Windows-Smartcardanmeldung mithilfe der zertifikatbasierten Microsoft Entra-Authentifizierung
Microsoft Entra-Benutzer können sich mithilfe von X.509-Zertifikaten auf ihren Smartcards direkt mit Microsoft Entra ID bei der Windows-Anmeldung authentifizieren. Auf dem Windows-Client ist keine spezielle Konfiguration erforderlich, damit die Authentifizierung per Smartcard akzeptiert wird.
Benutzerfreundlichkeit
Führen Sie die folgenden Schritte aus, um die Windows-Smartcardanmeldung einzurichten:
Verknüpfen Sie den Computer entweder mit Microsoft Entra ID oder einer Hybridumgebung (Hybridverknüpfung).
Konfigurieren Sie Microsoft Entra-CBA in Ihrem Mandanten, wie unter Konfigurieren von Microsoft Entra-CBA beschrieben.
Stellen Sie sicher, dass der Benutzer entweder für verwaltete Authentifizierung eingerichtet ist oder einen gestaffelten Rollout verwendet.
Legen Sie dem Testcomputer die physische oder virtuelle Smartcard vor.
Wählen Sie das Smartcardsymbol aus, geben Sie die PIN ein, und authentifizieren Sie den Benutzer.
Nach erfolgreicher Anmeldung werden Benutzer ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) von Microsoft Entra ID erhalten. Je nach CBA-Konfiguration enthält das PRT den Anspruch für die Multifaktorauthentifizierung.
Erwartetes Verhalten von Windows beim Senden der Benutzer-UPN an Microsoft Entra-CBA
| Anmelden | Microsoft Entra-Beitritt | Hybrideinbindung |
|---|---|---|
| Erste Anmeldung | Pull aus Zertifikat | AD-UPN oder x509Hint |
| Nachfolgende Anmeldung | Pull aus Zertifikat | Zwischengespeicherter Microsoft Entra-UPN |
Windows-Regeln zum Senden des UPN für mit Microsoft Entra verknüpfte Geräte
Windows verwendet zunächst einen Prinzipalnamen. Wenn ein solcher nicht vorhanden ist, wird der RFC822Name-Wert aus dem SubjectAlternativeName (SAN) des Zertifikats verwendet, das zum Anmelden bei Windows verwendet wird. Wenn keiner dieser Werte vorhanden ist, muss der Benutzer zusätzlich einen Benutzernamenhinweis angeben. Weitere Informationen finden Sie unter Benutzernamenhinweis.
Windows-Regeln zum Senden des UPN für hybrid, mit Microsoft Entra verknüpfte Geräte
Geräte mit Hybrideinbindung müssen sich zunächst erfolgreich bei der Active Directory-Domäne anmelden. Der AD-UPN der Benutzer wird an Microsoft Entra ID gesendet. In den meisten Fällen entspricht der Active Directory-UPN-Wert dem Microsoft Entra-UPN-Wert und wird mit Microsoft Entra Connect synchronisiert.
Einige Kunden pflegen möglicherweise unterschiedliche und manchmal nicht weiterleitbare UPN-Werte in Active Directory (wie z. B. user@woodgrove.local). In diesen Fällen stimmt der von Windows gesendete Wert möglicherweise nicht mit dem Microsoft Entra-UPN des Benutzers überein. Um diese Szenarien zu unterstützen, in denen Microsoft Entra ID keine Übereinstimmung mit dem von Windows gesendeten Wert findet, wird ein nachfolgender Lookupvorgang ausgeführt, bei dem nach einem Benutzer mit einem übereinstimmenden Wert im Attribut onPremisesUserPrincipalName gesucht wird. Wenn die Anmeldung erfolgreich ist, wird Windows den Microsoft Entra-UPN des Benutzers zwischenspeichern und sendet ihn in nachfolgenden Anmeldevorgängen.
Hinweis
In allen Fällen wird ein vom Benutzer bereitgestellter Anmeldehinweis für den Benutzernamen (X509UserNameHint) gesendet, sofern er bereitgestellt wurde. Weitere Informationen finden Sie unter Benutzernamenhinweis.
Wichtig
Wenn ein Benutzer einen Anmeldehinweis für den Benutzernamen (X509UserNameHint) angibt, MUSS der angegebene Wert im UPN-Format vorliegen.
Weitere Informationen zum Windows-Flow finden Sie unter Zertifikatanforderungen und Enumeration (Windows).
Unterstützte Windows-Plattformen
Die Windows-Smartcardanmeldung funktioniert unter dem neuesten Vorschaubuild von Windows 11. Die Funktionalität ist auch für die folgenden früheren Windows-Versionen verfügbar, nachdem einer der folgenden Updates angewendet wurde (KB5017383):
- Windows 11 – KB5017383
- Windows 10 – KB5017379
- Windows Server 20H2 – KB5017380
- Windows Server 2022 – KB5017381
- Windows Server 2019 – KB5017379
Unterstützte Browser
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Hinweis
Microsoft Entra-CBA unterstützt Zertifikate sowohl auf dem Gerät als auch in externen Speichern wie z. B. Sicherheitsschlüssel unter Windows.
Windows-Willkommensseite
Die Windows-Willkommensseite sollte es Benutzern ermöglichen, sich mit einem externen Smartcard-Leser anzumelden und mit Microsoft Entra-CBA zu authentifizieren. Die Windows-Willkommensseite sollte standardmäßig über die erforderlichen Smartcardtreiber verfügen. Andernfalls sollten die Smartcardtreiber vor dem Einrichten der Windows-Willkommensseite dem Windows-Image hinzugefügt werden.
Einschränkungen und Vorbehalte
- Microsoft Entra-CBA wird auf Windows-Geräten unterstützt, die hybrid oder mit Microsoft Entra verknüpft sind.
- Benutzer müssen sich in einer verwalteten Domäne befinden oder einen gestaffelten Rollout verwenden. Die Verwendung eines Verbundauthentifizierungsmodells ist nicht zulässig.
Nächste Schritte
- Übersicht über Microsoft Entra-CBA
- Ausführliche technische Informationen zur zertifikatbasierten Authentifizierung mit Azure AD
- Informationen zum Konfigurieren von Microsoft Entra-CBA
- Microsoft Entra-CBA auf iOS-Geräten
- Microsoft Entra-CBA auf Android-Geräten
- Zertifikatbenutzer-IDs
- Migrieren von Verbundbenutzer*innen
- Häufig gestellte Fragen