Microsoft Entra sertifika tabanlı kimlik doğrulamasını kullanarak Windows akıllı kart oturum açma
Microsoft Entra kullanıcıları, Windows oturum açma sırasında doğrudan Microsoft Entra Id'ye karşı akıllı kartlarında X.509 sertifikalarını kullanarak kimlik doğrulaması yapabilir. Akıllı kart kimlik doğrulamasını kabul etmek için Windows istemcisinde özel bir yapılandırma gerekmez.
Kullanıcı deneyimi
Windows akıllı kart oturum açma ayarlarını yapmak için şu adımları izleyin:
Makineyi Microsoft Entra Id veya karma bir ortama (karma birleştirme) ekleyin.
Kiracınızda Microsoft Entra CBA'yi Microsoft Entra CBA'sı yapılandırma bölümünde açıklandığı gibi yapılandırın.
Kullanıcının yönetilen kimlik doğrulamasında veya Aşamalı Dağıtım'ı kullandığından emin olun.
Fiziksel veya sanal akıllı kartı test makinesine sunun.
Akıllı kart simgesini seçin, PIN'i girin ve kullanıcının kimliğini doğrular.
Kullanıcılar, başarılı oturum açma sonrasında Microsoft Entra Id'den bir birincil yenileme belirteci (PRT) alır. CBA yapılandırmasına bağlı olarak PRT, çok faktörlü talebi içerir.
Kullanıcı UPN'sini Microsoft Entra CBA'ya gönderen Windows'un beklenen davranışı
| Oturum açma | Microsoft Entra ortamına katılma | Hibrit birleştirme |
|---|---|---|
| İlk oturum açma | Sertifikadan çekme | AD UPN veya x509Hint |
| Sonraki oturum açma | Sertifikadan çekme | Önbelleğe Alınmış Microsoft Entra UPN |
Microsoft Entra'ya katılmış cihazlar için UPN göndermek için Windows kuralları
Windows önce bir asıl ad kullanır ve yoksa Windows'da oturum açmak için kullanılan sertifikanın SubjectAlternativeName (SAN) içinden RFC822Name kullanılır. Hiçbiri yoksa, kullanıcının ek olarak bir Kullanıcı Adı İpucu sağlaması gerekir. Daha fazla bilgi için bkz. Kullanıcı Adı İpucu
Microsoft Entra karma katılmış cihazlar için UPN göndermeye yönelik Windows kuralları
Karma Katılma oturum açma işleminin önce Active Directory (AD) etki alanında başarıyla oturum açması gerekir. Kullanıcılar AD UPN'si Microsoft Entra Id'ye gönderilir. Çoğu durumda, Active Directory UPN değeri Microsoft Entra UPN değeriyle aynıdır ve Microsoft Entra Bağlan ile eşitlenir.
Bazı müşteriler farklı olabilir ve bazen Active Directory'de yönlendirilemeyen UPN değerleri olabilir (örneğin user@woodgrove.local) Bu gibi durumlarda, Windows tarafından gönderilen değer Microsoft Entra UPN kullanıcıları ile eşleşmeyebilir. Microsoft Entra Id'nin Windows tarafından gönderilen değerle eşleşmediği bu senaryoları desteklemek için onPremisesUserPrincipalName özniteliğinde eşleşen değere sahip bir kullanıcı için sonraki bir arama gerçekleştirilir. Oturum açma işlemi başarılı olursa Windows, Microsoft Entra UPN kullanıcılarını önbelleğe alır ve sonraki oturum açma işlemlerinde gönderilir.
Dekont
Her durumda, kullanıcı tarafından sağlanan kullanıcı adı oturum açma ipucu (X509UserNameHint) sağlanırsa gönderilir. Daha fazla bilgi için bkz. Kullanıcı Adı İpucu
Önemli
Kullanıcı kullanıcı adı oturum açma ipucu (X509UserNameHint) sağlarsa, sağlanan değer UPN Biçiminde OLMALıDıR .
Windows akışı hakkında daha fazla bilgi için bkz . Sertifika Gereksinimleri ve Numaralandırma (Windows).
Desteklenen Windows platformları
Windows akıllı kart oturum açma, Windows 11'in en son önizleme derlemesiyle çalışır. İşlev, aşağıdaki güncelleştirmelerden birini uyguladıktan sonra bu önceki Windows sürümleri için de kullanılabilir KB5017383:
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Desteklenen tarayıcılar
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Dekont
Microsoft Entra CBA hem cihazdaki sertifikaları hem de Windows'ta güvenlik anahtarları gibi dış depolamayı destekler.
Windows İlk çalıştırma deneyimi (OOBE)
Windows OOBE, kullanıcının harici bir akıllı kart okuyucu kullanarak oturum açmasına ve Microsoft Entra CBA'da kimlik doğrulamasına izin vermesi gerekir. Windows OOBE, OOBE kurulumundan önce windows görüntüsüne önceden eklenmiş olan gerekli akıllı kart sürücülerine veya akıllı kart sürücülerine varsayılan olarak sahip olmalıdır.
Kısıtlamalar ve uyarılar
- Microsoft Entra CBA, karma veya Microsoft Entra'ya katılmış Windows cihazlarında desteklenir.
- Kullanıcıların yönetilen bir etki alanında veya Aşamalı Dağıtım kullanıyor olması gerekir ve federasyon kimlik doğrulama modelini kullanamazlar.