Masuk kartu pintar Windows menggunakan autentikasi berbasis sertifikat Microsoft Entra
Pengguna Microsoft Entra dapat mengautentikasi menggunakan sertifikat X.509 pada kartu pintar mereka langsung terhadap ID Microsoft Entra saat masuk Windows. Tidak ada konfigurasi khusus yang diperlukan pada klien Windows untuk menerima autentikasi kartu pintar.
Pengalaman pengguna
Ikuti langkah-langkah berikut untuk menyiapkan rincian masuk kartu pintar Windows:
Gabungkan komputer ke ID Microsoft Entra atau lingkungan hibrid (gabungan hibrid).
Konfigurasikan Microsoft Entra CBA di penyewa Anda seperti yang dijelaskan dalam Mengonfigurasi Microsoft Entra CBA.
Pastikan pengguna berada di autentikasi terkelola atau menggunakan Peluncuran Bertahap.
Sajikan kartu pintar fisik atau virtual ke mesin uji.
Pilih ikon kartu pintar, masukkan PIN, dan autentikasi pengguna.
Pengguna akan mendapatkan token refresh utama (PRT) dari ID Microsoft Entra setelah berhasil masuk. Tergantung pada konfigurasi CBA, PRT akan berisi klaim multifaktor.
Perilaku yang diharapkan dari Windows mengirim UPN pengguna ke Microsoft Entra CBA
| Masuk | Gabungan Microsoft Entra | Gabungan hibrid |
|---|---|---|
| Masuk pertama | Menarik dari sertifikat | AD UPN atau x509Hint |
| Rincian masuk berikutnya | Menarik dari sertifikat | Cache Microsoft Entra UPN |
Aturan Windows untuk mengirim UPN untuk perangkat yang bergabung dengan Microsoft Entra
Windows akan terlebih dahulu menggunakan nama utama dan jika tidak ada maka RFC822Name dari SubjectAlternativeName (SAN) sertifikat yang digunakan untuk masuk ke Windows. Jika tidak ada, pengguna juga harus memberikan Petunjuk Nama Pengguna. Untuk informasi selengkapnya, lihat Petunjuk Nama Pengguna
Aturan Windows untuk mengirim UPN untuk perangkat gabungan hibrid Microsoft Entra
Rincian masuk Hybrid Join harus terlebih dahulu berhasil masuk terhadap domain Active Directory(AD). PENGGUNA AD UPN dikirim ke MICROSOFT Entra ID. Dalam kebanyakan kasus, nilai UPN Direktori Aktif sama dengan nilai UPN Microsoft Entra dan disinkronkan dengan Microsoft Entra Koneksi.
Beberapa pelanggan mungkin mempertahankan yang berbeda dan terkadang mungkin memiliki nilai UPN yang tidak dapat dirutekan di Direktori Aktif (seperti user@woodgrove.local) Dalam kasus ini nilai yang dikirim oleh Windows mungkin tidak cocok dengan pengguna Microsoft Entra UPN. Untuk mendukung skenario di mana ID Microsoft Entra tidak dapat mencocokkan nilai yang dikirim oleh Windows, pencarian berikutnya dilakukan untuk pengguna dengan nilai yang cocok dalam atribut onPremisesUserPrincipalName mereka. Jika proses masuk berhasil, Windows akan men-cache pengguna Microsoft Entra UPN dan dikirim dalam rincian masuk berikutnya.
Catatan
Dalam semua kasus, petunjuk masuk nama pengguna yang disediakan pengguna (X509UserNameHint) akan dikirim jika disediakan. Untuk informasi selengkapnya, lihat Petunjuk Nama Pengguna
Penting
Jika pengguna memberikan petunjuk masuk nama pengguna (X509UserNameHint), nilai yang disediakan HARUS dalam Format UPN.
Untuk informasi selengkapnya tentang alur Windows, lihat Persyaratan Sertifikat dan Enumerasi (Windows).
Platform Windows yang didukung
Rincian masuk kartu pintar Windows berfungsi dengan build pratinjau terbaru Windows 11. Fungsionalitas ini juga tersedia untuk versi Windows sebelumnya ini setelah Anda menerapkan salah satu pembaruan berikut KB5017383:
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Browser yang didukung
| Azure Stack Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Catatan
Microsoft Entra CBA mendukung sertifikat di perangkat serta penyimpanan eksternal seperti kunci keamanan di Windows.
Pengalaman Windows Out of the box (OOBE)
Windows OOBE harus memungkinkan pengguna untuk masuk menggunakan pembaca kartu pintar eksternal dan mengautentikasi terhadap Microsoft Entra CBA. Windows OOBE secara default harus memiliki driver kartu pintar yang diperlukan atau driver kartu pintar yang sebelumnya ditambahkan ke gambar Windows sebelum penyiapan OOBE.
Pembatasan dan peringatan
- Microsoft Entra CBA didukung pada perangkat Windows yang tergabung dengan hibrid atau Microsoft Entra.
- Pengguna harus berada di domain terkelola atau menggunakan Peluncuran Bertahap dan tidak dapat menggunakan model autentikasi gabungan.