共用方式為

使用 Microsoft Entra 憑證型驗證的 Windows 智慧卡登入

  • 發行項

Microsoft Entra 使用者可以直接在智慧卡上使用 X.509 憑證,在 Windows 登入時針對 Microsoft Entra 標識符進行驗證。 Windows 用戶端上不需要特殊設定,才能接受智慧卡驗證。

用戶體驗

請遵循下列步驟來設定 Windows 智慧卡登入:

  1. 將計算機加入Microsoft Entra ID 或混合式環境(混合式聯結)。

  2. 在租戶中設定 Microsoft Entra CBA,如 設定 Microsoft Entra CBA中所述。

  3. 請確認使用者使用受控驗證或使用 階段性推行

  4. 將實體或虛擬智慧卡呈現給測試計算機。

  5. 選取智慧卡圖示、輸入 PIN,然後驗證使用者。

    智慧卡登入的螢幕快照。

使用者在成功登入後,將從 Microsoft Entra ID 取得主要更新代幣(PRT)。 根據 CBA 配置,PRT 將包含多重因素宣告。

Windows 將使用者 UPN 傳送至 Microsoft Entra CBA 的預期行為

登入 Microsoft Entra 聯結 混合式聯結
第一次登入 從憑證提取 AD UPN 或 x509Hint
後續登入 從憑證拉取 緩存的 Microsoft Entra UPN

傳送已加入 Microsoft Entra 裝置之 UPN 的 Windows 規則

Windows 會先使用主名稱,如果主名稱不存在,則使用憑證的 SubjectAlternativeName (SAN) 中的 RFC822Name 來登入 Windows。 如果兩者都不存在,用戶必須另外提供使用者名稱提示。 如需詳細資訊,請參閱 用戶名稱提示

傳送 Microsoft Entra 混合加入裝置 UPN 的 Windows 規則

混合式 Join 登入必須先成功登入 Active Directory(AD) 網域。 使用者的 AD 使用者主要名稱 (UPN) 會傳送至 Microsoft Entra ID。 在大部分情況下,Active Directory UPN 值與 Microsoft Entra UPN 值相同,並且會透過 Microsoft Entra Connect 進行同步。

有些客戶可能會在 Active Directory 中設定不同且不可路由的 UPN 值(例如 user@woodgrove.local)。在這些情況下,Windows 傳送的值可能不符合使用者的 Microsoft Entra UPN。 為了支援Microsoft Entra ID 無法比對 Windows 所傳送值的情況,後續會針對 在 onPremisesUserPrincipalName 屬性中具有相符值的使用者執行後續查閱。 如果登入成功,Windows 就會快取使用者的主體名稱(Microsoft Entra UPN),並且在後續登入中傳送。

注意

在所有情況下,如果提供用戶名稱登入提示(X509UserNameHint),則會發送該提示。 如需詳細資訊,請參閱 用戶名稱提示

重要

如果使用者提供使用者名稱登入提示 (X509UserNameHint),則所提供的值 MUST 為 UPN 格式。

如需 Windows 流程的詳細資訊,請參閱 憑證需求和列舉 (Windows)

支援的 Windows 平臺

Windows 智慧卡登入適用於 Windows 11 的最新預覽版。 在您套用下列其中一個更新 KB5017383之後,這些功能也適用於這些舊版 Windows 版本:

支援的瀏覽器

邊緣 Safari Firefox

注意

Microsoft Entra CBA 同時支援裝置上的憑證和外部記憶體,例如 Windows 上的安全性密鑰。

Windows 開箱體驗(OOBE)

Windows OOBE 應該允許使用者使用外部智慧卡讀取器登入,並針對 Microsoft Entra CBA 進行驗證。 根據預設,Windows OOBE 應該具有必要的智慧卡驅動程式或在 OOBE 設定前已經新增到 Windows 映像中的智慧卡驅動程式。

限制和警告

  • 在混合式或加入 Microsoft Entra 的 Windows 裝置上,Microsoft Entra CBA 受到支援。
  • 用戶必須位於受控網域或使用分段推出,且無法使用同盟驗證模型。

後續步驟