Accesso tramite smart card di Windows con l'autenticazione basata su certificato di Microsoft Entra
Gli utenti di Microsoft Entra possono eseguire l'autenticazione usando certificati X.509 sulle smart card direttamente con Microsoft Entra ID all'accesso a Windows. Non è necessaria alcuna configurazione speciale nel client Windows per accettare l'autenticazione tramite smart card.
Esperienza utente
Per configurare l'accesso tramite smart card di Windows, seguire questa procedura:
Aggiungere il computer all'ID Microsoft Entra o a un ambiente ibrido (join ibrido).
Configurare L'autorità di certificazione Microsoft Entra nel tenant come descritto in Configurare L'autorità di certificazione Microsoft Entra.
Assicurarsi che l'utente sia in fase di autenticazione gestita o che usi l'implementazione a fasi.
Presentare la smart card fisica o virtuale al computer di test.
Selezionare l'icona della smart card, immettere il PIN e autenticare l'utente.
Gli utenti riceveranno un token di aggiornamento primario (PRT) da Microsoft Entra ID dopo l'accesso riuscito. A seconda della configurazione dell'autorità di certificazione, il token di aggiornamento primario conterrà l'attestazione a più fattori.
Comportamento previsto dell'invio dell'UPN dell'utente a Microsoft Entra CBA
| Accedi | Microsoft Entra unisce | Aggiunta a un ambiente ibrido |
|---|---|---|
| Primo accesso | Eseguire il pull dal certificato | AD UPN o x509Hint |
| Accesso successivo | Eseguire il pull dal certificato | UPN di Microsoft Entra memorizzato nella cache |
Regole di Windows per l'invio di UPN per i dispositivi aggiunti a Microsoft Entra
Windows userà innanzitutto un nome di entità e, se non presente, RFC822Name dal nome SoggettoAlternativeName (SAN) del certificato usato per accedere a Windows. Se nessuno dei due elementi è presente, l'utente deve inoltre fornire un hint per il nome utente. Per altre informazioni, vedere Hint per il nome utente
Regole di Windows per l'invio dell'UPN per i dispositivi aggiunti ibridi a Microsoft Entra
L'accesso all'aggiunta ibrida deve prima eseguire correttamente l'accesso al dominio di Active Directory(AD). Gli utenti AD UPN vengono inviati a Microsoft Entra ID. Nella maggior parte dei casi, il valore UPN di Active Directory corrisponde al valore UPN di Microsoft Entra e viene sincronizzato con Microsoft Entra Connessione.
Alcuni clienti possono mantenere valori UPN diversi e talvolta potrebbero avere valori UPN non instradabili in Active Directory (ad esempio user@woodgrove.local) In questi casi il valore inviato da Windows potrebbe non corrispondere agli utenti Microsoft Entra UPN. Per supportare questi scenari in cui Microsoft Entra ID non può corrispondere al valore inviato da Windows, viene eseguita una ricerca successiva per un utente con un valore corrispondente nell'attributo onPremisesUserPrincipalName . Se l'accesso ha esito positivo, Windows memorizza nella cache gli utenti Microsoft Entra UPN e viene inviato negli accessi successivi.
Nota
In tutti i casi, un utente ha fornito l'hint di accesso al nome utente (X509UserNameHint) se specificato. Per altre informazioni, vedere Hint per il nome utente
Importante
Se un utente fornisce un hint di accesso nome utente (X509UserNameHint), il valore specificato deve essere in formato UPN.
Per altre informazioni sul flusso di Windows, vedere Requisiti dei certificati ed enumerazione (Windows).For more information about the Windows flow, see Certificate Requirements and Enumeration (Windows).
Piattaforme Windows supportate
L'accesso alla smart card di Windows funziona con la build di anteprima più recente di Windows 11. La funzionalità è disponibile anche per queste versioni precedenti di Windows dopo aver applicato uno degli aggiornamenti seguenti KB5017383:
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Browser supportati
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Nota
Microsoft Entra CBA supporta sia i certificati sul dispositivo che l'archiviazione esterna, ad esempio le chiavi di sicurezza in Windows.
Esperienza guidata di Windows out-of-box
La configurazione guidata di Windows deve consentire all'utente di accedere usando un lettore di smart card esterno ed eseguire l'autenticazione in Microsoft Entra CBA. La configurazione guidata di Windows per impostazione predefinita deve avere i driver di smart card necessari o i driver di smart card aggiunti in precedenza all'immagine di Windows prima della configurazione della configurazione guidata.
Restrizioni e avvertenze
- Microsoft Entra CBA è supportato nei dispositivi Windows aggiunti a Microsoft Entra o ibridi.
- Gli utenti devono trovarsi in un dominio gestito o usando l'implementazione a fasi e non possono usare un modello di autenticazione federata.