Inicio de sesión con tarjeta inteligente de Windows mediante la autenticación basada en certificados de Microsoft Entra

Los usuarios de Microsoft Entra pueden autenticarse mediante certificados X.509 en sus tarjetas inteligentes directamente con Microsoft Entra ID en el inicio de sesión de Windows. No se necesita ninguna configuración especial en el cliente de Windows para aceptar la autenticación con tarjeta inteligente.

Experiencia del usuario

Siga estos pasos para configurar el inicio de sesión con tarjeta inteligente de Windows:

  1. Una la máquina a cualquier Microsoft Entra ID o a un entorno híbrido (unión híbrida).

  2. Configure Microsoft Entra CBA en el inquilino como se describe en Configuración de Microsoft Entra CBA.

  3. Asegúrese de que el usuario está en la autenticación administrada o utilizando Lanzamiento preconfigurado.

  4. Presente la tarjeta inteligente física o virtual a la máquina de prueba.

  5. Seleccione el icono Tarjeta inteligente, escriba el PIN y autentique al usuario.

    Screenshot of smart card sign-in.

Los usuarios obtendrán un token de actualización principal (PRT) de Microsoft Entra ID después del inicio de sesión correcto. Según la configuración de CBA, el PRT contendrá la notificación multifactor.

Comportamiento esperado de Windows que envía UPN de usuario a Microsoft Entra CBA

Inicio de sesión Unión a Microsoft Entra Unión híbrida
Primero, inicie sesión Extracción del certificado UPN de AD o x509Hint
Inicio de sesión posterior Extracción del certificado UPN de Microsoft Entra almacenados en caché

Reglas de Windows para enviar UPN para dispositivos unidos a Microsoft Entra

Windows usará primero un nombre principal y, si no está presente, RFC822Name del SubjectAlternativeName (SAN) del certificado que se usa para iniciar sesión en Windows. Si ninguno está presente, el usuario debe proporcionar además una sugerencia de nombre de usuario. Para obtener más información, consulte Acciones Sugerencia de nombre de usuario.

Reglas de Windows para enviar UPN para dispositivos híbridos unidos a Microsoft Entra

El inicio de sesión de Unión híbrida primero debe iniciar sesión correctamente en el dominio de Active Directory (AD). El UPN de AD de los usuarios se envía a Microsoft Entra ID. En la mayoría de los casos, el valor UPN de Active Directory es el mismo que el valor de UPN de Microsoft Entra y se sincroniza con Microsoft Entra Connect.

Algunos clientes pueden mantener valores UPN diferentes y, a veces, no enrutables en Active Directory (como user@woodgrove.local) En estos casos, es posible que el valor enviado por Windows no coincida con el UPN de Microsoft Entra de los usuarios. Para admitir estos escenarios en los que Microsoft Entra ID no puede coincidir con el valor enviado por Windows, se realiza una búsqueda posterior para un usuario con un valor coincidente en su atributo onPremisesUserPrincipalName. Si el inicio de sesión se realiza correctamente, Windows almacenará en caché los usuarios el UPN de Microsoft Entra y se enviará en inicios de sesión posteriores.

Nota:

En todos los casos, se enviará una sugerencia de inicio de sesión de nombre de usuario proporcionada por el usuario (X509UserNameHint) si se proporciona. Para obtener más información, consulte Acciones Sugerencia de nombre de usuario.

Importante

Si un usuario proporciona una sugerencia de inicio de sesión de nombre de usuario (X509UserNameHint), el valor proporcionado debe estar en formato UPN.

Para obtener más información sobre el flujo de Windows, vea Certificate Requirements and Enumeration (Windows) (Requisitos de certificado y enumeración [Windows]).

Plataformas Windows soportadas

El inicio de sesión con tarjeta inteligente de Windows funciona con la versión preliminar más reciente de Windows 11. La funcionalidad también está disponible para estas versiones anteriores de Windows después de aplicar una de las siguientes actualizaciones KB5017383:

Exploradores compatibles

perimetral Chrome Safari Firefox

Nota:

Microsoft Entra CBA admite tanto certificados en el dispositivo como almacenamiento externo, como claves de seguridad en Windows.

Experiencia rápida de Windows (OOBE)

La OOBE de Windows debe permitir al usuario iniciar sesión con un lector de tarjetas inteligentes externo y autenticarse en Microsoft Entra CBA. De forma predeterminada, OOBE de Windows debe tener los controladores de tarjeta inteligente necesarios o los controladores de tarjeta inteligente previamente agregados a la imagen de Windows antes de la instalación de OOBE.

Restricciones y advertencias

  • Microsoft Entra CBA se admite en dispositivos Windows que están unidos híbridos o Microsoft Entra.
  • Los usuarios deben estar en un dominio administrado o usar el lanzamiento preconfigurado y no pueden usar un modelo de autenticación federada.

Pasos siguientes