Microsoft Entra ユーザーは、Windows サインイン時に Microsoft Entra ID に対して、スマート カード上の X.509 証明書を使用して直接認証できます。 スマート カード認証を受け入れるために、Windows クライアントに特別な構成は必要ありません。
ユーザー エクスペリエンス
Windows スマート カードのサインインを設定するには、次の手順に従います。
マシンを Microsoft Entra ID またはハイブリッド環境 (ハイブリッド参加) に参加させます。
「Microsoft Entra CBA の構成」の説明に従って、テナントで Microsoft Entra CBA を構成します。
ユーザーがマネージド認証を使用しているか、 段階的ロールアウトを使用していることを確認します。
物理スマート カードまたは仮想スマート カードをテスト マシンに提示します。
スマート カード アイコンを選択し、PIN を入力して、ユーザーを認証します。
ユーザーは、サインインが成功した後、Microsoft Entra ID からプライマリ更新トークン (PRT) を取得します。 CBA の構成に応じて、PRT には多要素要求が含まれます。
ユーザー UPN を Microsoft Entra CBA に送信する Windows の予期される動作
| サインイン | Microsoft Entra に参加 | ハイブリッド参加 |
|---|---|---|
| 最初のサインイン | 証明書からのプル | AD UPN または x509Hint |
| 以降のサインイン | 証明書からのプル | キャッシュされた Microsoft Entra UPN |
Microsoft Entra 参加済みデバイスの UPN を送信するための Windows ルール
Windows は最初にプリンシパル名を使用し、存在しない場合は、Windows へのサインインに使用されている証明書の SubjectAlternativeName (SAN) から RFC822Name を使用します。 どちらも存在しない場合、ユーザーはユーザー名ヒントを追加で指定する必要があります。 詳細については、「ユーザー名のヒント」を参照してください。
Microsoft Entra ハイブリッド参加済みデバイスの UPN を送信するための Windows ルール
ハイブリッド参加サインインは、まず Active Directory (AD) ドメインに対して正常にサインインする必要があります。 ユーザー AD UPN が Microsoft Entra ID に送信されます。 ほとんどの場合、Active Directory UPN 値は Microsoft Entra UPN 値と同じであり、Microsoft Entra Connect と同期されます。
Active Directory でルーティング不可能な UPN 値 ( user@woodgrove.local など) を保持しているお客様もいます。このような場合、Windows によって送信される値が Microsoft Entra UPN ユーザーと一致しない場合があります。 Microsoft Entra ID が Windows によって送信された値と一致しないこれらのシナリオをサポートするために、 onPremisesUserPrincipalName 属性に一致する値を持つユーザーに対して後続の参照が実行されます。 サインインが成功した場合、Windows はユーザーの Microsoft Entra UPN をキャッシュし、以降のサインインで送信されます。
注
いずれの場合も、ユーザー指定のユーザー名ログイン ヒント (X509UserNameHint) が指定された場合に送信されます。 詳細については、「ユーザー名のヒント」を参照してください。
Von Bedeutung
ユーザーがユーザー名ログイン ヒント (X509UserNameHint) を指定した場合、指定する値は UPN 形式である 必要があります 。
Windows フローの詳細については、「 証明書の要件と列挙 (Windows)」を参照してください。
サポートされている Windows プラットフォーム
Windows スマート カードのサインインは、Windows 11 の最新のプレビュー ビルドで動作します。 この機能は、次 のいずれかの更新プログラムをKB5017383適用した後、これらの以前のバージョンの Windows でも使用できます。
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
サポートされているブラウザー
| エッジ | クロム | サファリ | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
注
Microsoft Entra CBA では、デバイス上の証明書と、Windows のセキュリティ キーなどの外部ストレージの両方がサポートされています。
Windows Out of the Box エクスペリエンス (OOBE)
Windows OOBE では、ユーザーが外部スマート カード リーダーを使用してログインし、Microsoft Entra CBA に対して認証できるようにする必要があります。 既定では、Windows OOBE には、OOBE のセットアップ前に必要なスマート カード ドライバーまたはスマート カード ドライバーが Windows イメージに追加されている必要があります。
制限事項と注意事項
- Microsoft Entra CBA は、ハイブリッドまたは Microsoft Entra 参加済みの Windows デバイスでサポートされています。
- ユーザーはマネージド ドメインに属しているか、段階的ロールアウトを使用している必要があり、フェデレーション認証モデルを使用することはできません。