Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пользователи Microsoft Entra могут проходить проверку подлинности с помощью сертификатов X.509 на смарт-картах, непосредственно взаимодействуя с Microsoft Entra ID при входе в Windows. Для принятия проверки подлинности смарт-карты на клиенте Windows не требуется специальная конфигурация.
Взаимодействие с пользователем
Выполните следующие действия, чтобы настроить вход с смарт-картой Windows:
Присоедините устройство к Microsoft Entra ID или гибридной среде (гибридное присоединение).
Настройте Microsoft Entra CBA в клиенте, как описано в разделе Настройка Microsoft Entra CBA.
Убедитесь, что пользователь находится на управляемой аутентификации или использует поэтапное развертывание.
Представление физической или виртуальной смарт-карты на тестовом компьютере.
Выберите значок смарт-карты, введите ПИН-код и выполните проверку подлинности пользователя.
После успешного входа пользователи получат первичный маркер обновления (PRT) от идентификатора Microsoft Entra. В зависимости от конфигурации CBA, PRT будет содержать многофакторную заявку.
Ожидаемое поведение системы Windows при отправке UPN пользователя в Microsoft Entra CBA
| Вход | Присоединение к Microsoft Entra | Гибридное соединение |
|---|---|---|
| Первый вход | Извлечение из сертификата | AD UPN или x509Hint |
| Следующий вход | Извлечение из сертификата | Кэшированное UPN Microsoft Entra |
Правила Windows для отправки UPN для устройств, подключенных к Microsoft Entra
Windows сначала будет использовать основное имя, а если оно отсутствует, то имя RFC822Name из SubjectAlternativeName (SAN) сертификата, который используется для входа в Windows. Если ни одно из них отсутствует, пользователь должен дополнительно указать указание имени пользователя. Для получения дополнительной информации см., подсказка имени пользователя
Правила Windows для отправки UPN для гибридных устройств, присоединенных к Microsoft Entra
Для гибридного входа необходимо сначала успешно аутентифицироваться в домене Active Directory (AD). UPN пользователя AD отправляется в Microsoft Entra ID. В большинстве случаев значение имени участника-пользователя Active Directory совпадает со значением имени участника-пользователя Microsoft Entra и синхронизируется с Microsoft Entra Connect.
Некоторые клиенты могут использовать разные, а иногда и не маршрутизируемые UPN в Active Directory (например, user@woodgrove.local). В этих случаях значение, отправленное Windows, может не соответствовать UPN пользователей Microsoft Entra. Для поддержки этих сценариев, когда идентификатор Microsoft Entra не может соответствовать значению, отправленному Windows, выполняется последующий поиск пользователя с совпадающим значением в атрибуте onPremisesUserPrincipalName. Если вход выполнен успешно, Windows кэширует UPN пользователя Microsoft Entra и отправляет его при последующих входах в систему.
Заметка
Во всех случаях, если указана предоставленная пользователем подсказка для входа по имени пользователя (X509UserNameHint), она будет отправлена. Для получения дополнительной информации см., подсказка имени пользователя
Важный
Если пользователь указывает подсказку имени пользователя (X509UserNameHint), предоставленное значение ДОЛЖНО быть в формате UPN.
Дополнительные сведения о процессе Windows см. в разделе Требования к сертификату и перечисление (Windows).
Поддерживаемые платформы Windows
Вход с использованием смарт-карты Windows работает с последней предварительной сборкой Windows 11. Функции также доступны для этих более ранних версий Windows после применения одного из следующих обновлений KB5017383:
- Windows 11 — kb5017383
- Windows 10 — kb5017379
- Windows Server 20H2— kb5017380
- Windows Server 2022 — kb5017381
- Windows Server 2019 — kb5017379
Поддерживаемые браузеры
| Край | Хром | Сафари | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Заметка
Microsoft Entra CBA поддерживает оба сертификата на устройстве, а также внешнее хранилище, например ключи безопасности в Windows.
Опыт использования Windows сразу после распаковки (OOBE)
Windows OOBE должен разрешить пользователю войти с помощью внешнего средства чтения смарт-карт и пройти проверку подлинности в Microsoft Entra CBA. Windows OOBE по умолчанию должен иметь необходимые драйверы смарт-карт или драйверы смарт-карт, ранее добавленные в образ Windows перед настройкой OOBE.
Ограничения и предостережения
- Microsoft Entra CBA поддерживается на устройствах Windows, которые являются гибридными или присоединенными к Microsoft Entra.
- Пользователи должны находиться в управляемом домене или использовать поэтапное развертывание и не могут использовать федеративную модель проверки подлинности.
Дальнейшие действия
- Обзор Microsoft Entra CBA
- Техническое углубленное изучение Microsoft Entra CBA
- Как настроить Microsoft Entra CBA
- Microsoft Entra CBA на устройствах iOS
- Microsoft Entra CBA на устройствах Android
- идентификаторы пользователей сертификата
- Как перенести федеративных пользователей
- вопросы и ответы