Accesso tramite smart card di Windows con l'autenticazione basata su certificato di Microsoft Entra
Gli utenti di Microsoft Entra possono eseguire l'autenticazione usando certificati X.509 sulle smart card direttamente con Microsoft Entra ID all'accesso a Windows. Non è necessaria alcuna configurazione speciale nel client Windows per accettare l'autenticazione tramite smart card.
Esperienza utente
Per configurare l'accesso tramite smart card di Windows, seguire questa procedura:
Collegare il computer a Microsoft Entra ID o a un ambiente ibrido (unione ibrida).
Configura Microsoft Entra CBA nel tenant come descritto in Configura Microsoft Entra CBA.
Assicurarsi che l'utente sia in fase di autenticazione gestita o che usi implementazione a fasi.
Presentare la smart card fisica o virtuale al computer di test.
Selezionare l'icona della smart card, immettere il PIN e autenticare l'utente.
Gli utenti riceveranno un token di aggiornamento primario (PRT) da Microsoft Entra ID dopo l'accesso riuscito. A seconda della configurazione del CBA, il PRT conterrà l'affermazione multifattore.
Comportamento previsto di Windows nell'invio dell'UPN dell'utente a Microsoft Entra CBA
| Accedi | Microsoft Entra join | Associazione ibrida |
|---|---|---|
| Primo accesso | Recupera dati dal certificato | AD UPN o x509Hint |
| Accesso successivo | Prelevare dal certificato | UPN di Microsoft Entra memorizzato nella cache |
Regole di Windows per l'invio di UPN per i dispositivi aggiunti a Microsoft Entra
Windows utilizzerà innanzitutto un nome principale e, se non presente, un RFC822Name dal SubjectAlternativeName (SAN) del certificato utilizzato per accedere a Windows. Se nessuno dei due elementi è presente, l'utente deve inoltre fornire un hint per il nome utente. Per altre informazioni, vedere Suggerimento sul nome utente
Regole di Windows per l'invio dell'UPN per i dispositivi ibridamente registrati su Microsoft Entra
L'accesso ibrido deve prima essere eseguito correttamente sul dominio di Active Directory (AD). L'UPN dell'utente AD viene inviato a Microsoft Entra ID. Nella maggior parte dei casi, il valore UPN di Active Directory corrisponde al valore UPN di Microsoft Entra ed è sincronizzato con Microsoft Entra Connect.
Alcuni clienti possono mantenere valori UPN diversi e talvolta possono avere valori UPN non instradabili in Active Directory (ad esempio user@woodgrove.local) In questi casi il valore inviato da Windows potrebbe non corrispondere agli utenti Microsoft Entra UPN. Per supportare questi scenari in cui Microsoft Entra ID non può corrispondere al valore inviato da Windows, viene eseguita una ricerca successiva per un utente con un valore corrispondente nel proprio onPremisesUserPrincipalName attributo. Se l'accesso ha esito positivo, Windows memorizza nella cache l'UPN di Microsoft Entra dell'utente ed esso viene inviato negli accessi successivi.
Nota
In tutti i casi, se fornito, verrà inviato un suggerimento di accesso al nome utente (X509UserNameHint). Per ulteriori informazioni, vedere Suggerimento sul nome utente
Importante
Se un utente fornisce un suggerimento di nome utente per l'accesso (X509UserNameHint), il valore specificato DEVE essere in formato UPN.
Per altre informazioni sul flusso di Windows, vedere Requisiti di certificato ed enumerazione (Windows).
Windows supportate piattaforme
L'accesso alla smart card di Windows funziona con la build di anteprima più recente di Windows 11. La funzionalità è disponibile anche per queste versioni precedenti di Windows dopo aver applicato uno degli aggiornamenti seguenti KB5017383:
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Browser compatibili
| Bordo | Cromo | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Nota
Microsoft Entra CBA supporta sia i certificati sul dispositivo che l'archiviazione esterna, ad esempio le chiavi di sicurezza in Windows.
Esperienza guidata di Windows out-of-box
La configurazione guidata di Windows OOBE deve consentire all'utente di accedere usando un lettore di smart card esterno ed eseguire l'autenticazione tramite Microsoft Entra CBA. La configurazione guidata di Windows per impostazione predefinita deve avere i driver di smart card necessari o quelli aggiunti in precedenza all'immagine di Windows prima della configurazione guidata.
Restrizioni e avvertenze
- Microsoft Entra CBA è supportato nei dispositivi Windows ibridi o aggiunti a Microsoft Entra.
- Gli utenti devono trovarsi in un dominio gestito o usando l'implementazione a fasi e non possono usare un modello di autenticazione federata.
Passaggi successivi
- Panoramica di Microsoft Entra CBA
- Approfondimento tecnico per Microsoft Entra CBA
- Come configurare CBA di Microsoft Entra
- CBA Di Microsoft Entra nei dispositivi iOS
- CBA Di Microsoft Entra nei dispositivi Android
- ID utenti certificati
- Come eseguire la migrazione di utenti federati
- domande frequenti