Aanmelden bij Windows met een smartcard met behulp van Microsoft Entra certificaatgebaseerde verificatie
Microsoft Entra-gebruikers kunnen zich verifiëren met behulp van X.509-certificaten op hun smartcards rechtstreeks tegen Microsoft Entra ID bij aanmelding bij Windows. Er is geen speciale configuratie nodig op de Windows-client om de smartcardverificatie te accepteren.
Gebruikerservaring
Volg deze stappen om aanmelding voor Windows-smartcard in te stellen:
Voeg de machine toe aan Microsoft Entra ID of een hybride omgeving (hybride koppeling).
Configureer Microsoft Entra CBA in uw tenant zoals beschreven in Microsoft Entra CBA configureren.
Zorg ervoor dat de gebruiker gebruikmaakt van beheerde verificatie of gefaseerde implementatie.
Presenteer de fysieke of virtuele smartcard aan de testmachine.
Selecteer het smartcardpictogram, voer de pincode in en verifieer de gebruiker.
Gebruikers krijgen na de geslaagde aanmelding een primair vernieuwingstoken (PRT) van Microsoft Entra ID. Afhankelijk van de CBA-configuratie zal de PRT de multifactoriële claim bevatten.
Verwacht gedrag van Windows waarmee gebruikers UPN naar Microsoft Entra CBA worden verzonden
| Aanmelden | Verbinden met Microsoft Entra | Hybride deelname |
|---|---|---|
| Eerste aanmelding | Ophalen uit het certificaat | AD UPN of x509Hint |
| Volgende aanmelding | Ophalen uit certificaat | Microsoft Entra UPN in cache |
Windows-regels voor het verzenden van UPN voor aan Microsoft Entra gekoppelde apparaten
Windows gebruikt eerst een hoofdnaam en als deze niet aanwezig is, dan het RFC822Name-adres van de SubjectAlternativeName (SAN) van het certificaat dat wordt gebruikt om aan te melden bij Windows. Als geen van beide aanwezig is, moet de gebruiker ook een hint voor de gebruikersnaam opgeven. Zie voor meer informatie Gebruikersnaamhint
Windows-regels voor het verzenden van UPN voor hybride apparaten van Microsoft Entra
Voordat Hybrid Join kan worden ingelogd, moet er eerst succesvol aangemeld worden bij het Active Directory(AD)-domein. De gebruikers AD UPN wordt verzonden naar Microsoft Entra ID. In de meeste gevallen is de UPN-waarde van Active Directory hetzelfde als de UPN-waarde van Microsoft Entra en wordt gesynchroniseerd met Microsoft Entra Connect.
Sommige klanten kunnen verschillende en soms niet-routeerbare UPN-waarden hebben in Active Directory (zoals user@woodgrove.local) In deze gevallen komt de waarde die door Windows wordt verzonden mogelijk niet overeen met de gebruikers Microsoft Entra UPN. Ter ondersteuning van deze scenario's waarbij Microsoft Entra ID niet overeenkomt met de waarde die door Windows wordt verzonden, wordt er vervolgens een zoekopdracht uitgevoerd voor een gebruiker met een overeenkomende waarde in hun kenmerk onPremisesUserPrincipalName. Als de aanmelding is geslaagd, slaat Windows de Microsoft Entra UPN van de gebruiker op in de cache en wordt deze bij volgende aanmeldingen verzonden.
Notitie
In alle gevallen wordt een door de gebruiker opgegeven hint voor aanmelding met gebruikersnaam (X509UserNameHint) verzonden indien opgegeven. Zie voor meer informatie Gebruikersnaamhint
Belangrijk
Als een gebruiker een hint voor gebruikersnaamaanmelding (X509UserNameHint) levert, moet de opgegeven waarde MOET de UPN-indeling hebben.
Voor meer informatie over de Windows-flow, zie Certificaatvereisten en Opsomming (Windows).
Ondersteunde Windows-platforms
De aanmelding van de Windows-smartcard werkt met de nieuwste preview-versie van Windows 11. De functionaliteit is ook beschikbaar voor deze eerdere Windows-versies nadat u een van de volgende updates hebt toegepast KB5017383:
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Ondersteunde browsers
| Rand | Chroom | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Notitie
Microsoft Entra CBA ondersteunt zowel certificaten op het apparaat als externe opslag, zoals beveiligingssleutels in Windows.
Windows out-of-the-box gebruikerservaring (OOBE)
Windows OOBE moet de gebruiker toestaan zich aan te melden met behulp van een externe smartcardlezer en zich te verifiëren bij Microsoft Entra CBA. Windows OOBE moet standaard beschikken over de benodigde smartcardstuurprogramma's of de smartcardstuurprogramma's die eerder aan de Windows-installatiekopieën zijn toegevoegd voordat OOBE wordt ingesteld.
Beperkingen en opmerkingen
- Microsoft Entra CBA wordt ondersteund op Windows-apparaten die zijn verbonden met een hybride of Microsoft Entra-omgeving.
- Gebruikers moeten zich in een beheerd domein bevinden of gefaseerde implementatie gebruiken en kunnen geen federatief verificatiemodel gebruiken.