使用基于 Microsoft Entra 证书的身份验证进行 Windows 智能卡登录

  • 项目

Microsoft Entra 用户可在 Windows 登录时直接使用智能卡上的 X.509 证书 Microsoft Entra ID 进行身份验证。 无需在 Windows 客户端上进行任何特殊配置即可接受智能卡身份验证。

用户体验

请按照以下步骤设置 Windows 智能卡登录:

  1. 将计算机联接到 Microsoft Entra ID 或混合环境(混合联接)。

  2. 配置 Microsoft Entra CBA 中所述,在租户中配置Microsoft Entra CBA。

  3. 确保用户使用托管身份验证或使用分阶段推出

  4. 将物理或虚拟智能卡显示在测试计算机中。

  5. 选择智能卡图标,输入 PIN,然后验证用户身份。

    Screenshot of smart card sign-in.

成功登录后,用户将从 Microsoft Entra ID 获得主刷新令牌 (PRT)。 根据 CBA 配置,PRT 将包含多因素声明。

Windows 将用户 UPN 发送到 Microsoft Entra ID CBA 时的预期行为

登录 Microsoft Entra 联接 混合加入
首次登录 从证书拉取 AD UPN 或 x509Hint
后续登录 从证书拉取 缓存 Microsoft Entra UPN

用于为已加入 Microsoft Entra 的设备发送 UPN 的 Windows 规则

Windows 将首先使用主体名称,如果不存在,则使用来自用于登录 Windows 的证书的 SubjectAlternativeName (SAN) 中的 RFC822Name。 如果两者都不存在,则用户必须另外提供用户名提示。 有关详细信息,请参阅用户名提示

用于为已加入 Microsoft Entra 混合的设备发送 UPN 的 Windows 规则

混合加入登录必须首先成功登录 Active Directory(AD) 域。 用户 AD UPN 会被发送到 Microsoft Entra ID。 在大多数情况下,Active Directory UPN 值与 Microsoft Entra UPN 值相同,并且与 Microsoft Entra Connect 同步。

某些客户可能会在 Active Directory 中维护不同且有时可能具有不可路由的 UPN 值(例如 user@woodgrove.local)。在这些情况下,Windows 发送的值可能与用户的 Microsoft Entra UPN 不匹配。 为了支持 Microsoft Entra ID 无法匹配 Windows 发送的值的这些场景,系统会针对用户的 onPremisesUserPrincipalName 属性中具有匹配值的用户执行后续查找。 如果登录成功,Windows 将缓存用户 Microsoft Entra UPN,并在后续登录中发送。

注意

在所有情况下,将发送用户提供的用户名登录提示 (X509UserNameHint)(如果提供)。 有关详细信息,请参阅用户名提示

重要

如果用户提供用户名登录提示 (X509UserNameHint),则提供的值必须采用 UPN 格式。

有关 Windows 流程的详细信息,请参阅证书要求和枚举 (Windows)

受支持的 Windows 平台

Windows 智能卡登录适用于 Windows 11 的最新预览版生成。 在应用以下更新 KB5017383 之一后,这些早期 Windows 版本也可以使用该功能:

支持的浏览器

Edge Chrome Safari Firefox

注意

Microsoft Entra CBA 支持设备上的证书以及 Windows 上的安全密钥等外部存储。

Windows 现成体验 (OOBE)

Windows OOBE 应允许用户使用外部智能卡读卡器进行登录,并依据 Microsoft Entra CBA 进行身份验证。 默认情况下,Windows OOBE 应当具有必要的智能卡驱动程序,或者在安装 OOBE 之前,将智能卡驱动添加到 Windows 映像中。

限制和注意事项

  • 加入混合或 Microsoft Entra 的 Windows 设备支持Microsoft Entra CBA。
  • 用户必须在托管域中或采用分阶段推出,并且不能使用联合身份验证模型。

后续步骤