Logon com cartão inteligente do Windows usando a autenticação baseada em certificado do Microsoft Entra
No momento do logon no Windows, os usuários do Microsoft Entra podem realizar a autenticação diretamente no Microsoft Entra ID com certificados X.509 em cartões inteligentes. Não há necessidade de configuração especial no cliente Windows para aceitar a autenticação de cartão inteligente.
Experiência do usuário
Siga estas etapas para configurar a entrada de cartão inteligente do Windows:
Associe o computador ao Microsoft Entra ID ou a um ambiente híbrido (junção híbrida).
Configure a CBA do Microsoft Entra no locatário conforme descrito em Configurar a CBA do Microsoft Entra.
Certifique-se de que o usuário esteja em autenticação gerenciada ou usando Distribuição em etapas.
Apresente o SmartCard físico ou virtual à máquina de teste.
Selecione o ícone do SmartCard, insira o PIN e autentique o usuário.
Os usuários receberão um PRT (token de atualização primária) do Microsoft Entra ID após o logon bem-sucedido. Dependendo da configuração da CBA, o PRT conterá a declaração multifator.
Comportamento esperado em que o Windows envia o UPN do usuário para a CBA do Microsoft Entra
| Entrar | Ingresso do Microsoft Entra | Junção híbrida |
|---|---|---|
| Primeiro login | Extrair do certificado | AD UPN ou x509Hint |
| Login subsequente | Extrair do certificado | UPN do Microsoft Entra armazenado em cache |
Regras do Windows relativas ao envio do UPN para os dispositivos conectados ao Microsoft Entra
O Windows usará primeiro um nome principal e, se não estiver presente, RFC822Name do SubjectAlternativeName (SAN) do certificado que está sendo usado para entrar no Windows. Se nenhum estiver presente, o usuário deverá fornecer adicionalmente uma Dica de nome de usuário. Para obter mais informações, consulte Dica de nome de usuário
Regras do Windows relativas ao envio do UPN para os dispositivos híbridos conectados ao Microsoft Entra
A entrada de junção híbrida deve primeiro entrar com êxito no domínio do Active Directory (AD). O UPN do AD dos usuários é enviado ao Microsoft Entra ID. Na maioria dos casos, o valor do UPN do Active Directory é igual ao valor do UPN do Microsoft Entra e é sincronizado com o Microsoft Entra Connect.
Alguns clientes podem manter valores de UPN diferentes e, às vezes, não roteáveis no Active Directory (como user@woodgrove.local). Nesses casos, o valor enviado pelo Windows pode não corresponder ao UPN do Microsoft Entra dos usuários. Para dar suporte a esses cenários em que o Microsoft Entra ID não pode realizar a correspondência com o valor enviado pelo Windows, uma pesquisa subsequente é feita em busca de um usuário com um valor correspondente no atributo onPremisesUserPrincipalName. Se o logon for bem-sucedido, o Windows armazenará em cache o UPN do Microsoft Entra dos usuários e o enviará em logons subsequentes.
Observação
Em todos os casos, uma dica de logon de nome de usuário fornecida pelo usuário (X509UserNameHint) será enviada se fornecida. Para obter mais informações, consulte Dica de nome de usuário
Importante
Se um usuário fornecer uma dica de logon de nome de usuário (X509UserNameHint), o valor fornecido DEVERÁ estar no formato UPN.
Para obter mais informações sobre o fluxo do Windows, consulte Requisitos de Certificado e Enumeração (Windows).
Plataformas Windows suportadas
A entrada de cartão inteligente do Windows funciona com a versão de visualização mais recente do Windows 11. A funcionalidade também está disponível para essas versões anteriores do Windows após você aplicar uma das seguintes atualizações KB5017383:
- Windows 11 - kb5017383
- Windows 10- kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
Navegadores com suporte
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Observação
A CBA do Microsoft Entra dá suporte a certificados no dispositivo e também ao armazenamento externo, como as chaves de segurança no Windows.
Experiência do OOBE (Windows Out of the Box)
A configuração inicial do Windows pelo usuário deve permitir que ele faça logon usando um leitor de cartão inteligente externo e se autentique na CBA do Microsoft Entra. Por padrão, o Windows OOBE deve ter os drivers de cartão inteligente necessários ou os drivers de cartão inteligente adicionados anteriormente à imagem do Windows antes da instalação do OOBE.
Restrições e advertências
- A CBA do Microsoft Entra é compatível com dispositivos Windows híbridos ou conectados ao Microsoft Entra.
- Os usuários devem estar em um domínio gerenciado ou usando o lançamento gradual e não podem usar um modelo de autenticação federada.
Próximas etapas
- Visão geral da CBA do Microsoft Entra
- Aprofundamento técnico para CBA do Microsoft Entra
- Como configurar a CBA do Microsoft Entra
- CBA do Microsoft Entra em dispositivos iOS
- CBA do Microsoft Entra em dispositivos Android
- IDs de usuário de certificado
- Como migrar usuários federados
- perguntas frequentes