Вход в смарт-карта Windows с помощью проверки подлинности на основе сертификата Microsoft Entra
Пользователи Microsoft Entra могут проходить проверку подлинности с помощью сертификатов X.509 на смарт-карта непосредственно в идентификаторе Microsoft Entra в Windows. Для принятия интеллектуальной карта проверки подлинности на клиенте Windows не требуется специальная конфигурация.
Взаимодействие с пользователем
Выполните следующие действия, чтобы настроить смарт-карта Windows:
Присоединитесь к компьютеру с идентификатором Microsoft Entra или гибридной средой (гибридное соединение).
Настройте Microsoft Entra CBA в клиенте, как описано в разделе "Настройка Microsoft Entra CBA".
Убедитесь, что пользователь находится в управляемой проверке подлинности или с помощью поэтапного развертывания.
Представление физической или виртуальной интеллектуальной карта на тестовом компьютере.
Выберите значок смарт-карта, введите ПИН-код и выполните проверку подлинности пользователя.
После успешного входа пользователи получат первичный маркер обновления (PRT) от идентификатора Microsoft Entra. В зависимости от конфигурации CBA PRT будет содержать многофакторное утверждение.
Ожидаемое поведение Windows, отправляющего имя участника-пользователя в Microsoft Entra CBA
| Вход | Присоединение к Microsoft Entra | Гибридное присоединение |
|---|---|---|
| Первый вход | Извлечение из сертификата | AD UPN или x509Hint |
| Последующий вход | Извлечение из сертификата | Кэшированное имя участника-участника Microsoft Entra |
Правила Windows для отправки имени участника-пользователя для устройств, присоединенных к Microsoft Entra
Windows сначала будет использовать имя субъекта и, если он не присутствует, RFC822Name из субъектаAlternativeName (SAN) сертификата, используемого для входа в Windows. Если ни одно из них отсутствует, пользователь должен дополнительно указать указание имени пользователя. Дополнительные сведения см. в разделе "Указание имени пользователя"
Правила Windows для отправки имени участника-пользователя для гибридных устройств, присоединенных к Microsoft Entra
Вход гибридного соединения должен сначала успешно войти в домен Active Directory(AD). Пользователи AD UPN отправляются в идентификатор Microsoft Entra. В большинстве случаев значение имени участника-пользователя Active Directory совпадает со значением имени участника-пользователя Microsoft Entra и синхронизируется с Microsoft Entra Подключение.
Некоторые клиенты могут поддерживать разные значения и иногда могут иметь неизменяемые значения имени участника-пользователя в Active Directory (например user@woodgrove.local) В этих случаях значение, отправленное Windows, может не соответствовать пользователям Microsoft Entra UPN. Для поддержки этих сценариев, когда идентификатор Microsoft Entra не может соответствовать значению, отправленному Windows, последующий поиск выполняется для пользователя с соответствующим значением в атрибуте onPremisesUserPrincipalName . Если вход выполнен успешно, Windows кэширует пользователя Microsoft Entra UPN и отправляется в последующих входах.
Примечание.
Во всех случаях при указании имени пользователя будет отправлено указание имени пользователя (X509UserNameHint). Дополнительные сведения см. в разделе "Указание имени пользователя"
Важно!
Если пользователь предоставляет указание имени пользователя (X509UserNameHint), то указанное значение должно быть в формате ИМЕНИ участника-пользователя.
Дополнительные сведения о потоке Windows см. в разделе "Требования к сертификатам" и "Перечисление" (Windows).
Поддерживаемые платформы Windows
Вход в смарт-карта Windows работает с последней предварительной сборкой Windows 11. Функции также доступны для этих предыдущих версий Windows после применения одного из следующих обновлений КБ5017383:
- Windows 11 — kb5017383
- Windows 10 — kb5017379
- Windows Server 20H2— kb5017380
- Windows Server 2022 — kb5017381
- Windows Server 2019 — kb5017379
Поддерживаемые браузеры
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Примечание.
Microsoft Entra CBA поддерживает оба сертификата на устройстве, а также внешнее хранилище, например ключи безопасности в Windows.
Windows Out of the box experience (OOBE)
Windows OOBE должен разрешить пользователю войти с помощью внешнего средства чтения смарт-карта и проверки подлинности в Microsoft Entra CBA. Windows OOBE по умолчанию должен иметь необходимые драйверы смарт-карта или драйверы смарт-карта, ранее добавленные в образ Windows перед настройкой OOBE.
Ограничения и предостережения
- Microsoft Entra CBA поддерживается на устройствах Windows, которые являются гибридными или присоединенными к Microsoft Entra.
- Пользователи должны находиться в управляемом домене или использовать поэтапное развертывание и не могут использовать федеративную модель проверки подлинности.
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по