Contáctenos

Cómo Iniciar Sesión en Windows Usando un Certificado de Tarjeta Inteligente

Cómo habilitar el inicio de sesión de Windows con Entra CBA y solucionar problemas comunes de Entra ID
24 Apr 2024

Como habilitar el inicio de sesión de Windows con Entra CBA

Si observa la documentación de Microsoft Entra CBA, menciona que la autenticación del certificado Entra CBA debería funcionar con su tarjeta inteligente siempre que Entra CBA esté habilitado y los certificados de CA sean confiables para Entra ID (si no ha hecho esto, le recomiendo nuestra guía sobre cómo configurar Entra CBA para la autenticación sin contraseña). Pero, si ha hecho esto y puede validar que la autenticación de certificado funciona en el navegador, en esta guía lo guiaremos a través de algunos de los errores más comunes que hemos visto al ayudar a miles de clientes a no usar contraseñas con Entra CBA.



El inicio de sesión con tarjeta inteligente Entra CBA no funciona en Windows

El primer paso que queremos verificar es que esté aislado en Windows, la mejor manera de probar esto es abriendo una ventana de incógnito (realmente recomiendo usar una ventana de incógnito porque si la autenticación falla, el navegador almacena en caché el certificado, lo que significa que si no lo hace Si usa incógnito, tendrá que reiniciar la computadora) y vaya a un sitio de Microsoft como https://portal.azure.com, luego ingrese su ID de usuario y seleccione “Usar un Certificado o tarjeta inteligente” y seleccione su certificado de tarjeta inteligente.



Autenticacion de certificados con entra CBA



Ahora tienes que ingresar tu pin y si estás usando un token que requiere toque como un Yubikey o una Feitian Key luego toque la tecla.


Si funciona, pase a la siguiente sección donde comenzamos a solucionar problemas del lado de Windows.



Entra CBA: este sitio no puede ser encontrado

Si recibe un error que dice “No se puede acceder a este sitio”. Es posible que la página web en http://certauth.login.microsoftonline.com/ esté temporalmente inactiva o que se haya movido”, esto significa que la autenticación del certificado no se completó, generalmente debido a que no se tocó la llave (Yubikey).



Entra CBA Authentication error site cant’ be reached ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED



Entra CBA no funciona: cómo solucionar problemas

Si recibe otros errores de autenticación al intentar habilitar Entra CBA, la mejor manera de solucionarlo es ver los registros de autenticación. Hago esto a través de Azure pero apuesto a que Microsoft tiene una nueva forma más complicada de hacerlo en el portal Entra ID. Vaya a Azure y haga clic en Entra ID, vaya al usuario específico y seleccione “Registros de inicio de sesión”. Allí puede hacer clic en el error específico (Nota: CBA puede aparecer como interrumpido, esto es normal, mire el registro que ocurrió justo después) y verifique qué está causando que falle. Desde una política de acceso condicional hasta la línea base de MFA, hay muchas razones por las que esto podría estar sucediendo, pero aquí es donde puede encontrar el problema específico.



How to troubleshoot Entra CBA Authentication with login logs



Entra CBA funciona en la Web pero no en Windows

Si Entra CBA funciona en el navegador pero no en Windows, hay varias cosas que podrían estar causando el problema:



1) Su cadena de certificados no se encuentra en el almacén de certificados de confianza; recomendamos usar Intune o un GPO para enviar el certificado raíz al almacén de certificados de confianza.



2) La computadora no está unida híbrida.



3) El minidriver SmartCard no está instalado en su dispositivo. Todos los proveedores de tarjetas inteligentes crean un minidriver que permite que su SmartCard se conecte a Windows; Windows intenta instalar automáticamente el controlador cuando la SmartCard está conectada. Sin embargo, hay ocasiones en las que es necesario instalar el minidriver.

4) Estás utilizando una versión anterior de Windows. Si bien la autenticación con tarjeta inteligente existe desde hace décadas, Entra CBA se creó en 2021, lo que significa que las versiones anteriores de Windows no la admiten, verifique que su versión de Windows esté en las versiones de Windows compatibles con Entra CBA

5) Está utilizando una federación de terceros. Si está utilizando una federación de terceros como Okta, no se admite el inicio de sesión de Windows con Entra CBA.



Next Steps on the Entra CBA Adoption

Hopefully this article helps you to solve the issue(s) and you can now login to your Windows machine using a smartcard certificate. If you have other questions or would like to learn how we can help you onboard users to Entra CBA feel free to schedule a free call with our identity experts

También te Puede Interesar