Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os usuários do Microsoft Entra podem se autenticar usando certificados X.509 em seus cartões inteligentes diretamente no ID do Microsoft Entra no login do Windows. Não há nenhuma configuração especial necessária no cliente Windows para aceitar a autenticação de cartão inteligente.
Experiência do usuário
Siga estas etapas para configurar o login com cartão inteligente do Windows:
Conecte o dispositivo ao Microsoft Entra ID ou a um ambiente híbrido (associação híbrida).
Configure o Microsoft Entra CBA em seu locatário, conforme descrito em Configurar o Microsoft Entra CBA.
Verifique se o usuário está com autenticação gerenciada ou usando distribuição em etapas.
Apresente o cartão inteligente físico ou virtual ao computador de teste.
Selecione o ícone de cartão inteligente, insira o PIN e autentique o usuário.
Os usuários receberão um PRT (token de atualização primário) do Microsoft Entra ID após a entrada bem-sucedida. Dependendo da configuração do CBA, o PRT conterá a reivindicação multifatorial.
Comportamento esperado em que o Windows envia o UPN do usuário para a CBA do Microsoft Entra
| Conexão | Ingressar no Microsoft Entra | Junção híbrida |
|---|---|---|
| Primeiro login | Extrair do certificado | AD UPN ou x509Hint |
| Login subsequente | Extrair do certificado | Microsoft Entra UPN em cache |
Regras do Windows para enviar UPN para dispositivos ingressados no Microsoft Entra
O Windows usará primeiro um nome principal e, se não estiver presente, então RFC822Name do SubjectAlternativeName (SAN) do certificado que está sendo usado para entrar no Windows. Se nenhum dos dois estiver presente, o usuário deverá fornecer adicionalmente uma Dica de Nome de Usuário. Para obter mais informações, consulte Dica de Nome de Usuário
Regras do Windows para envio de UPN para dispositivos híbridos unidos ao Microsoft Entra
A entrada de junção híbrida deve primeiro entrar com êxito no domínio do Active Directory (AD). O UPN do AD dos usuários é enviado para o Microsoft Entra ID. Na maioria dos casos, o valor UPN do Active Directory é o mesmo que o valor upn do Microsoft Entra e é sincronizado com o Microsoft Entra Connect.
Alguns clientes podem manter valores UPN diferentes e, às vezes, podem ter valores UPN não roteáveis no Active Directory (como user@woodgrove.local) Nesses casos, o valor enviado pelo Windows pode não corresponder aos usuários do Microsoft Entra UPN. Para dar suporte a esses cenários em que a ID do Microsoft Entra não pode corresponder ao valor enviado pelo Windows, uma pesquisa subsequente é executada para um usuário com um valor correspondente em seu atributo onPremisesUserPrincipalName . Se o login for bem-sucedido, o Windows armazenará em cache o UPN do Microsoft Entra do usuário e ele será enviado em logins subsequentes.
Observação
Em todos os casos, uma dica de login de nome de usuário fornecida pelo usuário (X509UserNameHint) será enviada, se fornecida. Para obter mais informações, consulte Dica de Nome de Usuário
Importante
Se um usuário fornecer uma dica de nome de usuário para logon (X509UserNameHint), o valor fornecido DEVERÁ estar no formato UPN.
Para obter mais informações sobre o fluxo do Windows, consulte Requisitos de Certificado e Enumeração (Windows).
Plataformas do Windows com suporte
A entrada de cartão inteligente do Windows funciona com a versão prévia mais recente do Windows 11. A funcionalidade também está disponível para estas versões anteriores do Windows depois que você aplica uma das seguintes atualizações KB5017383:
- Windows 11 – kb5017383
- Windows 10 – kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 – kb5017381
- Windows Server 2019 – kb5017379
Navegadores com suporte
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Observação
O Microsoft Entra CBA dá suporte a certificados no dispositivo, bem como armazenamento externo, como chaves de segurança no Windows.
Experiência do Windows Out of the Box (OOBE)
O Windows OOBE deve permitir que o usuário faça logon usando um leitor de cartão inteligente externo e autentique-se no Microsoft Entra CBA. Por padrão, o Windows OOBE deve ter os drivers de cartão inteligente necessários ou os drivers de cartão inteligente adicionados anteriormente à imagem do Windows antes da instalação do OOBE.
Restrições e advertências
- A CBA do Microsoft Entra é compatível com dispositivos Windows híbridos ou conectados ao Microsoft Entra.
- Os usuários devem estar em um domínio gerenciado ou usando a Distribuição Em Etapas e não podem usar um modelo de autenticação federada.
Próximas etapas
- Visão geral do Microsoft Entra CBA
- Exploração técnica aprofundada do Microsoft Entra CBA
- Como configurar o Microsoft Entra CBA
- Lista de revogação de certificados do Microsoft Entra CBA
- CBA do Microsoft Entra em dispositivos iOS
- CBA do Microsoft Entra em dispositivos Android
- Certificado de Identificação de Usuário
- Como migrar usuários federados
- perguntas frequentes