使用 Microsoft Entra 憑證型驗證的 Windows 智慧卡登入

  • 發行項

Microsoft Entra 使用者可以透過 Windows 登入的 Microsoft Entra 識別碼,直接在其智慧卡上使用 X.509 憑證進行驗證。 Windows 用戶端上不需要特殊設定,才能接受智慧卡驗證。

使用者體驗

請遵循下列步驟來設定 Windows 智慧卡登入:

  1. 將電腦加入 Microsoft Entra ID 或混合式環境(混合式聯結)。

  2. 如設定 Microsoft Entra CBA 中所述,在您的租使用者中 設定 Microsoft Entra CBA

  3. 請確定使用者是在受控驗證或使用 分段推出

  4. 將實體或虛擬智慧卡呈現給測試電腦。

  5. 選取智慧卡圖示、輸入 PIN,然後驗證使用者。

    Screenshot of smart card sign-in.

使用者會在成功登入之後,從 Microsoft Entra ID 取得主要重新整理權杖 (PRT)。 根據 CBA 組態,PRT 將包含多重要素宣告。

Windows 將使用者 UPN 傳送至 Microsoft Entra CBA 的預期行為

登入 Microsoft Entra 加入 混合式聯結
第一次登入 從憑證提取 AD UPN 或 x509Hint
後續登入 從憑證提取 快取的 Microsoft Entra UPN

傳送加入 Microsoft Entra 裝置之 UPN 的 Windows 規則

Windows 會先使用主體名稱,如果沒有,則來自用來登入 Windows 之憑證 SubjectAlternativeName (SAN) 的 RFC822Name。 如果兩者都不存在,使用者必須另外提供使用者名稱提示。 如需詳細資訊,請參閱 使用者名稱提示

傳送已加入 Microsoft Entra 混合式裝置之 UPN 的 Windows 規則

混合式 Join 登入必須先成功登入 Active Directory(AD) 網域。 使用者 AD UPN 會傳送至 Microsoft Entra ID。 在大部分情況下,Active Directory UPN 值與 Microsoft Entra UPN 值相同,並與 Microsoft Entra 連線同步處理。

有些客戶可能會維護不同的,有時在 Active Directory 中可能會有無法路由傳送的 UPN 值(例如 user@woodgrove.local ),在這些情況下,Windows 傳送的值可能不符合 Microsoft Entra UPN 的使用者。 為了支援 Microsoft Entra ID 無法比對 Windows 所傳送值的情況,後續會針對在其 onPremisesUserPrincipalName 屬性中具有相符值的使用者執行後續查閱。 如果登入成功,Windows 會快取使用者 Microsoft Entra UPN,並在後續登入中傳送。

注意

在所有情況下,如果提供使用者名稱登入提示(X509UserNameHint),則會傳送使用者。 如需詳細資訊,請參閱 使用者名稱提示

重要

如果使用者提供使用者名稱登入提示 (X509UserNameHint),則所提供的 值必須是 UPN 格式。

如需 Windows 流程的詳細資訊,請參閱 憑證需求和列舉 (Windows)

支援的 Windows 平臺

Windows 智慧卡登入適用于 Windows 11 的最新預覽版。 在您套用下列其中一個更新 KB5017383 之後,這些功能也適用于這些舊版 Windows 版本:

支援的瀏覽器

Edge Chrome Safari Firefox

注意

Microsoft Entra CBA 支援裝置上的憑證和外部儲存體,例如 Windows 上的安全性金鑰。

Windows 現用體驗 (OOBE)

Windows OOBE 應該允許使用者使用外部智慧卡讀取器登入,並針對 Microsoft Entra CBA 進行驗證。 根據預設,Windows OOBE 應該具有必要的智慧卡驅動程式,或之前新增至 Windows 映像的智慧卡驅動程式,再進行 OOBE 設定。

限制和警告

  • 混合式或加入 Microsoft Entra 的 Windows 裝置支援 Microsoft Entra CBA。
  • 使用者必須位於受控網域或使用分段推出,且無法使用同盟驗證模型。

下一步