Condividi tramite


Autenticazione della chiave pubblica del dispositivo aggiunto al dominio

A partire da Windows Server 2012 e Windows 8, Kerberos ha aggiunto il supporto per i dispositivi aggiunti a dominio per l'accesso tramite un certificato. Questa modifica consente ai fornitori di terze parti di creare soluzioni per effettuare il provisioning e inizializzare i certificati per i dispositivi aggiunti a dominio da usare per l'autenticazione del dominio.

Provisioning automatico delle chiavi pubbliche

A partire da Windows 10 versione 1507 e Windows Server 2016, i dispositivi aggiunti a dominio effettuano automaticamente il provisioning di una chiave pubblica associata a un controller di dominio di Windows Server 2016. Dopo il provisioning di una chiave, Windows può usare l'autenticazione con chiave pubblica nel dominio.

Generazione della chiave

Se il dispositivo esegue Credential Guard, viene creata una coppia di chiavi pubblica/privata protetta da Credential Guard.

Se Credential Guard non è disponibile e un modulo TPM lo è, viene creata una coppia di chiavi pubblica/privata protetta da TPM.

Se nessuno dei due è disponibile, non viene generata una coppia di chiavi e il dispositivo può eseguire l'autenticazione solo usando la password.

Provisioning della chiave pubblica per l'account computer

All'avvio, Windows verifica se è stato effettuato il provisioning di una chiave pubblica per l'account computer. In caso contrario, genera una chiave pubblica associata e la configura per il proprio account in AD usando un controller di dominio di Windows Server 2016 o versione successiva. Se tutti i controller di dominio sono di versioni precedenti, non viene effettuato il provisioning di nessuna chiave.

Configurazione del dispositivo per l'uso solo della chiave pubblica

Se l'impostazione di Criteri di gruppo Supporto per l'autenticazione del dispositivo tramite certificato è impostata su Forza, il dispositivo deve trovare un controller di dominio che esegue Windows Server 2016 o versione successiva per l'autenticazione. L'impostazione si trova in Modelli amministrativi > Sistema > Kerberos.

Configurazione del dispositivo per l'uso solo della password

Se l'impostazione di Criteri di gruppo Supporto per l'autenticazione del dispositivo tramite certificato è disabilitata, viene sempre usata la password. L'impostazione si trova in Modelli amministrativi > Sistema > Kerberos.

Autenticazione di un dispositivo aggiunto a dominio tramite chiave pubblica

Quando Windows ha un certificato per il dispositivo aggiunto a dominio, Kerberos esegue prima l'autenticazione usando il certificato e in caso di errore riprova con una password. In questo modo il dispositivo può eseguire l'autenticazione per controller di dominio di versioni precedenti.

Poiché le chiavi pubbliche con provisioning automatico hanno un certificato autofirmato, la convalida del certificato non riesce nei controller di dominio che non supportano il mapping degli account con Attendibilità chiavi. Per impostazione predefinita, Windows ritenta l'autenticazione usando la password del dominio del dispositivo.