Вход с смарт-картой Windows с помощью проверки подлинности на основе сертификата Microsoft Entra
Пользователи Microsoft Entra могут проходить проверку подлинности с помощью сертификатов X.509 на смарт-картах, непосредственно взаимодействуя с Microsoft Entra ID при входе в Windows. Для принятия проверки подлинности смарт-карты на клиенте Windows не требуется специальная конфигурация.
Взаимодействие с пользователем
Выполните следующие действия, чтобы настроить вход с смарт-картой Windows:
Присоедините устройство к Microsoft Entra ID или гибридной среде (гибридное присоединение).
Настройте Microsoft Entra CBA в клиенте, как описано в разделе Настройка Microsoft Entra CBA.
Убедитесь, что пользователь находится на управляемой аутентификации или использует поэтапное развертывание.
Представление физической или виртуальной смарт-карты на тестовом компьютере.
Выберите значок смарт-карты, введите ПИН-код и выполните проверку подлинности пользователя.
После успешного входа пользователи получат первичный маркер обновления (PRT) от идентификатора Microsoft Entra. В зависимости от конфигурации CBA, PRT будет содержать многофакторную заявку.
Ожидаемое поведение системы Windows при отправке UPN пользователя в Microsoft Entra CBA
| Вход | Присоединение к Microsoft Entra | Гибридное соединение |
|---|---|---|
| Первый вход | Извлечение из сертификата | AD UPN или x509Hint |
| Следующий вход | Извлечение из сертификата | Кэшированное UPN Microsoft Entra |
Правила Windows для отправки UPN для устройств, подключенных к Microsoft Entra
Windows сначала будет использовать основное имя, а если оно отсутствует, то имя RFC822Name из SubjectAlternativeName (SAN) сертификата, который используется для входа в Windows. Если ни одно из них отсутствует, пользователь должен дополнительно указать указание имени пользователя. Для получения дополнительной информации см., подсказка имени пользователя
Правила Windows для отправки UPN для гибридных устройств, присоединенных к Microsoft Entra
Для гибридного входа необходимо сначала успешно аутентифицироваться в домене Active Directory (AD). UPN пользователя AD отправляется в Microsoft Entra ID. В большинстве случаев значение имени участника-пользователя Active Directory совпадает со значением имени участника-пользователя Microsoft Entra и синхронизируется с Microsoft Entra Connect.
Некоторые клиенты могут использовать разные, а иногда и не маршрутизируемые UPN в Active Directory (например, user@woodgrove.local). В этих случаях значение, отправленное Windows, может не соответствовать UPN пользователей Microsoft Entra. Для поддержки этих сценариев, когда идентификатор Microsoft Entra не может соответствовать значению, отправленному Windows, выполняется последующий поиск пользователя с совпадающим значением в атрибуте onPremisesUserPrincipalName. Если вход выполнен успешно, Windows кэширует UPN пользователя Microsoft Entra и отправляет его при последующих входах в систему.
Заметка
Во всех случаях, если указана предоставленная пользователем подсказка для входа по имени пользователя (X509UserNameHint), она будет отправлена. Дополнительные сведения см. в подсказке имени пользователя
Важный
Если пользователь указывает подсказку имени пользователя (X509UserNameHint), предоставленное значение ДОЛЖНО быть в формате UPN.
Дополнительные сведения о процессе Windows см. в разделе Требования к сертификату и перечисление (Windows).
Поддерживаемые платформы Windows
Вход с использованием смарт-карты Windows работает с последней предварительной сборкой Windows 11. Функции также доступны для этих более ранних версий Windows после применения одного из следующих обновлений KB5017383:
- Windows 11 — kb5017383
- Windows 10 — kb5017379
- Windows Server 20H2— kb5017380
- Windows Server 2022 — kb5017381
- Windows Server 2019 — kb5017379
Поддерживаемые браузеры
| Край | Хром | Сафари | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Заметка
Microsoft Entra CBA поддерживает оба сертификата на устройстве, а также внешнее хранилище, например ключи безопасности в Windows.
Windows Out of the box experience (OOBE)
Windows OOBE должен разрешить пользователю войти с помощью внешнего средства чтения смарт-карт и пройти проверку подлинности в Microsoft Entra CBA. Windows OOBE по умолчанию должен иметь необходимые драйверы смарт-карт или драйверы смарт-карт, ранее добавленные в образ Windows перед настройкой OOBE.
Ограничения и предостережения
- Microsoft Entra CBA поддерживается на устройствах Windows, которые являются гибридными или присоединенными к Microsoft Entra.
- Пользователи должны находиться в управляемом домене или использовать поэтапное развертывание и не могут использовать федеративную модель проверки подлинности.
Дальнейшие действия
- Обзор Microsoft Entra CBA
- Техническое углубленное изучение Microsoft Entra CBA
- Как настроить Microsoft Entra CBA
- Microsoft Entra CBA на устройствах iOS
- Microsoft Entra CBA на устройствах Android
- идентификаторы пользователей сертификата
- Как перенести федеративных пользователей
- вопросы и ответы