Início de sessão com cartão inteligente do Windows usando autenticação com base em certificados Microsoft Entra
Os usuários do Microsoft Entra podem se autenticar usando certificados X.509 em seus cartões inteligentes diretamente contra a ID do Microsoft Entra na entrada do Windows. Não é necessária nenhuma configuração especial no cliente Windows para aceitar a autenticação de cartão inteligente.
Experiência do utilizador
Siga estes passos para configurar o início de sessão com cartão inteligente do Windows:
Junte a máquina ao Microsoft Entra ID ou a um ambiente híbrido (associação híbrida).
Configure o Microsoft Entra CBA no seu inquilino conforme descrito em Configure o Microsoft Entra CBA.
Verifique se o usuário está na autenticação gerenciada ou usando de distribuição em etapas.
Apresente o cartão inteligente físico ou virtual à máquina de teste.
Selecione o ícone do cartão inteligente, insira o PIN e autentique o usuário.
Os usuários receberão um token de atualização primário (PRT) da ID do Microsoft Entra após a entrada bem-sucedida. Dependendo da configuração do CBA, o PRT conterá a reivindicação multifatorial.
Comportamento esperado do Windows enviando UPN do usuário para o Microsoft Entra CBA
| Iniciar sessão | Microsoft Entra conectar-se | Adesão híbrida |
|---|---|---|
| Primeiro início de sessão | Extrair do certificado | AD UPN ou x509Hint |
| Início de sessão subsequente | Extrair do certificado | Nome Principal de Utilizador (UPN) em cache do Microsoft Entra |
Regras do Windows para enviar UPN para dispositivos associados ao Microsoft Entra
O Windows usará primeiro um nome principal e, se não estiver presente, o RFC822Name do SubjectAlternativeName (SAN) do certificado que está a ser usado para fazer login no Windows. Se nenhum dos dois estiver presente, o usuário deve fornecer adicionalmente uma dica de nome de usuário. Para mais informações, consulte Indicação de Nome de Usuário
Regras do Windows para enviar UPN para dispositivos híbridos associados ao Microsoft Entra
O início de sessão da Adesão Híbrida deve iniciar sessão com êxito primeiro no domínio do Active Directory(AD). Os utilizadores AD UPN são enviados para a Microsoft Entra ID. Na maioria dos casos, o valor UPN do Ative Directory é o mesmo que o valor UPN do Microsoft Entra e é sincronizado com o Microsoft Entra Connect.
Alguns clientes podem manter valores UPN diferentes e, às vezes, podem ter valores UPN não roteáveis no Ative Directory (como user@woodgrove.local) Nestes casos, o valor enviado pelo Windows pode não corresponder aos utilizadores Microsoft Entra UPN. Para dar suporte a esses cenários em que o Microsoft Entra ID não pode corresponder ao valor enviado pelo Windows, uma pesquisa subsequente é executada para um usuário com um valor correspondente em seu atributo onPremisesUserPrincipalName. Se o início de sessão for bem-sucedido, o Windows armazenará em cache o UPN do Microsoft Entra do utilizador e enviá-lo-á nos inícios de sessão subsequentes.
Observação
Em todos os casos, uma dica de login de nome de usuário fornecida pelo usuário (X509UserNameHint) será enviada, se fornecida. Para obter mais informações, consulte Dica de Nome de Utilizador
Importante
Se um utilizador fornecer uma indicação de nome de utilizador para o login (X509UserNameHint), o valor fornecido DEVE estar no formato UPN.
Para obter mais informações sobre o fluxo do Windows, consulte Requisitos de certificado e enumeração (Windows).
Plataformas Windows suportadas
A funcionalidade de iniciar sessão com cartão inteligente do Windows funciona com a versão de prévia mais recente do Windows 11. A funcionalidade também está disponível para essas versões anteriores do Windows depois de aplicar uma das seguintes atualizações KB5017383:
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Navegadores suportados
| Edge | Cromado | Safári | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Observação
O Microsoft Entra CBA suporta certificados no dispositivo, bem como armazenamento externo, como chaves de segurança no Windows.
Experiência de configuração inicial do Windows (OOBE)
O OOBE do Windows deve permitir que o usuário faça login usando um leitor de cartão inteligente externo e se autentique no Microsoft Entra CBA. O OOBE do Windows, por padrão, deve ter os drivers necessários para cartão inteligente ou os drivers de cartão inteligente previamente adicionados à imagem do Windows antes da configuração do OOBE.
Restrições e ressalvas
- O Microsoft Entra CBA é suportado em dispositivos Windows que são híbridos ou associados ao Microsoft Entra.
- Os usuários devem estar em um domínio gerenciado ou usando a Distribuição em Estágios e não podem usar um modelo de autenticação federada.