Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les utilisateurs de Microsoft Entra peuvent s'authentifier à l'aide de certificats X.509 sur leurs cartes à puce directement auprès de Microsoft Entra ID lors de l'ouverture de session sur Windows. Il n’existe aucune configuration spéciale nécessaire sur le client Windows pour accepter l’authentification par carte à puce.
Expérience utilisateur
Procédez comme suit pour configurer la connexion à la carte à puce Windows :
Joignez la machine à l’ID Microsoft Entra ou à un environnement hybride (jointure hybride).
Configurez Microsoft Entra CBA dans votre locataire, comme décrit dans Configurer Microsoft Entra CBA.
Vérifiez que l’utilisateur est soumis à une authentification managée ou qu’il utilise un déploiement par étapes.
Présentez la carte à puce physique ou virtuelle à la machine de test.
Sélectionnez l’icône de carte à puce, entrez le code confidentiel et authentifiez l’utilisateur.
Les utilisateurs obtiennent un jeton d’actualisation principal (PRT) à partir de l’ID Microsoft Entra après la connexion réussie. Selon la configuration de la CBA, le PRT contient la revendication multifacteur.
Comportement attendu de Windows envoyant un UPN utilisateur à Microsoft Entra CBA
| Se connecter | Jonction Microsoft Entra | Jointure hybride |
|---|---|---|
| Première connexion | Extraire du certificat | UPN AD ou x509Hint |
| Connexion suivante | Extraire du certificat | Mise en cache d'UPN Microsoft Entra |
Règles Windows pour l’envoi d’UPN pour les appareils joints à Microsoft Entra
Windows utilise d’abord un nom principal et, s’il n’est pas présent, RFC822Name à partir de SubjectAlternativeName (SAN) du certificat utilisé pour se connecter à Windows. Si aucun d’entre elles n’est présent, l’utilisateur doit également fournir un indicateur de nom d’utilisateur. Pour plus d’informations, consultez l’indicateur de nom d’utilisateur
Règles Windows pour l’envoi d’UPN pour les appareils joints hybrides Microsoft Entra
La connexion de jointure hybride doit d’abord se connecter au domaine Active Directory(AD). L'UPN de l'utilisateur AD est envoyé à Microsoft Entra ID. Dans la plupart des cas, la valeur UPN Active Directory est identique à la valeur UPN Microsoft Entra et est synchronisée avec Microsoft Entra Connect.
Certains clients peuvent conserver différentes et parfois avoir des valeurs UPN non routables dans Active Directory (par exemple user@woodgrove.local) Dans ces cas, la valeur envoyée par Windows peut ne pas correspondre aux utilisateurs Microsoft Entra UPN. Pour prendre en charge ces scénarios où Microsoft Entra ID ne peut pas correspondre à la valeur envoyée par Windows, une recherche ultérieure est effectuée pour un utilisateur avec une valeur correspondante dans son attribut onPremisesUserPrincipalName . Si la connexion réussit, Windows met en cache le UPN Microsoft Entra de l'utilisateur et l'envoie lors des connexions suivantes.
Remarque
Dans tous les cas, un indice de connexion pour le nom d'utilisateur fourni par l'utilisateur (X509UserNameHint) sera envoyé s'il est disponible. Pour plus d’informations, consultez l’indicateur de nom d’utilisateur
Importante
Si un utilisateur fournit un indicateur de connexion de nom d’utilisateur (X509UserNameHint), la valeur fournie doit être au format UPN.
Pour plus d’informations sur le flux Windows, consultez Exigences et énumération des certificats (Windows).
Plateformes Windows prises en charge
La connexion à la carte à puce Windows fonctionne avec la dernière version préliminaire de Windows 11. Les fonctionnalités sont également disponibles pour ces versions antérieures de Windows après avoir appliqué l’une des mises à jour suivantes KB5017383 :
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2 - kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Navigateurs pris en charge
| Microsoft Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Remarque
Microsoft Entra CBA prend en charge les certificats sur appareil ainsi que le stockage externe comme les clés de sécurité sur Windows.
Windows Out of Box Experience (OOBE)
Windows OOBE doit autoriser l’utilisateur à se connecter à l’aide d’un lecteur de carte à puce externe et s’authentifier auprès de Microsoft Entra CBA. Windows OOBE par défaut doit avoir les pilotes de carte à puce nécessaires ou les pilotes de carte à puce précédemment ajoutés à l’image Windows avant l’installation d’OOBE.
Restrictions et mises en garde
- Microsoft Entra CBA est pris en charge sur les appareils Windows hybrides ou joints à Microsoft Entra.
- Les utilisateurs doivent se trouver dans un domaine managé ou utiliser le déploiement intermédiaire et ne peuvent pas utiliser de modèle d’authentification fédéré.
Étapes suivantes
- Vue d’ensemble de Microsoft Entra CBA
- Présentation technique approfondie de Microsoft Entra CBA
- Guide pratique pour configurer Microsoft Entra CBA
- Liste de révocation de certificats Microsoft Entra CBA
- Microsoft Entra CBA sur les appareils iOS
- Microsoft Entra CBA sur les appareils Android
- ID des utilisateurs du certificat
- Comment migrer des utilisateurs fédérés
- FORUM AUX QUESTIONS