Windows intelligenskártya-bejelentkezés a Microsoft Entra tanúsítványalapú hitelesítéssel
A Microsoft Entra-felhasználók az intelligens kártyáikon lévő X.509-tanúsítványokkal közvetlenül a Microsoft Entra-azonosítóval hitelesíthetik magukat a Windows bejelentkezéskor. A Windows-ügyfélen nincs szükség különleges konfigurációra az intelligenskártya-hitelesítés elfogadásához.
Felhasználó felület
A Windows intelligenskártya-bejelentkezés beállításához kövesse az alábbi lépéseket:
Csatlakoztassa a gépet a Microsoft Entra-azonosítóhoz vagy egy hibrid környezethez (hibrid illesztés).
Konfigurálja a Microsoft Entra CBA-t a bérlőjében a Microsoft Entra CBA konfigurálása című cikkben leírtak szerint.
Győződjön meg arról, hogy a felhasználó felügyelt hitelesítésen vagy szakaszos bevezetésen van.
A fizikai vagy virtuális intelligens kártya bemutatása a tesztgépen.
Válassza az intelligens kártya ikont, írja be a PIN-kódot, és hitelesítse a felhasználót.
A sikeres bejelentkezés után a felhasználók elsődleges frissítési jogkivonatot (PRT) kapnak a Microsoft Entra-azonosítóból. A CBA-konfigurációtól függően a PRT tartalmazni fogja a többtényezős jogcímet.
A Windows felhasználó UPN-nek a Microsoft Entra CBA-ba való küldésének várt viselkedése
| Sign-in | A Microsoft Entra csatlakoztatása | Hybrid join |
|---|---|---|
| Első bejelentkezés | Lekérés tanúsítványból | AD UPN vagy x509Hint |
| További bejelentkezés | Lekérés tanúsítványból | Gyorsítótárazott Microsoft Entra UPN |
Windows-szabályok az UPN microsoft Entra-hoz csatlakoztatott eszközökhöz való küldéséhez
A Windows először egy egyszerű nevet használ, és ha nincs jelen, akkor a Windowsba való bejelentkezéshez használt tanúsítvány SubjectAlternativeName (SAN) tartománynevéből származó RFC822Name nevet. Ha egyik sem jelenik meg, a felhasználónak emellett meg kell adnia egy felhasználónév-emlékeztetőt is. További információ: Felhasználónév-tipp
Windows-szabályok a hibrid Microsoft Entra-eszközök upN-ének küldéséhez
A hibrid csatlakozás bejelentkezésének először sikeresen be kell jelentkeznie az Active Directory(AD) tartományba. A rendszer elküldi az AD UPN-et a Microsoft Entra-azonosítónak. A legtöbb esetben az Active Directory UPN értéke megegyezik a Microsoft Entra UPN értékével, és szinkronizálva van a Microsoft Entra Csatlakozás.
Előfordulhat, hogy egyes ügyfelek eltérő értékeket tartanak fenn, és előfordulhat, hogy az Active Directoryban nem módosítható UPN-értékek vannak (például user@woodgrove.local) Ezekben az esetekben előfordulhat, hogy a Windows által küldött érték nem egyezik a Microsoft Entra UPN felhasználóival. Az olyan forgatókönyvek támogatásához, amelyekben a Microsoft Entra-azonosító nem felel meg a Windows által küldött értéknek, a rendszer egy későbbi keresési műveletet hajt végre egy olyan felhasználó esetében, aki egyező értékkel rendelkezik az onPremisesUserPrincipalName attribútumban. Ha a bejelentkezés sikeres, a Windows gyorsítótárazza a Microsoft Entra UPN felhasználóit, és a rendszer további bejelentkezéseket küld.
Megjegyzés:
Minden esetben a felhasználó által megadott felhasználónév-bejelentkezési tipp (X509UserNameHint) lesz elküldve, ha meg van adva. További információ: Felhasználónév-tipp
Fontos
Ha egy felhasználó megad egy felhasználónév-bejelentkezési tippet (X509UserNameHint), a megadott értéknek UPN formátumban kell lennie.
A Windows-folyamatról további információt a Tanúsítványkövetelmények és az Enumerálás (Windows) című témakörben talál.
Támogatott Windows-platformok
A Windows intelligens kártyás bejelentkezés a Windows 11 legújabb előzetes verziójával működik. A funkció az alábbi frissítések KB5017383 alkalmazása után is elérhető ezekhez a korábbi Windows-verziókhoz:
- Windows 11 – kb5017383
- Windows 10 – kb5017379
- Windows Server 20H2 – kb5017380
- Windows Server 2022 – kb5017381
- Windows Server 2019 – kb5017379
Supported browsers
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Megjegyzés:
A Microsoft Entra CBA támogatja az eszközön lévő tanúsítványokat és a külső tárolókat, például a Windows biztonsági kulcsait.
Windows Házon kívül felület (OOBE)
A Windows OOBE-nak lehetővé kell tennie, hogy a felhasználó külső intelligenskártya-olvasóval jelentkezzen be, és hitelesítse magát a Microsoft Entra CBA-n. A Windows OOBE-nak alapértelmezés szerint rendelkeznie kell a szükséges intelligenskártya-illesztőprogramokkal vagy az intelligenskártya-illesztőprogramokkal, amelyeket korábban hozzáadtak a Windows rendszerképhez az OOBE beállítása előtt.
Korlátozások és kikötések
- A Microsoft Entra CBA a hibrid vagy a Microsoft Entra-hoz csatlakoztatott Windows-eszközökön támogatott.
- A felhasználóknak felügyelt tartományban kell lenniük, vagy szakaszos bevezetést kell használniuk, és nem használhatnak összevont hitelesítési modellt.