Entrada de cartão inteligente do Windows usando autenticação baseada em certificado Microsoft Entra
Os usuários do Microsoft Entra podem se autenticar usando certificados X.509 em seus cartões inteligentes diretamente contra a ID do Microsoft Entra na entrada do Windows. Não é necessária nenhuma configuração especial no cliente Windows para aceitar a autenticação de cartão inteligente.
Experiência de utilizador
Siga estes passos para configurar o início de sessão com cartão inteligente do Windows:
Junte a máquina ao Microsoft Entra ID ou a um ambiente híbrido (associação híbrida).
Configure o Microsoft Entra CBA em seu locatário conforme descrito em Configurar o Microsoft Entra CBA.
Verifique se o usuário está em autenticação gerenciada ou usando a distribuição em estágios.
Apresente o cartão inteligente físico ou virtual à máquina de teste.
Selecione o ícone do cartão inteligente, insira o PIN e autentique o usuário.
Os usuários receberão um token de atualização primário (PRT) da ID do Microsoft Entra após a entrada bem-sucedida. Dependendo da configuração do CBA, o PRT conterá a reivindicação multifatorial.
Comportamento esperado do Windows enviando UPN do usuário para o Microsoft Entra CBA
| Iniciar sessão | Associação ao Microsoft Entra | Associação híbrida |
|---|---|---|
| Primeiro início de sessão | Extrair do certificado | AD UPN ou x509Hint |
| Início de sessão subsequente | Extrair do certificado | UPN Microsoft Entra em cache |
Regras do Windows para enviar UPN para dispositivos associados ao Microsoft Entra
O Windows usará primeiro um nome principal e, se não estiver presente, RFC822Name do SubjectAlternativeName (SAN) do certificado que está sendo usado para entrar no Windows. Se nenhum dos dois estiver presente, o usuário deve fornecer adicionalmente uma dica de nome de usuário. Para obter mais informações, consulte Dica de nome de usuário
Regras do Windows para enviar UPN para dispositivos híbridos associados ao Microsoft Entra
O início de sessão de Adesão Híbrida tem primeiro de iniciar sessão com êxito no domínio do Ative Directory (AD). Os usuários AD UPN é enviado para o Microsoft Entra ID. Na maioria dos casos, o valor UPN do Ative Directory é o mesmo que o valor UPN do Microsoft Entra e é sincronizado com o Microsoft Entra Connect.
Alguns clientes podem manter valores UPN diferentes e, às vezes, podem ter valores UPN não roteáveis no Ative Directory (como user@woodgrove.local) Nestes casos, o valor enviado pelo Windows pode não corresponder aos utilizadores Microsoft Entra UPN. Para dar suporte a esses cenários em que o Microsoft Entra ID não pode corresponder ao valor enviado pelo Windows, uma pesquisa subsequente é executada para um usuário com um valor correspondente em seu atributo onPremisesUserPrincipalName . Se a entrada for bem-sucedida, o Windows armazenará em cache os usuários Microsoft Entra UPN e será enviado em entradas subsequentes.
Nota
Em todos os casos, uma dica de login de nome de usuário fornecida pelo usuário (X509UserNameHint) será enviada, se fornecida. Para obter mais informações, consulte Dica de nome de usuário
Importante
Se um usuário fornecer uma dica de login de nome de usuário (X509UserNameHint), o valor fornecido DEVE estar no formato UPN.
Para obter mais informações sobre o fluxo do Windows, consulte Requisitos de certificado e enumeração (Windows).
Plataformas Windows suportadas
O início de sessão do cartão inteligente do Windows funciona com a versão de pré-visualização mais recente do Windows 11. A funcionalidade também está disponível para essas versões anteriores do Windows depois de aplicar uma das seguintes atualizações KB5017383:
- janelas 11 - kb5017383
- Janelas 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Browsers suportados
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Nota
O Microsoft Entra CBA suporta certificados no dispositivo, bem como armazenamento externo, como chaves de segurança no Windows.
Experiência pronta para uso do Windows (OOBE)
O OOBE do Windows deve permitir que o usuário faça login usando um leitor de cartão inteligente externo e se autentique no Microsoft Entra CBA. O OOBE do Windows, por padrão, deve ter os drivers de cartão inteligente necessários ou os drivers de cartão inteligente adicionados anteriormente à imagem do Windows antes da configuração do OOBE.
Restrições e ressalvas
- O Microsoft Entra CBA é suportado em dispositivos Windows híbridos ou associados ao Microsoft Entra.
- Os usuários devem estar em um domínio gerenciado ou usando a Distribuição em Estágios e não podem usar um modelo de autenticação federada.