Logowanie za pomocą karty inteligentnej systemu Windows przy użyciu uwierzytelniania opartego na certyfikatach firmy Microsoft
Użytkownicy firmy Microsoft Entra mogą uwierzytelniać się przy użyciu certyfikatów X.509 na swoich kartach inteligentnych bezpośrednio względem identyfikatora Microsoft Entra ID w logowaniu systemu Windows. Na kliencie systemu Windows nie jest wymagana specjalna konfiguracja do akceptowania uwierzytelniania za pomocą karty inteligentnej.
Środowisko użytkownika
Wykonaj następujące kroki, aby skonfigurować logowanie za pomocą karty inteligentnej systemu Windows:
Dołącz maszynę do identyfikatora Entra firmy Microsoft lub środowiska hybrydowego (przyłączania hybrydowego).
Skonfiguruj usługę Microsoft Entra CBA w dzierżawie zgodnie z opisem w temacie Konfigurowanie usługi Microsoft Entra CBA.
Upewnij się, że użytkownik korzysta z uwierzytelniania zarządzanego lub korzysta z wprowadzania etapowego.
Prezentowanie fizycznej lub wirtualnej karty inteligentnej na maszynie testowej.
Wybierz ikonę karty inteligentnej, wprowadź numer PIN i uwierzytelnij użytkownika.
Użytkownicy otrzymają podstawowy token odświeżania (PRT) z identyfikatora Entra firmy Microsoft po pomyślnym zalogowaniu. W zależności od konfiguracji CBA żądanie ściągnięcia będzie zawierać oświadczenie wieloskładnikowe.
Oczekiwane zachowanie systemu Windows wysyłającego nazwę UPN użytkownika do firmy Microsoft Entra CBA
| Logowanie | Dołączenie do usługi Microsoft Entra | Dołączenie hybrydowe |
|---|---|---|
| Pierwsze logowanie | Ściąganie z certyfikatu | NAZWA UPN usługi AD lub x509Hint |
| Kolejne logowanie | Ściąganie z certyfikatu | Buforowana nazwa UPN firmy Microsoft |
Reguły systemu Windows dotyczące wysyłania nazwy UPN dla urządzeń dołączonych do firmy Microsoft
System Windows najpierw użyje głównej nazwy, a jeśli nie istnieje, to RFC822Name z SubjectAlternativeName (SAN) certyfikatu używanego do logowania się do systemu Windows. Jeśli żadna z nich nie istnieje, użytkownik musi dodatkowo podać wskazówkę dotyczącą nazwy użytkownika. Aby uzyskać więcej informacji, zobacz Wskazówka dotycząca nazwy użytkownika
Reguły systemu Windows dotyczące wysyłania nazwy UPN dla urządzeń dołączonych hybrydowych do firmy Microsoft
Logowanie do przyłączania hybrydowego musi najpierw pomyślnie zalogować się w domenie usługi Active Directory (AD). Nazwa UPN usługi AD użytkowników jest wysyłana do identyfikatora Entra firmy Microsoft. W większości przypadków wartość nazwy UPN usługi Active Directory jest taka sama jak wartość nazwy UPN firmy Microsoft i jest synchronizowana z usługą Microsoft Entra Połączenie.
Niektórzy klienci mogą utrzymywać różne, a czasami mogą mieć nieobsługiwalne wartości NAZWY UPN w usłudze Active Directory (na przykład user@woodgrove.local) W takich przypadkach wartość wysłana przez system Windows może być niezgodna z użytkownikami Microsoft Entra UPN. Aby obsługiwać te scenariusze, w których identyfikator Entra firmy Microsoft nie może być zgodny z wartością wysyłaną przez system Windows, kolejne wyszukiwanie jest wykonywane dla użytkownika z pasującą wartością w atrybucie onPremisesUserPrincipalName . Jeśli logowanie zakończy się pomyślnie, system Windows będzie buforować użytkowników usługi Microsoft Entra UPN i jest wysyłany w kolejnych logowaniach.
Uwaga
We wszystkich przypadkach zostanie wysłana wskazówka logowania użytkownika (X509UserNameHint), jeśli zostanie podana. Aby uzyskać więcej informacji, zobacz Wskazówka dotycząca nazwy użytkownika
Ważne
Jeśli użytkownik dostarcza wskazówkę logowania nazwy użytkownika (X509UserNameHint), podana wartość MUSI być w formacie UPN.
Aby uzyskać więcej informacji na temat przepływu systemu Windows, zobacz Wymagania dotyczące certyfikatów i Wyliczenie (Windows).
Obsługiwane platformy systemu Windows
Logowanie za pomocą karty inteligentnej systemu Windows działa z najnowszą kompilacją wersji zapoznawczej systemu Windows 11. Funkcja jest również dostępna dla tych wcześniejszych wersji systemu Windows po zastosowaniu jednej z następujących aktualizacji KB5017383:
- Windows 11 — kb5017383
- Windows 10 — kb5017379
- Windows Server 20H2 — kb5017380
- Windows Server 2022 — kb5017381
- Windows Server 2019 — kb5017379
Obsługiwane przeglądarki
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Uwaga
Firma Microsoft Entra CBA obsługuje zarówno certyfikaty na urządzeniu, jak i magazyn zewnętrzny, taki jak klucze zabezpieczeń w systemie Windows.
Środowisko windows out of the box (OOBE)
System Windows OOBE powinien zezwolić użytkownikowi na logowanie się przy użyciu zewnętrznego czytnika kart inteligentnych i uwierzytelniać się w usłudze Microsoft Entra CBA. System Windows OOBE domyślnie powinien mieć niezbędne sterowniki kart inteligentnych lub sterowniki kart inteligentnych wcześniej dodane do obrazu systemu Windows przed konfiguracją OOBE.
Ograniczenia i zastrzeżenia
- Platforma Microsoft Entra CBA jest obsługiwana na urządzeniach z systemem Windows, które są dołączone hybrydnie lub microsoft Entra.
- Użytkownicy muszą znajdować się w domenie zarządzanej lub korzystać z wdrożenia etapowego i nie mogą używać modelu uwierzytelniania federacyjnego.
Następne kroki
- Omówienie usługi Microsoft Entra CBA
- Szczegółowe informacje techniczne dotyczące usługi Microsoft Entra CBA
- Jak skonfigurować usługę Microsoft Entra CBA
- Microsoft Entra CBA na urządzeniach z systemem iOS
- Microsoft Entra CBA na urządzeniach z systemem Android
- Identyfikatory użytkownika certyfikatu
- Jak migrować użytkowników federacyjnych
- Często zadawane pytania