Compartilhar via

Novidades no Windows Server 2019

  • Artigo

Este artigo descreve alguns dos novos recursos do Windows Server 2019. O Windows Server 2019 foi criado sobre a base sólida do Windows Server 2016 e traz diversas inovações em quatro temas chave: nuvem híbrida, segurança, plataforma de aplicativos e HCI (infraestrutura hiperconvergente).

Geral

Windows Admin Center

O Windows Admin Center é um aplicativo baseado em navegador e implantado localmente destinado a gerenciar servidores, clusters, infraestrutura hiperconvergente e computadores Windows 10. É fornecido sem custo adicional além do Windows e vem pronto para uso em produção.

Você pode instalar o Windows Admin Center no Windows Server 2019 e no Windows 10, bem como em versões anteriores do Windows e do Windows Server e usá-lo para gerenciar servidores e clusters que executam o Windows Server 2008 R2 e mais recentes.

Para obter mais informações, consulte Windows Admin Center.

Experiência desktop

Como o Windows Server 2019 é uma versão do LTSC (Canal de Manutenção em Longo Prazo), ele inclui a Experiência Desktop. As versões do Canal Semestral (SAC) não incluem a Experiência Desktop por design; eles são estritamente versões de imagem de contêiner Server Core e Nano Server. Assim como acontece com o Windows Server 2016, durante a configuração do sistema operacional você pode escolher entre instalações do Server Core ou do Windows Server com Experiência Desktop.

Insights do Sistema

O Insights do Sistema é um novo recurso disponível no Windows Server 2019 que reúne funcionalidades locais de análise de previsão de modo nativo no Windows Server. Essas funcionalidades preditivas, cada uma com suporte de um modelo de machine learning, analisam localmente os dados do sistema Windows Server, como contadores de desempenho e eventos. Os Insights do Sistema permitem que você entenda como os servidores estão funcionando e ajuda a reduzir as despesas operacionais associadas ao gerenciamento reativo de problemas nas implantações do Windows Server.

Nuvem Híbrida

Recurso sob demanda de compatibilidade de aplicativos do Server Core

O FOD (recurso sob demanda de compatibilidade de aplicativos do Server Core aprimora significativamente a compatibilidade do aplicativo, incluindo um subconjunto de binários e componentes do Windows Server com a Experiência Desktop. O Server Core é mantido o mais enxuto possível, sem a adição do próprio ambiente gráfico da Experiência Desktop do Windows Server, aumentando a funcionalidade e a compatibilidade.

Esse recurso opcional sob demanda está disponível em um ISO separado e pode ser adicionado somente a imagens e instalações do Windows Server Core, usando o DISM.

Função de servidor de transporte WDS (Serviços de Implantação do Windows) adicionada ao Server Core

O Servidor de transporte contém somente as partes de rede principais do WDS. Agora, você pode usar o Server Core com a função servidor de transporte para criar namespaces multicast que transmitem dados (inclusive imagens do sistema operacional) de um servidor autônomo. Também será possível usá-lo se você desejar ter um servidor PXE que permita aos clientes inicializar o PXE e baixar seu próprio aplicativo de instalação personalizado.

Integração dos Serviços de Área de Trabalho Remota com o Azure AD

Com a integração ao Azure AD, você pode usar as políticas de acesso condicional, a autenticação multifator, a autenticação integrada a outros aplicativos SaaS usando o Azure AD e muito mais. Para obter mais informações, confira Integrar o Azure AD Domain Services à implantação do RDS.

Rede

Fizemos vários aprimoramentos na pilha de rede principal, como TFO (TCP Fast Open), ajuste automático de janela de recebimento, IPv6 e muito mais. Para obter mais informações, confira a postagem Aprimoramento do recurso Pilha de Rede do Core.

Segurança

Proteção Avançada contra Ameaças do Windows Defender (ATP)

Os sensores de plataforma avançada e as ações de resposta do ATP expõem ataques no nível do kernel e da memória e respondem suprimindo arquivos maliciosos e encerrando processos mal-intencionados.

O Windows Defender ATP Exploit Guard é um novo conjunto de funcionalidades de prevenção contra intrusões de host que permite equilibrar o risco de segurança com os requisitos de produtividade. O Windows Defender Exploit Guard foi projetado para bloquear o dispositivo contra uma ampla variedade de vetores de ataque e impedir comportamentos que geralmente são usados em ataques de malware. Os componentes são:

  • A ASR (Redução da Superfície de Ataque) é um conjunto de controles que as empresas podem habilitar para impedir que malwares alcancem o computador, bloqueando arquivos suspeitos. Por exemplo, arquivos do Office, scripts, movimento lateral, comportamento de ransomware e ameaças baseadas em email.

  • A Proteção de rede protege o ponto de extremidade contra ameaças baseadas na Web, bloqueando qualquer processo de saída no dispositivo para endereços IP/hosts não confiáveis por meio do Windows Defender SmartScreen.

  • O Acesso controlado a pastas protege dados confidenciais contra ransomware impedindo que processos não confiáveis acessem suas pastas protegidas.

  • O Exploit Protection é um conjunto de mitigações para explorações de vulnerabilidade (em substituição ao EMET) que pode ser facilmente configurado para proteger o sistema e seus aplicativos.

  • O Controle de Aplicativos do Windows Defender (também conhecido como a política de CI [integridade de código]) foi lançado no Windows Server 2016. Facilitamos a implantação incluindo políticas de CI padrão. A política padrão permite todos os arquivos de caixa de entrada do Windows e aplicativos da Microsoft, como o SQL Server, e bloqueia executáveis conhecidos que podem ignorar a CI.

Segurança com SDN (Rede Definida pelo Software)

A Segurança com SDN oferece vários recursos para aumentar a confiança do cliente na execução de cargas de trabalho, seja localmente ou como um provedor de serviços na nuvem.

Essas melhorias de segurança estão integradas à plataforma SDN abrangente introduzida no Windows Server 2016.

Para ver uma lista completa das novidades na SDN, confira Novidades na SDN para o Windows Server 2019.

Melhorias nas máquinas virtuais blindadas

  • Melhorias nas filiais

    Agora, usando os novos recursos de HGS de fallback e modo offline, você pode executar máquinas virtuais blindadas em computadores com conectividade intermitente ao Serviço Guardião de Host. O HGS de fallback permite que você configure um segundo conjunto de URLs para o Hyper-V tentar caso não consiga acessar seu servidor HGS principal.

    Mesmo que o HGS não possa ser atingido, o modo offline permitirá que você continue a iniciar as máquinas virtuais blindadas. O modo offline permitirá que você inicie as VMs desde que elas já tenham sido iniciadas com êxito uma vez e a configuração de segurança do host não tenha sido alterada.

  • Melhorias na solução de problemas

    Também facilitamos o processo para solucionar problemas de suas máquinas virtuais blindadas habilitando o suporte para o modo de sessão avançado VMConnect e o PowerShell Direct. Essas ferramentas serão úteis se você tiver perdido a conectividade de rede com a VM e precisar atualizar a configuração para restaurar o acesso.

    Esses recursos não precisam ser configurados e são disponibilizados automaticamente quando uma VM blindada é colocada em um host Hyper-V que executa o Windows Server versão 1803 ou mais recente.

  • Suporte a Linux

    Se você executa ambientes com múltiplos sistemas operacionais, agora o Windows Server 2019 oferece suporte para executar o Ubuntu, o Red Hat Enterprise Linux e o SUSE Linux Enterprise Server em máquinas virtuais blindadas.

HTTP/2 para uma Web mais rápida e mais segura

  • Melhorada a concentração de conexões para oferecer uma experiência de navegação sem interrupções e devidamente criptografada.

  • Negociação do conjunto de criptografia do lado do servidor do HTTP/2 atualizado para mitigação automática de falhas de conexão e facilidade de implantação.

  • Alterado nosso provedor de congestionamento TCP padrão para cúbico para oferecer maior taxa de transferência!

Redes criptografadas

A criptografia de rede virtual criptografa o tráfego de rede virtual entre máquinas virtuais dentro de sub-redes que têm o rótulo Criptografia Habilitada. As redes criptografadas também usam o DTLS (Datagrama do protocolo TLS) na sub-rede virtual para criptografar os pacotes. O DTLS protege seus dados contra interceptações, falsificação e adulteração por qualquer pessoa com acesso à rede física.

Para obter mais informações, confira Redes criptografadas.

Auditoria de firewall

A auditoria de firewall é um novo recurso do firewall SDN que registra qualquer fluxo processado por regras de firewall SDN e listas de controle de acesso (ACLs) que têm o log habilitado.

Emparelhamento de rede virtual

O emparelhamento de rede virtual permite conectar duas redes virtuais perfeitamente. Uma vez emparelhadas, as redes virtuais aparecerão no monitoramento como uma só.

Medição de saída

A medição de saída oferece medidores de uso para transferências de dados de saída. O Controlador de Rede usa esse recurso para manter uma lista de permissões de todos os intervalos de IP usados no SDN por rede virtual. Essas listas consideram qualquer pacote que se encaminhe para um destino não incluído nos intervalos de IP listados a serem cobrados como transferências de dados de saída.

Armazenamento

Eis algumas das alterações que fizemos no armazenamento do Windows Server 2019. Para obter detalhes, consulte Novidades no armazenamento.

Eliminação de duplicação de dados

  • A Eliminação de Duplicação de Dados agora dá suporte ao ReFS Agora você pode habilitar a Eliminação de Duplicação de Dados onde pode habilitar o ReFS, aumentando a eficiência de armazenamento em até 95% com o ReFS.

  • API de DataPort para entrada/saída otimizada em volumes com eliminação de duplicação: os desenvolvedores agora podem aproveitar o conhecimento que a Eliminação de Duplicação de Dados tem sobre como armazenar dados de modo eficaz para mover os dados entre volumes, servidores e clusters com eficiência.

File Server Resource Manager

Agora é possível impedir que o serviço Gerenciador de Recursos de Servidor de Arquivos crie um diário de alteração (também conhecido como diário USN) em todos os volumes quando o serviço é iniciado. O impedimento da criação do percurso de alteração pode economizar espaço em cada volume, mas desabilita a classificação de arquivos em tempo real. Para obter mais informações, consulte Visão geral do Gerenciador de Recursos de Servidor de Arquivos.

SMB

Serviço de Migração de Armazenamento

O Serviço de Migração de Armazenamento facilita a migração dos servidores para uma versão mais recente do Windows Server. Essa ferramenta gráfica inventaria dados em servidores e, em seguida, transfere os dados e a configuração para servidores mais recentes. O Serviço de Migração de Armazenamento também pode mover as identidades dos servidores antigos para os novos servidores para que os usuários não precisem reconfigurar seus perfis e aplicativos. Para mais informações, consulte Serviço de Migração de Armazenamento.

O Windows Admin Center versão 1910 acrescentou a capacidade de implantar máquinas virtuais do Azure. Essa atualização integra a implantação da VM do Azure ao Serviço de Migração de Armazenamento. Para obter mais informações, confira Migração de VM do Azure.

Você também pode acessar os seguintes recursos RTM (pós-lançamento para fabricação) ao executar o orquestrador do Servidor de Migração de Armazenamento no Windows Server 2019 com KB5001384 instalado ou no Windows Server 2022:

  • Migrar usuários e grupos locais para o novo servidor.
  • Migrar o armazenamento de clusters de failover, migrar para clusters de failover e migrar entre servidores autônomos e clusters de failover.
  • Migrar o armazenamento de um servidor Linux que usa o Samba.
  • Sincronize mais facilmente compartilhamentos migrados ao Azure usando a Sincronização de Arquivos do Azure.
  • Migrar para novas redes, como o Azure.
  • Migre servidores NetApp Common Internet File System (CIFS) de matrizes NetApp Federated Authentication Service (FAS) para servidores e clusters Windows.

Espaços de Armazenamento Direct

Eis uma lista das novidades nos Espaços de Armazenamento Diretos. Para obter detalhes, consulte Novidades nos Espaços de Armazenamento Diretos. Consulte também o Azure Stack HCI para obter informações sobre a aquisição de sistemas validados de Espaços de Armazenamento Diretos.

  • Eliminação de duplicação e compactação para volumes de ReFS
  • Suporte nativo para a memória persistente
  • Resiliência aninhada para a infraestrutura hiperconvergente dois nós na borda
  • Clusters de dois servidores usando uma unidade flash USB como uma testemunha
  • Suporte para o Windows Admin Center
  • Histórico de desempenho
  • Dimensionar até 4 PB por cluster
  • A paridade acelerada por espelho é duas vezes mais rápida
  • Detecção de exceções de latência de unidade de disco
  • Delimitar manualmente a alocação de volumes para aumentar a tolerância a falhas

Réplica de Armazenamento

Eis as novidades na Réplica de Armazenamento. Para obter detalhes, consulte Novidades na Réplica de Armazenamento.

  • A Réplica de Armazenamento agora está disponível no Windows Server 2019 Standard Edition.
  • O Failover de teste é um novo recurso que permite a montagem de armazenamento de destino para validar a replicação ou os dados de backup. Para obter mais informações, consulte Perguntas Frequentes sobre a Réplica de Armazenamento.
  • Melhorias de desempenho do log da Réplica de Armazenamento
  • Suporte para o Windows Admin Center

Clustering de failover

Eis a lista de Novidades no Clustering de Failover. Para obter detalhes, consulte Novidades no Clustering de Failover.

  • Conjuntos de cluster
  • Clusters com reconhecimento do Azure
  • Migração de cluster entre domínios
  • Testemunha USB
  • Melhorias de infraestrutura de cluster
  • Atualização com Suporte a Cluster é compatível com Espaços de Armazenamento Diretos
  • Aprimoramentos de testemunha de compartilhamento de arquivos
  • Proteção do cluster
  • Clustering de Failover deixa de usar a autenticação NTLM

Plataformas de aplicativos

Contêineres do Linux no Windows

Agora é possível executar contêineres baseados no Windows e no Linux no mesmo host de contêineres usando o mesmo daemon do Docker. Isso permite que você tenha um ambiente heterogêneo de host de contêineres, fornecendo flexibilidade aos desenvolvedores de aplicativos.

Suporte interno para Kubernetes

O Windows Server 2019 continua aprimorando a computação, a rede e o armazenamento dos lançamentos do Canal Semestral necessários para dar suporte a Kubernetes no Windows. Mais detalhes estarão disponíveis em versões futuras do Kubernetes.

  • A Rede de contêineres no Windows Server 2019 aprimora bastante a usabilidade do Kubernetes no Windows. Aprimoramos a resiliência de rede da plataforma e o suporte a plug-ins de rede de contêiner.

  • As cargas de trabalho implantadas em Kubernetes são capazes de usar a segurança de rede para proteger serviços do Linux e do Windows usando ferramentas inseridas.

Melhorias de contêiner

  • Identidade integrada melhorada

    Tornamos a autenticação integrada do Windows em contêineres mais fácil e mais confiáveis, corrigindo várias limitações de versões anteriores do Windows Server.

  • Melhor compatibilidade do aplicativo

    Colocar aplicativos baseados no Windows em contêineres acaba de ficar ainda mais fácil: A compatibilidade com aplicativos da imagem existente do windowsservercore foi aumentada. Para aplicativos com mais dependências de API, agora há uma terceira imagem de base: windows.

  • Tamanho reduzido e melhor desempenho

    Os tamanhos de download da imagem de contêiner de base, o tamanho em disco e os horários de inicialização foram aprimorados para acelerar os fluxos de trabalho de contêiner.

  • Experiência de gerenciamento usando o Windows Admin Center (versão prévia)

    Nós tornamos mais fácil que nunca ver quais contêineres estão em execução em seu computador e gerenciar contêineres individuais com uma nova extensão para o Windows Admin Center. Procure a extensão "Contêineres" no feed público do Windows Admin Center.

Aprimoramentos de computação

  • A Ordenação de Início de VM também foi aprimorada com o reconhecimento de sistema operacional e de aplicativos, oferecendo gatilhos avançados para quando uma VM é considerada iniciada antes que a próxima seja iniciada.

  • O Suporte de memória da classe de armazenamento para VMs permite que os volumes de acesso direto formatados para NTFS sejam criados em DIMMs não voláteis e expostos às VMs Hyper-V. Agora, as VMs do Hyper-V podem aproveitar o benefício de desempenho de baixa latência de dispositivos de memória da classe de armazenamento.

  • Suporte à memória persistente para VMs do Hyper-V Para usar a alta taxa de transferência e a baixa latência da memória persistente (também conhecida como memória de classe de armazenamento) em máquinas virtuais, ela agora pode ser projetada diretamente nas VMs. A memória persistente pode ajudar a reduzir radicalmente a latência das transações de banco de dados e reduzir o tempo de recuperação de bancos de dados em memória de baixa latência em caso de falha.

  • Armazenamento de contêiner – Volumes de dados persistentes Os contêineres de aplicativos agora têm acesso persistente a volumes. Para obter mais informações, confira Suporte ao armazenamento de contêiner com Volumes Compartilhados do Cluster (CSV), Espaços de Armazenamento Diretos (S2D), Mapeamento Global de SMB.

  • Formato do arquivo de configuração da máquina virtual (atualizado) O arquivo de estado de convidado da VM (.vmgs) foi adicionado para máquinas virtuais com a versão de configuração 8.2 ou superior. O arquivo de estado de convidado da VM inclui informações de estado de dispositivo que antes faziam parte do arquivo de estado de tempo de execução da VM.

Redes Criptografadas

Redes Criptografadas – A criptografia de rede Virtual permite a criptografia do tráfego de rede virtual entre máquinas virtuais que se comunicam entre si dentro de sub-redes marcadas como Criptografia Habilitada. Ela também utiliza o DTLS (Datagrama do protocolo TLS) na sub-rede virtual para criptografar os pacotes. O DTLS protege contra interceptações, falsificação e adulteração por qualquer pessoa com acesso à rede física.

Melhorias no desempenho de rede para cargas de trabalho virtuais

As Melhorias no desempenho de rede para cargas de trabalho virtuais maximizam a taxa de transferência de rede para as máquinas virtuais, sem exigir que você ajuste constantemente ou faça um provisionamento excessivo em seu host. O aprimoramento do desempenho reduz os custos de manutenção e das operações, aumentando a densidade disponível dos hosts. Esses novos recursos são:

  • Fila com várias máquinas virtuais dinâmicas (d.VMMQ)

  • Receber concentração de segmentos no vSwitch

Transporte em segundo plano com baixo atraso extra

O LEDBAT (Transporte em segundo plano com baixo atraso extra) é um provedor de controle de congestionamento de rede com latência otimizada projetado para gerar automaticamente largura de banda para usuários e aplicativos. O LEDBAT consome a largura de banda disponível enquanto a rede não está em uso. A tecnologia deve ser usada na implantação de grandes atualizações críticas em um ambiente de TI, sem afetar os serviços voltados ao cliente e a largura de banda associada.

Serviço de Tempo do Windows

O Serviço de Tempo do Windows inclui suporte real compatível com UTC a frações de segundos, um novo protocolo de tempo chamado de Protocolo de Tempo de Precisão e rastreabilidade de ponta a ponta.

Gateways SDN de alto desempenho

Os Gateways SDN de alto desempenho no Windows Server 2019 melhoram significativamente o desempenho das conexões IPsec e GRE, fornecendo uma taxa de transferência de altíssimo desempenho com muito menos utilização da CPU.

Nova extensão da interface do usuário de implantação e do Windows Admin Center para SDN

Agora, com o Windows Server 2019, ficou fácil realizar implantação e gerenciamento por meio de uma nova extensão da interface do usuário de implantação e do Windows Admin Center que permitem a qualquer pessoa aproveitar o poder da SDN.

WSL (Subsistema do Windows para Linux)

O WSL permite que os administradores do servidor usem as ferramentas e scripts existentes do Linux no Windows Server. Vários aprimoramentos apresentados no blog de linha de comando agora fazem parte do Windows Server, incluindo tarefas em segundo plano, DriveFS, WSLPath e muito mais.

Serviços de Federação do Active Directory

Os Serviços de Federação do Active Directory (AD FS) para Windows Server 2019 incluem as seguintes alterações.

Entradas protegidas

As entradas protegidas com o AD FS agora incluem as seguintes atualizações:

  • Os usuários agora podem usar produtos de autenticação de terceiros como seu primeiro fator sem expor senhas. Nos casos em que o provedor de autenticação externo pode provar dois fatores, ele pode usar a autenticação multifator (MFA).

  • Os usuários agora podem usar senhas como um fator extra depois de usar uma opção sem senha como o primeiro fator. Esse suporte in-box melhora a experiência geral do AD FS 2016, que exigia o download de um adaptador GitHub.

  • Os usuários agora podem criar seus próprios módulos de avaliação de risco de plug-in para bloquear determinados tipos de solicitações durante o estágio de pré-autenticação. Esse recurso facilita o uso de inteligência de nuvem, como proteção de identidade, para bloquear usuários ou transações arriscadas. Para mais informações, confira Criar plug-ins com o Modelo de Avaliação de Risco do AD FS 2019.

  • Melhora a engenharia de correção rápida (QFE) do Extranet Smart Lockout (ESL) adicionando os seguintes recursos:

    • Agora você pode usar o modo de auditoria enquanto estiver protegido pela funcionalidade clássica de bloqueio de extranet.

    • Os usuários agora podem usar limites de bloqueio independentes para locais familiares. Esse recurso permite que você execute várias instâncias de aplicativos em uma conta de serviço comum para rolar senhas com o mínimo de interrupção.

Outros aprimoramentos de segurança

O AD FS 2019 inclui os seguintes aprimoramentos de segurança:

  • O PowerShell remoto usando a Entrada de Cartão Inteligente permite que os usuários se conectem remotamente ao AD FS com SmartCards executando comandos do PowerShell. Os usuários também podem usar esse método para gerenciar todas as funções do PowerShell, incluindo cmdlets de vários nós.

  • A personalização de cabeçalho HTTP permite que os usuários personalizem cabeçalhos HTTP criados durante as respostas do AD FS. A personalização de cabeçalho inclui os seguintes tipos de cabeçalhos:

    • HSTS, que só permite usar pontos de extremidade do AD FS em pontos de extremidade HTTPS para um navegador compatível impor.

    • X-frame-options, que permite que os administradores do AD FS permitam que partes confiáveis específicas incorporem iFrames para páginas de entrada interativas do AD FS. Você só deve usar esse cabeçalho em hosts HTTPS.

    • Cabeçalho futuro. Você também pode configurar vários cabeçalhos futuros.

    Para obter mais informações, confira Personalizar cabeçalhos de resposta de segurança HTTP com o AD FS 2019.

Recursos de autenticação e política

O AD FS 2019 inclui os seguintes recursos de autenticação e política:

  • Os usuários agora podem criar regras para especificar qual provedor de autenticação sua implantação invoca para autenticação extra. Esse recurso ajuda na transição entre provedores de autenticação e na proteção de aplicativos específicos que têm requisitos especiais para provedores de autenticação extras.

  • Restrições opcionais para autenticações de dispositivo baseadas em TLS (Transport Layer Security) para que somente aplicativos que exigem TLS possam usá-las. Os usuários podem restringir autenticações de dispositivo baseadas em TLS de cliente para que apenas aplicativos que fazem acesso condicional baseado em dispositivo possam usá-las. Esse recurso evita solicitações indesejadas de autenticação de dispositivo para aplicativos que não exigem autenticação de dispositivo baseada em TLS.

  • O AD FS agora oferece suporte à reformulação de credenciais de segundo fator com base na atualização de credenciais de segundo fator. Esse recurso permite que os usuários exijam apenas o TFA para a primeira transação e, em seguida, exijam apenas o segundo fator periodicamente. Você só pode usar esse recurso em aplicativos que podem fornecer um parâmetro extra na solicitação, já que não é uma configuração configurável no AD FS. O Microsoft Entra ID oferece suporte a esse parâmetro se você configurar a configuração Lembrar minha MFA para X Dias para que supportsMFA seja definido como True nas configurações de confiança de domínio federado do Microsoft Entra ID.

Melhorias de logon único

O AD FS 2019 também inclui os seguintes aprimoramentos de logon único (SSO):

  • O AD FS agora usa um fluxo de experiência do usuário paginado e uma interface do usuário (UI) centralizada que fornece uma experiência de entrada mais suave para os usuários. Essa alteração espelha a funcionalidade oferecida no Azure AD. Talvez seja necessário atualizar o logotipo e as imagens de plano de fundo da sua organização para se adequar à nova interface do usuário.

  • Corrigimos um problema que fazia com que o estado MFA não persistisse ao usar a autenticação PRT (Token de Atualização Primária) em dispositivos Windows 10. Os usuários agora devem ser solicitados a fornecer credenciais de segundo fator com menos frequência. A experiência agora deve ser consistente quando a autenticação de dispositivo for bem-sucedida na autenticação TLS e PRT do cliente.

Suporte para criar aplicativos de linha de negócios modernos

O AD FS 2019 inclui os seguintes recursos para dar suporte à criação de aplicativos modernos de linha de negócios (LOB):

  • O AD FS agora inclui suporte a perfil de fluxo de dispositivo OAuth para entrar usando dispositivos sem uma área de superfície da interface do usuário para oferecer suporte a experiências de entrada avançadas. Esse recurso permite que os usuários terminem de entrar em um dispositivo diferente. A experiência da CLI (Interface de Linha de Comando) do Azure no Azure Stack requer essa funcionalidade e você também pode usá-la em outros cenários.

  • Você não precisa mais do parâmetro Resource para usar o AD FS, que está de acordo com as especificações OAUth atuais. Os clientes agora só precisam fornecer o identificador de confiança da terceira parte confiável como o parâmetro de escopo longo com as permissões solicitadas.

  • Você pode usar cabeçalhos de compartilhamento de recursos entre origens (CORS) em respostas do AD FS. Esses novos títulos permitem que os usuários criem aplicativos de página única que permitem que bibliotecas JavaScript do lado do cliente validem a assinatura id_token consultando as chaves de assinatura do documento de descoberta Open ID Connect (OIDC) no AD FS.

  • O AD FS inclui suporte a PKCE (Chave de Prova para Troca de Código) para fluxo de código de autenticação seguro no OAuth. Essa camada extra de segurança impede que agentes mal-intencionados sequestrem o código e o reproduzam de um cliente diferente.

  • Corrigimos um problema menor que fazia com que o AD FS enviasse apenas a declaração x5t. O AD FS agora também envia uma declaração infantil para indicar a dica de ID de chave para verificação de assinatura.

Aprimoramentos de capacidade de suporte

Os administradores agora podem configurar o AD FS para permitir que os usuários enviem relatórios de erros e logs de depuração para eles como um arquivo ZIP para solução de problemas. Os administradores também podem configurar uma conexão SMTP (Simple Mail Transfer Protocol) para enviar automaticamente o arquivo ZIP para uma conta de e-mail de triagem. Outra configuração permite que os administradores criem automaticamente um ticket para seu sistema de suporte com base nesse e-mail.

Atualizações de implantação

As seguintes atualizações de implantação foram incluídas no AD FS 2019:

  • O AD FS tem uma função semelhante à sua versão do Windows Server 2016 que facilita a atualização de farms de servidores do Windows Server 2016 para farms de servidores do Windows Server 2019. Um servidor Windows Server 2019 adicionado a um farm de servidores do Windows Server 2016 só se comportará como um servidor Windows Server 2016 até que você esteja pronto para atualizar. Para obter mais informações, confira Como atualizar para o AD FS no Windows Server 2016.

Atualizações SAML

O AD FS 2019 inclui as seguintes atualizações SAML (Security Assertion Markup Language):

  • Corrigimos problemas no suporte de federação agregada, como InCommon, nestas áreas:

    • Dimensionamento aprimorado para muitas entidades no documento de metadados de federação agregados. Anteriormente, o dimensionamento para essas entidades não teria êxito e retornaria uma mensagem de erro ADMIN0017.

    • Agora você pode fazer consultas usando o parâmetro ScopeGroupID executando o Get-AdfsRelyingPartyTrustsGroup cmdlet do PowerShell.

    • Melhoria no tratamento de condições de erro para valores duplicados de entityID .

Especificação de recurso de estilo do Azure AD no parâmetro de escopo

Anteriormente, o AD FS exigia que o recurso e o escopo desejados estivessem em um parâmetro separado em qualquer solicitação de autenticação. Por exemplo, a solicitação OAuth de exemplo a seguir contém um parâmetro de escopo:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Com o AD FS no Windows Server 2019, você pode passar o valor do recurso inserido no parâmetro de escopo. Essa alteração é consistente com a autenticação no Microsoft Entra ID.

O parâmetro scope agora pode ser organizado como uma lista separada por espaço que estrutura cada entidade como um recurso ou escopo.

Observação

Você só pode especificar um recurso na solicitação de autenticação. Se você incluir mais de um recurso na solicitação, o AD FS retornará um erro e a autenticação não será bem-sucedida.