Inloggning med Windows-smartkort med Microsoft Entra-certifikatbaserad autentisering
Microsoft Entra-användare kan autentisera med X.509-certifikat på sina smartkort direkt mot Microsoft Entra-ID vid Windows-inloggning. Det behövs ingen särskild konfiguration på Windows-klienten för att acceptera smartkortautentiseringen.
Användarupplevelse
Följ de här stegen för att konfigurera inloggning med Windows-smartkort:
Anslut datorn till antingen Microsoft Entra-ID eller en hybridmiljö (hybridanslutning).
Konfigurera Microsoft Entra CBA i din klientorganisation enligt beskrivningen i Konfigurera Microsoft Entra CBA.
Kontrollera att användaren antingen har hanterad autentisering eller använder stegvis distribution.
Presentera det fysiska eller virtuella smartkortet för testdatorn.
Välj smartkortikonen, ange PIN-koden och autentisera användaren.
Användarna får en primär uppdateringstoken (PRT) från Microsoft Entra-ID efter den lyckade inloggningen. Beroende på CBA-konfigurationen innehåller PRT multifaktoranspråket.
Förväntat beteende för Windows som skickar användar-UPN till Microsoft Entra CBA
| Logga in | Microsoft Entra-anslutning | Hybrid join |
|---|---|---|
| Första inloggningen | Hämta från certifikat | AD UPN eller x509Hint |
| Efterföljande inloggning | Hämta från certifikat | Cachelagrat Microsoft Entra UPN |
Windows-regler för att skicka UPN för Microsoft Entra-anslutna enheter
Windows använder först ett huvudnamn och om det inte finns det kommer RFC822Name från SubjectAlternativeName (SAN) för certifikatet som används för att logga in på Windows. Om ingen av dem finns måste användaren dessutom ange ett användarnamnstips. Mer information finns i Tips om användarnamn
Windows-regler för att skicka UPN för Hybrid-anslutna Microsoft Entra-enheter
Hybridanslutningsinloggning måste först logga in mot Active Directory(AD)-domänen. Användarnas AD UPN skickas till Microsoft Entra-ID. I de flesta fall är Active Directory UPN-värdet detsamma som Microsoft Entra UPN-värdet och synkroniseras med Microsoft Entra Anslut.
Vissa kunder kan ha olika och kan ibland ha icke-dirigerbara UPN-värden i Active Directory (till exempel ) I dessa fall kanske värdet som user@woodgrove.localskickas av Windows inte matchar användarna Microsoft Entra UPN. För att stödja dessa scenarier där Microsoft Entra-ID inte kan matcha värdet som skickas av Windows utförs en efterföljande sökning för en användare med ett matchande värde i deras onPremisesUserPrincipalName-attribut . Om inloggningen lyckas cachelagrar Windows användarna Microsoft Entra UPN och skickas i efterföljande inloggningar.
Kommentar
I samtliga fall skickas en användarangiven inloggningstips (X509UserNameHint) om det tillhandahålls. Mer information finns i Tips om användarnamn
Viktigt!
Om en användare anger ett inloggningstips för användarnamn (X509UserNameHint) måste det angivna värdet vara i UPN-format.
Mer information om Windows-flödet finns i Certifikatkrav och Uppräkning (Windows).
Windows-plattformar som stöds
Windows smartkortsinloggning fungerar med den senaste förhandsversionen av Windows 11. Funktionen är också tillgänglig för dessa tidigare Windows-versioner när du har tillämpat någon av följande uppdateringar KB5017383:
- Windows 11 – kb5017383
- Windows 10 – kb5017379
- Windows Server 20H2– kb5017380
- Windows Server 2022 – kb5017381
- Windows Server 2019 – kb5017379
Webbläsare som stöds
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Kommentar
Microsoft Entra CBA stöder både certifikat på enheten och extern lagring som säkerhetsnycklar i Windows.
Windows Out of the box-upplevelsen (OOBE)
Windows OOBE bör tillåta användaren att logga in med hjälp av en extern smartkortsläsare och autentisera mot Microsoft Entra CBA. Windows OOBE bör som standard ha nödvändiga smartkortsdrivrutiner eller smartkortsdrivrutiner som tidigare lagts till i Windows-avbildningen innan OOBE-installationen.
Begränsningar och varningar
- Microsoft Entra CBA stöds på Windows-enheter som är hybrid- eller Microsoft Entra-anslutna.
- Användare måste vara i en hanterad domän eller använda stegvis distribution och kan inte använda en federerad autentiseringsmodell.