Logowanie za pomocą karty inteligentnej systemu Windows przy użyciu uwierzytelniania opartego na certyfikatach firmy Microsoft
Użytkownicy firmy Microsoft Entra mogą uwierzytelniać się przy użyciu certyfikatów X.509 na swoich kartach inteligentnych bezpośrednio względem identyfikatora Microsoft Entra ID w logowaniu systemu Windows. Na kliencie systemu Windows nie jest wymagana specjalna konfiguracja do akceptowania uwierzytelniania za pomocą karty inteligentnej.
Środowisko użytkownika
Wykonaj następujące kroki, aby skonfigurować logowanie za pomocą karty inteligentnej systemu Windows:
Dołącz maszynę do identyfikatora Entra firmy Microsoft lub środowiska hybrydowego (przyłączania hybrydowego).
Skonfiguruj usługę Microsoft Entra CBA w Twojej dzierżawie zgodnie z opisem w Konfigurowanie usługi Microsoft Entra CBA.
Upewnij się, że użytkownik korzysta z uwierzytelniania zarządzanego lub korzysta z etapowego wdrażania.
Prezentowanie fizycznej lub wirtualnej karty inteligentnej na maszynie testowej.
Wybierz ikonę karty inteligentnej, wprowadź numer PIN i uwierzytelnij użytkownika.
Użytkownicy otrzymają podstawowy token odświeżania (PRT) z Microsoft Entra ID po pomyślnym zalogowaniu. W zależności od konfiguracji CBA, PRT będzie zawierać roszczenie wieloskładnikowe.
Oczekiwane zachowanie systemu Windows wysyłającego nazwę UPN użytkownika do firmy Microsoft Entra CBA
| Logowanie | Microsoft Entra połączenie | Sprzężenia hybrydowe |
|---|---|---|
| Pierwsze logowanie | Ściąganie z certyfikatu | UPN AD lub x509Hint |
| Kolejne logowanie | Ściąganie z certyfikatu | Buforowana nazwa UPN w Microsoft Entra |
Reguły systemu Windows dotyczące wysyłania nazwy UPN dla urządzeń dołączonych do Microsoft Entra
System Windows najpierw użyje nazwy głównej (principal name), a jeśli jej zabraknie, sięgnie po RFC822Name z SubjectAlternativeName (SAN) certyfikatu, który jest wykorzystywany do logowania się do systemu Windows. Jeśli żadna z nich nie istnieje, użytkownik musi dodatkowo podać wskazówkę dotyczącą nazwy użytkownika. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące nazwy użytkownika
Zasady systemu Windows dotyczące wysyłania nazw UPN dla urządzeń z hybrydowym połączeniem z Microsoft Entra
Aby dokonać połączenia hybrydowego, najpierw należy pomyślnie zalogować się do domeny Active Directory (AD). UPN AD użytkowników jest wysyłany do Microsoft Entra ID. W większości przypadków wartość nazwy UPN usługi Active Directory jest taka sama jak wartość nazwy UPN firmy Microsoft i jest synchronizowana z programem Microsoft Entra Connect.
Niektórzy klienci mogą utrzymywać różne, a czasami mogą mieć nieobsługiwalne wartości UPN w usłudze Active Directory (na przykład user@woodgrove.local) W takich przypadkach wartość wysłana przez system Windows może nie być zgodna z użytkownikami Microsoft Entra UPN. Aby obsługiwać te scenariusze, w których Microsoft Entra ID nie może dopasować się do wartości wysyłanej przez system Windows, przeprowadza się kolejne wyszukiwanie dla użytkownika o pasującej wartości w atrybucie onPremisesUserPrincipalName. Jeśli logowanie zakończy się pomyślnie, system Windows zapamięta UPN użytkownika Microsoft Entra i będzie ono wysyłane w kolejnych logowaniach.
Notatka
We wszystkich przypadkach wysyłana będzie wskazówka logowania z nazwą użytkownika (X509UserNameHint), jeśli użytkownik ją poda. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące nazwy użytkownika
Ważny
Jeśli użytkownik dostarcza wskazówkę logowania nazwy użytkownika (X509UserNameHint), wartość podana MUSI być w formacie UPN.
Aby uzyskać więcej informacji na temat przepływu Windows, zobacz Wymagania dotyczące certyfikatów i wyliczenie (Windows).
Obsługiwane platformy systemu Windows
Logowanie za pomocą karty inteligentnej systemu Windows działa z najnowszą kompilacją wersji zapoznawczej systemu Windows 11. Funkcja jest również dostępna dla tych wcześniejszych wersji systemu Windows po zastosowaniu jednej z następujących aktualizacji KB5017383:
- Windows 11 — kb5017383
- Windows 10 — kb5017379
- Windows Server 20H2 - kb5017380
- Windows Server 2022 — kb5017381
- Windows Server 2019 — kb5017379
Obsługiwane przeglądarki
| Edge | Chrom | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Notatka
Microsoft Entra CBA obsługuje zarówno certyfikaty znajdujące się na urządzeniu, jak i zewnętrzny magazyn, taki jak klucze bezpieczeństwa w systemie Windows.
Środowisko użytkownika w ramach systemu Windows (OOBE)
System Windows OOBE powinien zezwolić użytkownikowi na logowanie się przy użyciu zewnętrznego czytnika kart inteligentnych i uwierzytelniać się w usłudze Microsoft Entra CBA. System Windows OOBE domyślnie powinien mieć niezbędne sterowniki kart inteligentnych lub sterowniki kart inteligentnych wcześniej dodane do obrazu systemu Windows przed konfiguracją OOBE.
Ograniczenia i zastrzeżenia
- Platforma Microsoft Entra CBA jest obsługiwana na urządzeniach z systemem Windows, które są dołączone hybrydowo lub do Microsoft Entra.
- Użytkownicy muszą znajdować się w domenie zarządzanej lub korzystać z wdrożenia etapowego i nie mogą używać modelu uwierzytelniania federacyjnego.
Następne kroki
- omówienie microsoft Entra CBA
- szczegółowe omówienie techniczne Microsoft Entra CBA
- Jak skonfigurować Microsoft Entra CBA
- Microsoft Entra CBA na urządzeniach z systemem iOS
- Microsoft Entra CBA na urządzeniach z systemem Android
- identyfikatory użytkownika certyfikatu
- Jak migrować użytkowników federacyjnych
- — często zadawane pytania