Aanmelden met Een Windows-smartcard met microsoft Entra-verificatie op basis van certificaten
Microsoft Entra-gebruikers kunnen zich verifiëren met behulp van X.509-certificaten op hun smartcards rechtstreeks tegen Microsoft Entra ID bij aanmelding bij Windows. Er is geen speciale configuratie nodig op de Windows-client om de smartcardverificatie te accepteren.
Gebruikerservaring
Volg deze stappen om aanmelding voor Windows-smartcard in te stellen:
Voeg de machine toe aan Microsoft Entra ID of een hybride omgeving (hybrid join).
Configureer Microsoft Entra CBA in uw tenant zoals beschreven in Microsoft Entra CBA configureren.
Zorg ervoor dat de gebruiker zich in beheerde verificatie bevindt of dat de gefaseerde implementatie wordt gebruikt.
Presenteer de fysieke of virtuele smartcard aan de testmachine.
Selecteer het smartcardpictogram, voer de pincode in en verifieer de gebruiker.
Gebruikers krijgen na de geslaagde aanmelding een primair vernieuwingstoken (PRT) van Microsoft Entra ID. Afhankelijk van de CBA-configuratie bevat de PRT de meervoudige claim.
Verwacht gedrag van Windows waarmee gebruikers UPN naar Microsoft Entra CBA worden verzonden
| Aanmelden | Microsoft Entra koppeling | Hybride deelname |
|---|---|---|
| Eerste aanmelding | Ophalen uit certificaat | AD UPN of x509Hint |
| Volgende aanmelding | Ophalen uit certificaat | Microsoft Entra UPN in cache |
Windows-regels voor het verzenden van UPN voor aan Microsoft Entra gekoppelde apparaten
Windows gebruikt eerst een principal-naam en zo niet aanwezig dan RFC822Name van de SubjectAlternativeName (SAN) van het certificaat dat wordt gebruikt om u aan te melden bij Windows. Als geen van beide aanwezig is, moet de gebruiker ook een hint voor de gebruikersnaam opgeven. Zie Hint voor gebruikersnaam voor meer informatie
Windows-regels voor het verzenden van UPN voor hybride apparaten van Microsoft Entra
Aanmelden bij Hybrid Join moet eerst zijn aangemeld bij het Active Directory(AD)-domein. De GEBRUIKERS AD UPN worden verzonden naar De Microsoft Entra-id. In de meeste gevallen is de UPN-waarde van Active Directory hetzelfde als de UPN-waarde van Microsoft Entra en wordt gesynchroniseerd met Microsoft Entra Verbinding maken.
Sommige klanten kunnen verschillende en soms niet-routeerbare UPN-waarden hebben in Active Directory (zoals user@woodgrove.local) In deze gevallen komt de waarde die door Windows wordt verzonden mogelijk niet overeen met de gebruikers Microsoft Entra UPN. Ter ondersteuning van deze scenario's waarbij Microsoft Entra-id niet overeenkomt met de waarde die door Windows wordt verzonden, wordt een volgende zoekopdracht uitgevoerd voor een gebruiker met een overeenkomende waarde in het kenmerk onPremisesUserPrincipalName . Als de aanmelding is geslaagd, worden de gebruikers in de cache opgeslagen in de cache van Microsoft Entra UPN en worden ze verzonden in volgende aanmeldingen.
Notitie
In alle gevallen wordt een door de gebruiker opgegeven hint voor aanmelding met gebruikersnaam (X509UserNameHint) verzonden indien opgegeven. Zie Hint voor gebruikersnaam voor meer informatie
Belangrijk
Als een gebruiker een hint voor gebruikersnaamaanmelding (X509UserNameHint) levert, moet de opgegeven waarde in UPN-indeling zijn.
Zie Certificaatvereisten en Opsomming (Windows) voor meer informatie over de Windows-stroom.
Ondersteunde Windows-platforms
De aanmelding van de Windows-smartcard werkt met de nieuwste preview-versie van Windows 11. De functionaliteit is ook beschikbaar voor deze eerdere Windows-versies nadat u een van de volgende updates hebt toegepast KB5017383:
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Ondersteunde browsers
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Notitie
Microsoft Entra CBA ondersteunt zowel certificaten op het apparaat als externe opslag, zoals beveiligingssleutels in Windows.
Windows Out of the Box Experience (OOBE)
Windows OOBE moet de gebruiker toestaan zich aan te melden met behulp van een externe smartcardlezer en zich te verifiëren bij Microsoft Entra CBA. Windows OOBE moet standaard beschikken over de benodigde smartcardstuurprogramma's of de smartcardstuurprogramma's die eerder aan de Windows-installatiekopieën zijn toegevoegd voordat OOBE wordt ingesteld.
Beperkingen en opmerkingen
- Microsoft Entra CBA wordt ondersteund op Windows-apparaten die zijn toegevoegd aan hybride of Microsoft Entra.
- Gebruikers moeten zich in een beheerd domein bevinden of gefaseerde implementatie gebruiken en kunnen geen federatief verificatiemodel gebruiken.