Accesso a Desktop remoto con Windows Hello for Business

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

È possibile usare Windows Hello for Business per accedere a una sessione desktop remoto, usando le funzionalità della smart card reindirizzate di Remote Desktop Protocol (RDP). Ciò è possibile distribuendo un certificato nel dispositivo dell'utente, che viene quindi usato come credenziale fornita quando si stabilisce la connessione RDP a un altro dispositivo Windows.

Questo articolo descrive due approcci di distribuzione dei certificati, in cui i certificati di autenticazione vengono distribuiti nel contenitore Windows Hello for Business:

• Uso di Microsoft Intune con connettori SCEP o PKCS
• Uso di un criterio di registrazione di Servizi certificati Active Directory

Importante

Se si distribuisce il certificato usando Microsoft Intune e il controllo dell'account utente è configurato per richiedere le credenziali nel desktop protetto, non sarà possibile usare la funzionalità Esegui come. In questo scenario, quando si tenta di eseguire un'applicazione con privilegi elevati e si sceglie la credenziale Windows Hello for Business, verrà visualizzato il messaggio di errore: Il nome utente o la password non è corretto.

Suggerimento

È consigliabile usare Remote Credential Guard invece di Windows Hello for Business per l'accesso RDP. Remote Credential Guard fornisce l'accesso Single Sign-On (SSO) alle sessioni RDP tramite l'autenticazione Kerberos e non richiede la distribuzione di certificati. Per altre informazioni, vedere Remote Credential Guard.

Come funziona

Windows genera e archivia le chiavi di crittografia usando un componente software denominato provider di archiviazione chiavi (KSP):

• Le chiavi basate su software vengono create e archiviate usando il provider di archiviazione delle chiavi software Microsoft
• Le chiavi delle smart card vengono create e archiviate tramite il provider di archiviazione chiavi smart card Microsoft
• Le chiavi create e protette da Windows Hello for Business vengono create e archiviate tramite il provider di archiviazione chiavi Microsoft Passport

Un certificato in una smart card inizia con la creazione di una coppia di chiavi asimmetrica tramite microsoft smart card KSP. Windows richiede un certificato basato sulla coppia di chiavi all'autorità di certificazione emittente dell'organizzazione, che restituisce un certificato archiviato nell'archivio certificati personali dell'utente. La chiave privata rimane nella smart card e la chiave pubblica viene archiviata con il certificato. I metadati nel certificato (e nella chiave) archivia il provider di archiviazione delle chiavi usato per creare la chiave (tenere presente che il certificato contiene la chiave pubblica).

Lo stesso concetto si applica a Windows Hello for Business, ad eccezione del fatto che le chiavi vengono create usando Microsoft Passport KSP. La chiave privata dell'utente rimane protetta dal modulo di sicurezza del dispositivo (TPM) e dal movimento dell'utente (PIN/biometrico). Le API del certificato nascondono la complessità. Quando un'applicazione usa un certificato, le API del certificato individuano le chiavi usando il provider di archiviazione delle chiavi salvato. I provider di archiviazione delle chiavi indirizzano le API del certificato in cui usano per trovare la chiave privata associata al certificato. Questo è il modo in cui Windows sa che hai un certificato smart card senza che la smart card sia inserita e ti chiede di inserire la smart card.

Windows Hello for Business emula una smart card per la compatibilità dell'applicazione e Microsoft Passport KSP richiede all'utente il movimento biometrico o il PIN.

Nota

Desktop remoto con biometria non funziona con la doppia registrazione o scenari in cui l'utente fornisce credenziali alternative.

Requisiti

Ecco un elenco di requisiti per abilitare l'accesso RDP con Windows Hello for Business:

• Un'infrastruttura PKI basata su Servizi certificati Active Directory o di terze parti
• Windows Hello for Business distribuito ai client
• Se si prevede di supportare Microsoft Entra dispositivi aggiunti, i controller di dominio devono avere un certificato che funge da radice di attendibilità per i client. Il certificato garantisce che i client non comunichino con controller di dominio non autorizzati

Se si prevede di distribuire certificati usando Microsoft Intune, ecco altri requisiti:

• Assicurarsi di avere l'infrastruttura per supportare la distribuzione SCEP o PKCS
• Distribuire il certificato CA radice e tutti gli altri certificati intermedi dell'autorità di certificazione per Microsoft Entra dispositivi aggiunti usando un criterio certificato radice attendibile

Creare un modello di certificato

Il processo di creazione di un modello di certificato è applicabile agli scenari in cui si usa un'infrastruttura di Servizi certificati Active Directory locale.
È prima necessario creare un modello di certificato e quindi distribuire i certificati basati su tale modello nel contenitore Windows Hello for Business.

La configurazione del modello di certificato è diversa a seconda che si distribuino i certificati usando Microsoft Intune o un criterio di registrazione di Active Directory. Seleziona l'opzione più adatta alle tue esigenze.

Microsoft Intune

1. Accedere all'autorità di certificazione emittente e aprire Server Manager

2. Selezionare Autorità di certificazione strumenti>. Verrà aperta l'autorità di certificazione Microsoft Management Console (MMC)

3. In MMC espandere il nome della CA e fare clic con il pulsante destro del mouse su Gestione modelli di > certificato

4. Verrà visualizzata la console Modelli di certificato. Tutti i modelli di certificato vengono visualizzati nel riquadro dei dettagli

5. Fare clic con il pulsante destro del mouse sul modello di accesso smart card e scegliere Duplica modello

6. Usare la tabella seguente per configurare il modello:

   Nome scheda	Configurazioni
   Compatibilità	Deselezionare la casella di controllo Mostra modifiche risultanti Selezionare Windows Server 2012 o Windows Server 2012 R2dall'elenco Autorità di certificazione Selezionare Windows Server 2012 o Windows Server 2012 R2dall'elenco Destinatario certificazione
   Generale	Specificare un nome visualizzato del modello, ad esempio Autenticazione certificato WHfB Impostare il periodo di validità sul valore desiderato Prendere nota del nome del modello per un secondo momento, che dovrebbe corrispondere al nome visualizzato del modello meno gli spazi (WHfBCertificateAuthentication in questo esempio)
   Estensioni	Verificare che l'estensione Criteri applicazione includa l'accesso alle smart card.
   Nome soggetto	Selezionare Fornitura nella richiesta.
   Gestione delle richieste	Impostare Lo scopo su Firma e accesso con smart card e selezionare Sì quando viene richiesto di modificare lo scopo del certificato Selezionare la casella di controllo Rinnova con la stessa chiave Selezionare Chiedi conferma all'utente durante la registrazione Nota: Se si distribuiscono certificati con un profilo PKCS, selezionare l'opzione Consenti l'esportazione della chiave privata
   Cryptography	Impostare la categoria provider su Provider di archiviazione chiavi Impostare il nome dell'algoritmo su RSA Impostare la dimensione minima della chiave su 2048 Selezionare Le richieste devono usare uno dei provider seguenti Selezionare Microsoft Software Key Storage Provider (Provider di archiviazione chiavi software Microsoft) Impostare l'hash della richiesta su SHA256
   Sicurezza	Aggiungere l'entità di sicurezza usata per l'accesso SCEP o PKCS Enroll

7. Selezionare OK per finalizzare le modifiche e creare il nuovo modello. Il nuovo modello dovrebbe ora essere visualizzato nell'elenco dei modelli di certificato

8. Chiudere la console Modelli di certificato

Criteri di Servizi certificati Active Directory

1. Accedere all'autorità di certificazione emittente e aprire Server Manager

2. Selezionare Autorità di certificazione strumenti>. Verrà aperta l'autorità di certificazione Microsoft Management Console (MMC)

3. In MMC espandere il nome della CA e fare clic con il pulsante destro del mouse su Gestione modelli di > certificato

4. Verrà visualizzata la console Modelli di certificato. Tutti i modelli di certificato vengono visualizzati nel riquadro dei dettagli

5. Fare clic con il pulsante destro del mouse sul modello di accesso smart card e scegliere Duplica modello

6. Usare la tabella seguente per configurare il modello:

   Nome scheda	Configurazioni
   Compatibilità	Deselezionare la casella di controllo Mostra modifiche risultanti Selezionare Windows Server 2012 o Windows Server 2012 R2dall'elenco Autorità di certificazione Selezionare Windows Server 2012 o Windows Server 2012 R2dall'elenco Destinatario certificazione
   Generale	Specificare un nome visualizzato del modello, ad esempio Autenticazione certificato WHfB Impostare il periodo di validità sul valore desiderato Prendere nota del nome del modello per un secondo momento, che dovrebbe corrispondere al nome visualizzato del modello meno gli spazi (WHfBCertificateAuthentication in questo esempio)
   Estensioni	Verificare che l'estensione Criteri applicazione includa l'accesso alle smart card
   Nome soggetto	Selezionare il pulsante Compila da queste informazioni di Active Directory se non è già selezionato Selezionare Nome completamente distinto dall'elenco Formato nome soggetto se il nome distinto completo non è già selezionato Selezionare la casella di controllo Nome entità utente (UPN)in Includi queste informazioni nel nome soggetto alternativo
   Gestione delle richieste	Impostare Lo scopo su Firma e accesso con smart card e selezionare Sì quando viene richiesto di modificare lo scopo del certificato Selezionare la casella di controllo Rinnova con la stessa chiave Selezionare Chiedi conferma all'utente durante la registrazione
   Cryptography	Impostare la categoria provider su Provider di archiviazione chiavi Impostare il nome dell'algoritmo su RSA Impostare la dimensione minima della chiave su 2048 Selezionare Le richieste devono usare uno dei provider seguenti Selezionare Microsoft Software Key Storage Provider (Provider di archiviazione chiavi software Microsoft) Impostare l'hash della richiesta su SHA256
   Sicurezza	Aggiungere il gruppo di sicurezza a cui si vuole concedere l'accesso Registra . Ad esempio, se si vuole concedere l'accesso a tutti gli utenti, selezionare il gruppo Utenti autenticati e quindi selezionare Registra autorizzazioni per tali utenti.

7. Selezionare OK per finalizzare le modifiche e creare il nuovo modello. Il nuovo modello dovrebbe ora essere visualizzato nell'elenco dei modelli di certificato

8. Chiudere la console Modelli di certificato

Aggiungere il provider di archiviazione chiavi Microsoft Passport al modello di certificato

1. Aprire un prompt dei comandi con privilegi elevati e passare a una directory di lavoro temporanea

2. Eseguire il comando seguente, sostituendo <TemplateName> con il nome visualizzato Modello annotato nella tabella

   certutil.exe -dstemplate <TemplateName> > <TemplateName.txt>
   

3. Aprire il file di testo creato dal comando precedente.

   • Eliminare l'ultima riga dell'output dal file che legge
     CertUtil: -dsTemplate command completed successfully.
   • Modificare la riga che legge
     pKIDefaultCSPs = "1,Microsoft Software Key Storage Provider" A
     pKIDefaultCSPs = "1,Microsoft Passport Key Storage Provider"

4. Salvare il file di testo

5. Aggiornare il modello di certificato eseguendo il comando seguente:

   certutil.exe -dsaddtemplate <TemplateName.txt>
   

Nota

È possibile verificare che il modello venga aggiornato controllandone le proprietà.

Rilasciare il modello di certificato

1. Nella console dell'autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato, selezionare Nuovo > modello di certificato da rilasciare
2. Nell'elenco dei modelli selezionare il modello creato in precedenza (autenticazione del certificato WHFB) e selezionare OK. La replica del modello in tutti i server può richiedere del tempo e diventare disponibile in questo elenco
3. Dopo la replica del modello, in MMC fare clic con il pulsante destro del mouse nell'elenco Autorità di certificazione selezionare Tutte le attività > Arresta servizio. Fare di nuovo clic con il pulsante destro del mouse sul nome dell'autorità di certificazione e scegliere Avvia servizio tutte le attività >

Distribuire i certificati

Il processo di distribuzione dei certificati è diverso a seconda che si usi Microsoft Intune o un criterio di registrazione di Active Directory. Seleziona l'opzione più adatta alle tue esigenze.

Microsoft Intune

Questa sezione descrive come configurare un criterio SCEP in Intune. È possibile seguire passaggi simili per configurare un criterio PKCS.

1. Passare all'interfaccia di amministrazione di Microsoft Intune

2. Selezionare Profili di configurazione > dispositivi > Crea profilo

3. Selezionare Platform > Windows 10 e versioni successive e Profile type > Templates > SCEP Certificate

4. Selezionare Crea

5. Nel pannello Informazioni di base specificare un nome e, facoltativamente, una descrizione > successiva

6. Nel pannello Impostazioni di configurazione usare la tabella seguente per configurare i criteri:

   Impostazione	Configurazioni
   Tipo di certificato	Utente
   Formato del nome soggetto	CN={{UserPrincipalName}} Nota: se esiste una mancata corrispondenza tra il suffisso UPN dell'utente e il nome di dominio di Active Directory, usare CN={{OnPrem_Distinguished_Name}} invece .
   Nome alternativo soggetto	Nell'elenco a discesa selezionare Nome entità utente (UPN) con un valore di {{UserPrincipalName}}
   Periodo di validità del certificato	Configurare un valore a scelta
   Provider di archiviazione chiavi (KSP)	Registra in Windows Hello for Business, in caso contrario non riesce
   Utilizzo delle chiavi	Firma digitale
   Dimensioni chiave (bit)	2048
   Per l'algoritmo hash	SHA-2
   Certificato radice	Selezionare +Certificato radice e selezionare il profilo certificato attendibile creato in precedenza per il certificato CA radice
   Utilizzo esteso delle chiavi	Nome:Accesso smart card Identificatore oggetto:1.3.6.1.4.1.311.20.2.2 Valori predefiniti:Non configurati Nome:Autenticazione client Identificatore oggetto:1.3.6.1.5.5.7.3.2 Valori predefiniti:Autenticazione client
   Soglia di rinnovo (%)	Configurare un valore a scelta
   URL del server SCEP	Specificare gli endpoint pubblici configurati durante la distribuzione dell'infrastruttura SCEP

7. Selezionare Avanti

8. Nel pannello Assegnazioni assegnare i criteri a un gruppo di sicurezza che contiene come membri i dispositivi o gli utenti che si desidera configurare e selezionare Avanti

9. Nel pannello Regole di applicabilità configurare le restrizioni di rilascio, se necessario, e selezionare Avanti

10. Nel pannello Rivedi e crea esaminare la configurazione dei criteri e selezionare Crea

Per altre informazioni su come configurare i criteri SCEP, vedere Configurare i profili certificato SCEP in Intune. Per configurare i criteri PKCS, vedere Configurare e usare il certificato PKCS con Intune.

Attenzione

Se si distribuiscono i certificati tramite Intune e si configurano Windows Hello for Business tramite Criteri di gruppo, i dispositivi non riusciranno a ottenere un certificato, registrando il codice 0x82ab0011 di errore nel DeviceManagement-Enterprise-Diagnostic-Provider log.
Per evitare l'errore, configurare Windows Hello for Business tramite Intune anziché criteri di gruppo.

Criteri di Servizi certificati Active Directory

Ecco i passaggi per richiedere manualmente un certificato usando un criterio di registrazione di Servizi certificati Active Directory:

1. Accedere a un client Microsoft Entra aggiunto ibrido, assicurandosi che il client abbia una linea di vista verso un controller di dominio e l'autorità di certificazione emittente
2. Aprire Certificates - Current User Microsoft Management Console (MMC). A tale scopo, è possibile eseguire il comando certmgr.msc
3. Nel riquadro sinistro di MMC fare clic con il pulsante destro del mouse su Personal > All Tasks > Request New Certificate...
4. Nella schermata Registrazione certificati selezionare Avanti
5. In Seleziona criteri di registrazione certificati selezionare Criteri di registrazione > di Active Directory Avanti
6. In Richiedi certificati selezionare la casella di controllo per il modello di certificato creato nella sezione precedente (Autenticazione certificato WHfB) e quindi selezionare Registra
7. Dopo aver completato una richiesta di certificato, selezionare Fine nella schermata Risultati installazione certificati

Usare autorità di certificazione non Microsoft

Se si usa un'infrastruttura a chiave pubblica non Microsoft, i modelli di certificato pubblicati nel Active Directory locale potrebbero non essere disponibili. Per indicazioni sull'integrazione di Intune/SCEP con distribuzioni PKI non Microsoft, vedere Usare autorità di certificazione non Microsoft con SCEP in Microsoft Intune.

In alternativa all'uso di SCEP o se nessuna delle soluzioni trattate in precedenza funziona nell'ambiente, è possibile generare manualmente richieste di firma del certificato (CSR) per l'invio all'infrastruttura a chiave pubblica. Per semplificare questo approccio, è possibile usare il cmdlet di PowerShell Generate-CertificateRequest .

Il Generate-CertificateRequest cmdlet genera un .inf file per una chiave di Windows Hello for Business preesistente. Può .inf essere usato per generare manualmente una richiesta di certificato usando certreq.exe. Il commandlet genera anche un .req file che può essere inviato all'infrastruttura a chiave pubblica per un certificato.

Verificare che il certificato sia distribuito

Per verificare che il certificato sia distribuito correttamente nel contenitore Windows Hello for Business, usare il comando seguente:

certutil -store -user my

L'output elenca le chiavi e i certificati archiviati nell'archivio utenti. Se un certificato emesso dalla CA viene distribuito nel contenitore Windows Hello for Business, l'output visualizza il certificato con il Provider valore Microsoft Passport Key Storage Provider.

Ad esempio:

C:\Users\amanda.brady>certutil -store -user my
my "Personal"
================ Certificate 0 ================
Serial Number: 110000001f4c4eccc46fc8f93a00000000001f
Issuer: CN=Contoso - Issuing CA, DC=CONTOSO, DC=COM
 NotBefore: 12/8/2023 6:16 AM
 NotAfter: 12/7/2024 6:16 AM
Subject: CN=amanda.brady@contoso.com
Non-root Certificate
Template: 1.3.6.1.4.1.311.21.8.2835349.12167323.7094945.1118853.678601.83.11484210.8005739
Cert Hash(sha1): 63c6ce5fc512933179d3c0a5e94ecba98092f93d
Key Container = S-1-12-1-../../login.windows.net/../amanda.brady@contoso.com
Provider = Microsoft Passport Key Storage Provider
Private key is NOT exportable
Encryption test passed

Esperienza utente

Una volta ottenuto il certificato, gli utenti possono eseguire RDP in qualsiasi dispositivo Windows nella stessa foresta di Active Directory dell'account Active Directory degli utenti aprendo Connessione Desktop remoto (mstsc.exe). Quando ci si connette all'host remoto, viene richiesto di usare Windows Hello for Business per sbloccare la chiave privata del certificato.

Microsoft Entra dispositivo aggiunto

L'utente può eseguire l'autenticazione usando qualsiasi movimento di sblocco Windows Hello disponibile, inclusa la biometria.

Microsoft Entra dispositivo aggiunto ibrido

Il prompt delle credenziali identifica il provider di credenziali Windows Hello come credenziali del dispositivo di sicurezza. L'utente deve usare il provider di credenziali PIN per sbloccare.

Ecco un breve video che mostra l'esperienza utente di un dispositivo aggiunto Microsoft Entra usando l'impronta digitale come fattore di sblocco:

Nota

L'utente deve essere autorizzato a connettersi al server remoto usando il protocollo Desktop remoto, ad esempio facendo parte del gruppo locale Utenti desktop remoto nell'host remoto.

Compatibilità

Anche se gli utenti apprezzano la comodità della biometria e gli amministratori apprezzano la sicurezza, potrebbero verificarsi problemi di compatibilità con le applicazioni e i certificati Windows Hello for Business. In questi scenari, è possibile distribuire un'impostazione di criteri per ripristinare il comportamento precedente per gli utenti che ne hanno bisogno.

Per altre informazioni, vedere Usare i certificati Windows Hello for Business come certificato smart card

Problemi noti

Si è verificato un problema noto durante il tentativo di eseguire l'autenticazione client TLS 1.3 con un certificato Hello tramite RDP. L'autenticazione non riesce con l'errore : ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED. Microsoft sta esaminando le possibili soluzioni.