaktor.
Perilaku yang diharapkan dari Windows mengirim UPN pengguna ke Microsoft Entra CBA
| Masuk | Bergabung dengan Microsoft Entra | Gabungan hibrid |
|---|---|---|
| Pertama kali masuk | Menarik dari sertifikat | AD UPN atau x509Hint |
| Masuk berikutnya | Menarik dari sertifikat | Cache Microsoft Entra UPN |
Aturan Windows untuk mengirim UPN untuk perangkat yang bergabung dengan Microsoft Entra
Windows akan terlebih dahulu menggunakan nama pokok dan jika nama pokok tidak ada, maka akan menggunakan RFC822Name dari SubjectAlternativeName (SAN) sertifikat yang digunakan untuk masuk ke Windows. Jika tidak satupun dari keduanya tersedia, pengguna juga harus memberikan petunjuk Nama Pengguna. Untuk informasi selengkapnya, lihat Petunjuk Nama Pengguna
Aturan Windows untuk mengirim UPN untuk perangkat gabungan hibrid Microsoft Entra
Masuk Hybrid Join harus terlebih dahulu berhasil masuk ke domain Active Directory (AD). Pengguna AD UPN dikirimkan ke Microsoft Entra ID. Dalam kebanyakan kasus, nilai UPN Direktori Aktif sama dengan nilai UPN Microsoft Entra dan disinkronkan dengan Microsoft Entra Connect.
Beberapa pelanggan mungkin mempertahankan yang berbeda dan terkadang mungkin memiliki nilai UPN yang tidak dapat dirutekan di Direktori Aktif (seperti user@woodgrove.local) Dalam kasus ini nilai yang dikirim oleh Windows mungkin tidak cocok dengan pengguna Microsoft Entra UPN. Untuk mendukung skenario di mana ID Microsoft Entra tidak dapat mencocokkan nilai yang dikirim oleh Windows, pencarian berikutnya dilakukan untuk pengguna dengan nilai yang cocok dalam atribut onPremisesUserPrincipalName mereka. Jika proses masuk berhasil, Windows akan men-cache UPN pengguna Microsoft Entra dan akan digunakan saat masuk berikutnya.
Nota
Dalam semua kasus, petunjuk masuk nama pengguna yang disediakan pengguna (X509UserNameHint) akan dikirim jika disediakan. Untuk informasi selengkapnya, lihat Petunjuk Nama Pengguna
Penting
Jika pengguna memberikan petunjuk masuk nama pengguna (X509UserNameHint), nilai yang disediakan HARUS dalam Format UPN.
Untuk informasi selengkapnya tentang alur Windows, lihat Persyaratan Sertifikat dan Enumerasi (Windows).
Platform Windows yang didukung
Masuk kartu pintar Windows berfungsi dengan build pratinjau terbaru Windows 11. Fungsionalitas ini juga tersedia untuk versi Windows sebelumnya ini setelah Anda menerapkan salah satu pembaruan berikut KB5017383:
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Browser yang didukung
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Nota
Microsoft Entra CBA mendukung sertifikat di perangkat serta penyimpanan eksternal seperti kunci keamanan di Windows.
Pengalaman Windows Out of the box (OOBE)
Windows OOBE harus memungkinkan pengguna untuk masuk menggunakan pembaca kartu pintar eksternal dan mengautentikasi terhadap Microsoft Entra CBA. Windows OOBE secara default harus memiliki driver kartu pintar yang diperlukan atau driver kartu pintar yang sebelumnya ditambahkan ke gambar Windows sebelum penyiapan OOBE.
Pembatasan dan peringatan
- Microsoft Entra CBA didukung pada perangkat Windows yang tergabung dengan hibrid atau Microsoft Entra.
- Pengguna harus berada di domain terkelola atau menggunakan Peluncuran Bertahap dan tidak dapat menggunakan model autentikasi gabungan.
Langkah selanjutnya
- Gambaran umum Microsoft Entra CBA
- Pembahasan mendalam tentang aspek teknis Microsoft Entra CBA
- Cara mengonfigurasi Microsoft Entra CBA
- Daftar Pencabutan Sertifikat CBA Microsoft Entra
- Microsoft Entra CBA di perangkat iOS
- Microsoft Entra CBA di perangkat Android
- ID pengguna sertifikat
- Cara memigrasikan pengguna federasi
- FAQ