Novidades no Windows Server 2016

Este artigo descreve alguns dos novos recursos do Windows Server 2016 que têm maior probabilidade de causar o maior impacto enquanto você trabalha com esta versão.

Computação

A Área de virtualização inclui produtos e recursos de virtualização para que profissionais de TI possam projetar, implantar e manter o Windows Server.

Geral

Máquinas físicas e virtuais beneficiam-se de maior precisão de tempo devido a melhorias no tempo de Win32 e nos Serviços de sincronização de tempo do Hyper-V. O Windows Server agora pode hospedar serviços compatíveis com as regulamentações futuras que exigem uma precisão de 1ms em relação ao UTC.

Hyper-V

A Virtualização de Rede Hyper-V (HNV) é um apoio fundamental da solução SDN (Software Defined Networking) atualizada da Microsoft e está totalmente integrada à pilha SDN. O Windows Server 2016 inclui as seguintes alterações no Hyper-V:

• O Windows Server 2016 agora inclui um comutador Hyper-V programável. O Controlador de Rede da Microsoft envia políticas HNV para um Agente de Host em execução em cada host usando o protocolo OVSDB (Open vSwitch Database Management Protocol) como a SBI (SouthBound Interface). O Agente de Host armazena essa política usando uma personalização do esquema VTEP e programa regras de fluxo complexas em um mecanismo de fluxo de desempenho no comutador Hyper-V. O mecanismo de fluxo no comutador Hyper-V é o mesmo que uado no Azure. Todo a SDN é empilhada no controlador de rede, e o provedor de recursos de rede também é consistente com o Azure, tornando seu desempenho comparável à nuvem pública do Azure. Dentro do mecanismo de fluxo da Microsoft, o comutador Hyper-V vem equipado para lidar com as regras de fluxo sem monitoração de estado e com monitoração de estado por meio de um mecanismo de ação de correspondência simples que define como os pacotes devem ser processados no comutador.

• A HNV agora oferece suporte ao encapsulamento do protocolo VXLAN (Virtual eXtensible Local Area Network). A HNV usa o protocolo VXLAN no modo de distribuição MAC no Controlador de Rede da Microsoft para mapear endereços IP de rede que usam excessivamente locatários em endereços IP de rede subjacentes físicas. Os descarregamentos de tarefas NVGRE e VXLAN suportam drivers de terceiros para melhorar o desempenho.

• O Windows Server 2016 inclui um SLB (balanceador de carga de software) com suporte total para tráfego de rede virtual e interação contínua com a HNV. O mecanismo de fluxo de desempenho implementa o SLB no v-Switch do plano de dados e, em seguida, o controlador de rede o controla para mapeamentos de IP Virtual (VIP) ou IP Dinâmico (DIP).

• A HNV implementa cabeçalhos Ethernet L2 corretos para garantir a interoperabilidade com dispositivos virtuais e físicos de terceiros que dependem de protocolos padrão do setor. A Microsoft garante que todos os pacotes transmitidos tenham valores compatíveis em todos os campos para garantir a interoperabilidade. A HNV requer suporte para Jumbo Frames (MTU > 1780) na rede física L2 para dar conta da sobrecarga de pacotes introduzida por protocolos de encapsulamento como NVGRE e VXLAN. O suporte a Jumbo Frame garante que as Máquinas Virtuais convidadas conectadas a uma Rede Virtual HNV mantenham uma MTU 1514.

• O suporte a Contêiner do Windows adiciona melhorias de desempenho, gerenciamento de rede simplificado e suporte aos contêineres do Windows no Windows 10. Para obter mais informações, consulte Contêineres: Docker, Windows e tendências.

Nano Server

Novidades no Nano Server. O Nano Server agora tem um módulo atualizado para a criação de imagens do Nano Server, inclusive mais separação da funcionalidade de máquina virtual de host e convidado físico, além de suporte para edições diferentes do Windows Server.

Também há aprimoramentos para o Console de Recuperação, incluindo a separação das regras de firewall de entrada e saída, bem como a capacidade para reparar a configuração do WinRM.

Máquinas virtuais blindadas

O Windows Server 2016 fornece uma nova máquina virtual blindada com base em Hyper-V para proteção de qualquer máquina virtual de 2ª geração de uma malha comprometida. Entre os recursos introduzidos no Windows Server 2016 estão os seguintes:

• Um novo modo de Suporte a criptografia que oferece mais proteções do que para uma máquina virtual comum, mas menos do que o modo Blindado, enquanto ainda dá suporte a vTPM, criptografia de disco, criptografia de tráfego da Migração Dinâmica e outros recursos, incluindo conveniências de administração de malha direta como conexões de console da máquina virtual e PowerShell Direct.

• Suporte completo para a conversão de máquinas virtuais não blindadas de 2ª geração para máquinas virtuais existentes, incluindo criptografia de disco automatizada.

• O Gerenciador de Máquinas Virtuais do Hyper-V agora pode exibir as malhas nas quais um virtual blindado está autorizado a ser executado, fornecendo uma maneira para o administrador de malha abrir o KP (protetor de chave) de uma máquina virtual blindada e exibir as malhas nas quais ele tem permissão para ser executado.

• Você pode alternar os modos de Atestado em um Serviço Guardião de Host em execução. Agora você pode alternar rapidamente entre o atestado menos seguro, mas mais simples baseado no Active Directory e o atestado baseado em TPM.

• As ferramentas de diagnóstico de ponta a ponta baseadas no Windows PowerShell que são capazes de detectar erros ou configurações incorretas nos hosts protegidos do Hyper-V e no Serviço Guardião de Host.

• Um ambiente de recuperação que oferece um meio para solucionar problemas e reparar com segurança máquinas virtuais blindadas dentro da malha em que são normalmente executadas além de oferecer o mesmo nível de proteção que a própria máquina virtual blindada.

• Suporte ao Serviço Guardião de Host para Active Directory seguro existente – você pode direcionar o Serviço Guardião de Host para usar uma floresta existente do Active Directory como seu Active Directory, em vez de criar sua própria instância do Active Directory

Para obter mais informações e instruções para trabalhar com máquinas virtuais blindadas, consulte Guarded Fabric and Shielded VMs.

Identidade e acesso

Novos recursos na Identidade aprimoram a capacidade das organizações protegerem ambientes do Active Directory e ajudam a migrar para implantações apenas na nuvem e implantações híbridas, onde alguns aplicativos e serviços são hospedados na nuvem e outros são hospedados no local.

Serviços de Certificados do Active Directory

Os Serviços de Certificados do Active Directory (AD CS) no Windows Server 2016 aumentam o suporte para atestado de chave TPM: agora você pode usar o Smart Card KSP para atestado de chave, e os dispositivos que não ingressaram no domínio agora podem usar o registro NDES para obter certificados que podem ser atestados para chaves que estão em um TPM.

Privileged Access Management

O gerenciamento de acesso privilegiado (PAM) ajuda a reduzir as preocupações de segurança em ambientes do Active Directory causadas por técnicas de roubo de credenciais, como pass-the-hash, spear phishing e assim por diante. Você pode configurar essa nova solução de acesso administrativo usando o Microsoft Identity Manager (MIM) e ela apresenta os seguintes recursos:

• A floresta bastião do Active Directory, provisionada pelo MIM, tem uma relação de confiança PAM especial com uma floresta existente. As florestas Bastion são um novo tipo de ambiente do Active Directory que está livre de atividades maliciosas devido a serem isoladas das florestas existentes e só permitirem acesso a contas privilegiadas.

• Novos processos no MIM para solicitar privilégios administrativos, incluindo novos fluxos de trabalho para aprovar solicitações.

• Novas entidades de segurança de sombra, ou grupos, provisionados na floresta bastion pelo MIM em resposta a solicitações de privilégios administrativos. Os grupos de segurança de sombra têm um atributo que faz referência ao SID de um grupo administrativo em uma floresta existente. Isso permite que o grupo de sombra acesse recursos em florestas existentes sem alterar nenhuma lista de controle de acesso (ACLs).

• Um recurso de links que expiram, que permite associações por tempo limitado a um grupo de sombra. Você pode adicionar usuários ao grupo por um período de tempo definido que lhes permita executar tarefas administrativas. A associação por tempo limitado é configurada por um valor de tempo de vida (TTL) que é propagado para o tempo de vida do tíquete Kerberos.

  Observação

  Os links em expiração estão disponíveis em todos os atributos vinculados. No entanto, somente a relação de atributo vinculado membro/membroOF entre um grupo e um usuário vem pré-configurada com o PAM para usar o recurso de links que expiram.

• Os aprimoramentos internos do KDC (Controlador de Domínio Kerberos) permitem que os controladores de domínio do Active Directory restrinjam os tempos de vida dos tíquetes Kerberos ao menor valor TTL possível quando os usuários têm várias associações por tempo limitado a grupos administrativos. Por exemplo, se você for membro do grupo A com limite de tempo, quando fizer logon, o tempo de vida do tíquete de concessão de tíquete Kerberos (TGT) será igual ao tempo restante no grupo A. Se você também ingressar no grupo B com limite de tempo, que tem um TTL menor do que o grupo A, seu tempo de vida do TGT será igual ao tempo restante no grupo B.

• Novos recursos de monitoramento que permitem identificar quais usuários solicitaram acesso, quais acessos os administradores concederam a eles e quais atividades eles executaram enquanto estavam conectados.

Para saber mais sobre o PAM, consulte Gerenciamento de Acesso Privilegiado para Serviços de Domínio Active Directory.

Microsoft Entra Join

A adesão ao Microsoft Entra aprimora as experiências de identidade para clientes corporativos, empresariais e educacionais, além de incluir recursos aprimorados para dispositivos corporativos e pessoais.

• As Configurações modernas agora estão disponíveis em dispositivos Windows de propriedade corporativa. Você não precisa mais de uma conta pessoal da Microsoft para usar os principais recursos do Windows, e eles são executados usando contas de trabalho de usuário existentes para garantir a conformidade. Esses serviços funcionam em computadores ingressados em um domínio local do Windows e dispositivos ingressados no Microsoft Entra. Essas configurações incluem:

  • Roaming ou personalização, configurações de acessibilidade e credenciais

  • Fazer backup e restaurar

  • Acesso à Microsoft Store com sua conta corporativa

  • Blocos dinâmicos e notificações

• Acesse recursos organizacionais em dispositivos móveis, como telefones e tablets, que não podem ser associados a um domínio do Windows, sejam eles de propriedade corporativa ou tragam seu próprio dispositivo (BYOD).

• Use o Logon Único (SSO) para o Office 365 e outros aplicativos, sites e recursos organizacionais.

• Em dispositivos BYOD, adicione uma conta corporativa de um domínio local ou do Azure AD a um dispositivo de propriedade pessoal. Você pode usar o SSO para acessar recursos de trabalho por meio de aplicativos ou na Web, permanecendo em conformidade com novos recursos, como Controle de Conta Condicional e Atestado de Integridade do Dispositivo.

• A integração de gerenciamento de dispositivos móveis (MDM) permite que você registre automaticamente dispositivos em sua ferramenta de gerenciamento de dispositivos móveis (MDM) (Microsoft Intune ou de terceiros).

• Configure o modo de quiosque e dispositivos compartilhados para vários usuários em sua organização.

• A experiência do desenvolvedor permite que você crie aplicativos que atendam a contextos corporativos e pessoais com uma pilha de programação compartilhada.

• A opção de geração de imagens permite que você escolha entre criar imagens e permitir que os usuários configurem dispositivos corporativos diretamente durante a experiência de primeira execução.

Windows Hello para Empresas

O Windows Hello para Empresas é uma nova abordagem de autenticação com base em chave para empresas e consumidores que vai além de senhas. Essa forma de autenticação depende de credenciais resistentes a violações, roubo e phishing.

O usuário entra no dispositivo com um biométrico ou PIN vinculado a um certificado ou a um par de chaves assimétricas. Os Provedores de Identidade (IDPs) validam o usuário mapeando a chave pública do usuário para o IDLocker e fornecem informações de logon por meio de OTP (One Time Password), por telefone ou um mecanismo de notificação diferente.

Para saber mais, confira Windows Hello para Empresas.

Substituição dos níveis funcionais do FRS (Serviço de Replicação de Arquivos) e do Windows Server 2003

Embora o FRS (Serviço de Replicação de Arquivos) e os níveis funcionais do Windows Server 2003 tenham sido preteridos em versões anteriores do Windows Server, gostaríamos de lembrar que o AD DS não oferece mais suporte ao Windows Server 2003. Você deve remover qualquer controlador de domínio que execute o Windows Server 2003 do domínio. Você também deve elevar o nível funcional de domínio e floresta para, pelo menos, o Windows Server 2008.

Nos níveis funcionais de domínio do Windows Server 2008 e superiores, o AD DS usa a Replicação do Serviço de Arquivos Distribuídos (DFS) para replicar o conteúdo da pasta SYSVOL entre controladores de domínio. Se você criar um novo domínio no nível funcional de domínio do Windows Server 2008 ou superior, a Replicação DFS replicará automaticamente a pasta SYSVOL. Se você criou o domínio em um nível funcional inferior, deverá migrar do uso do FRS para a replicação DFS para a pasta SYSVOL. Para obter etapas de migração mais detalhadas, consulte Instalar, atualizar ou migrar para o Windows Server.

Para saber mais, consulte os recursos a seguir:

• Compreender o AD DS (Serviços de Domínio Active Directory)
• Como aumentar os níveis funcionais de domínio e floresta do Active Directory

Serviços de Federação do Active Directory

O AD FS (Serviços de Federação do Active Directory) no Windows Server 2016 inclui novos recursos que permitem que você configure o AD FS para autenticar usuários armazenados em diretórios LDAP (Lightweight Directory Access Protocol).

Proxy de aplicativo Web

A versão mais recente do Proxy de aplicativo Web se concentra em novos recursos que habilitam a publicação e a pré-autenticação para mais aplicativos e uma experiência do usuário aprimorada. Confira a lista completa dos novos recursos que incluem a pré-autenticação para aplicativos de cliente avançado, como o Exchange ActiveSync, e domínios curinga para a publicação mais fácil de aplicativos do SharePoint. Para obter mais informações, confira Proxy de aplicativo Web no Windows Server 2016.

Administração

A área de Gerenciamento e Automação concentra-se na ferramenta e nas informações de referência para profissionais de TI que desejam executar e gerenciar o Windows Server 2016, incluindo o Windows PowerShell.

O Windows PowerShell 5.1 contém novos recursos significativos, incluindo suporte para o desenvolvimento com classes e novos recursos de segurança, que ampliam seu uso, melhoram sua usabilidade e permitem controlar e gerenciar ambientes baseados em Windows de forma mais fácil e abrangente. Confira Novos cenários e recursos no WMF 5.1 para obter mais detalhes.

Novas adições para o Windows Server 2016 incluem: a capacidade de executar o PowerShell.exe localmente no Nano Server (não mais apenas remoto), novos cmdlets de usuários locais e grupos para substituir a GUI, adicionado o suporte à depuração do PowerShell e adicionado o suporte no Nano Server para o log de segurança e transcrição e JEA.

Veja alguns outros novos recursos de administração:

DSC (Configuração de estado desejado) do PowerShell no WMF (Windows Management Framework) 5

O Windows Management Framework 5 inclui atualizações para DSC (Configuração de estado desejado) do Windows PowerShell, Windows Remote Management (WinRM) e Windows Management Instrumentation (WMI).

Para saber mais sobre como testar os recursos de DSC do Windows Management Framework 5, confira a série de postagens de blog discutidas em Validar recursos do PowerShell DSC. Para baixar, confira Windows Management Framework 5.1.

Gerenciamento de pacote unificado PackageManagement para descoberta de software, instalação e inventário

O Windows Server 2016 e o Windows 10 inclui um novo recurso PackageManagement (anteriormente chamado OneGet) que permite que os profissionais de TI ou DevOps automatizem a detecção de software, instalação e inventário (SDII), local ou remotamente, independentemente da tecnologia de instalador e onde o software está localizado.

Para saber mais, confira https://github.com/OneGet/oneget/wiki.

Aprimoramentos do PowerShell para auxiliar o trabalho forense digital e ajudar a reduzir as violações de segurança

Para ajudar a equipe responsável pela investigação de sistemas comprometidos (às vezes conhecida como "equipe azul"), adicionamos registro em log do PowerShell e outras funcionalidades de computação forense digital e acrescentamos funcionalidades para ajudar a reduzir as vulnerabilidades de scripts, como o PowerShell restrito e APIs CodeGeneration protegidas.

Para obter mais informações, confira PowerShell ♥ a equipe azul.

Rede

A Área de rede aborda os produtos e recursos de rede para o profissional de TI desenvolver, implantar e manter o Windows Server 2016.

Redes definidas por software

Você pode agora espelhar e rotear o tráfego para soluções de virtualização novas ou existentes. Junto com um firewall distribuído e grupos de segurança de rede, isso permite que você segmente e proteja dinamicamente as cargas de trabalho de maneira semelhante ao Azure. Em segundo lugar, você pode implantar e gerenciar toda a pilha de redes definidas pelo software (SDN) usando o System Center Virtual Machine Manager. Por fim, você pode usar o Docker para gerenciar o sistema de rede do contêiner do Windows Server e associar políticas de SDN não apenas a máquinas virtuais, mas também aos contêineres. Para obter mais informações, confira Planejar a infraestrutura de rede definida por software.

Aprimoramentos de desempenho de TCP

A ICW (Janela de Congestionamento Inicial) padrão aumentou de quatro para 10 e a TFO (Abertura Rápida de TCP) foi implementada. A TFO reduz a quantidade de tempo necessária para estabelecer uma conexão TCP, e o ICW maior permite que objetos maiores sejam transferido no pico inicial. Essa combinação pode reduzir consideravelmente o tempo necessário para transferir um objeto da Internet entre o cliente e a nuvem.

Para melhorar o comportamento do TCP ao se recuperar da perda de pacotes, implementamos o TCP Tail Loss Probe (TLP) e o Reconhecimento Recente (RACK). O TLP ajuda a converter RTOs (Tempo limite de retransmissão) em Recuperações rápidas, e o RACK reduz o tempo necessário para Recuperação rápida a fim de retransmitir um pacote perdido.

Protocolo DHCP

O protocolo DHCP (Dynamic Host Configuration Protocol) tem as seguintes alterações no Windows Server 2016:

• A partir do Windows 10, versão 2004, quando você está executando um cliente Windows e se conecta à Internet usando um dispositivo Android conectado, as conexões agora são rotuladas como limitadas. O nome do fornecedor do cliente tradicional que aparecia como MSFT 5.0 em determinados dispositivos Windows agora é MSFT 5.0 XBOX.

• A partir do Windows 10, versão 1803, o cliente DHCP agora pode ler e aplicar a opção 119, a opção de pesquisa de domínio, a partir do servidor DHCP ao qual seu sistema se conecta. A Opção de Pesquisa de Domínio também fornece sufixos DNS (Serviços de Nome de Domínio) para pesquisas de DNS de nomes curtos. Para obter mais informações, consulte RFC 3397.

• O DHCP agora dá suporte à opção 82 (sub-opção 5). Você pode usar essa opção para permitir que clientes proxy DHCP e agentes de retransmissão solicitem um endereço IP para uma sub-rede específica. Se você estiver usando um agente de retransmissão DHCP configurado com a opção DHCP 82 (subopção 5), o agente de retransmissão poderá solicitar uma concessão de endereço IP para clientes DHCP de um intervalo de endereços IP específico. Para obter mais informações, consulte Opções de seleção de sub-rede DHCP.

• Novos eventos de log para cenários em que os registros de registro DNS falham no servidor DNS. Para obter mais informações, consulte Eventos de log DHCP para registros DNS.

• A função de servidor DHCP já não suporta NAP (Proteção de Acesso à Rede). Os servidores DHCP não impõem diretivas NAP e os escopos DHCP não podem ser habilitados para NAP. Computadores cliente DHCP que também são clientes NAP enviam uma declaração de integridade (SoH) com a solicitação DHCP. Se o servidor DHCP estiver executando o Windows Server 2016, essas solicitações serão processadas como se nenhum SoH estivesse presente. O servidor DHCP garante uma concessão DHCP normal ao cliente. Se os servidores que executam o Windows Server 2016 forem proxies RADIUS (Remote Authentication Dial-In User Service) que encaminham solicitações de autenticação para um NPS (Servidor de Diretivas de Rede) que ofereça suporte à NAP, o NPS avaliará esses clientes como não compatíveis com NAP, fazendo com que o processamento de NAP falhe. Para obter mais informações sobre a substituição de NAP e NAP, consulte Recursos removidos ou preteridos no Windows Server 2012 R2.

Segurança e garantia

A área de Segurança e garantia inclui recursos e soluções de segurança que profissionais de TI podem implantarem em seu data center e ambiente de nuvem. Para obter informações sobre a segurança no Windows Server 2016 em geral, confira Garantia e segurança.

Administração Just Enough

A Administração Just Enough no Windows Server 2016 é a tecnologia de segurança que permite a administração delegada para qualquer coisa que possa ser gerenciada com o Windows PowerShell. Os recursos incluem o suporte para execução sob uma identidade de rede, conexão através do PowerShell Direct, cópia de arquivos de ou para pontos de extremidade de JEA e configuração do console do PowerShell para inicialização em um contexto de JEA por padrão. Para obter mais informações, consulte JEA no GitHub.

Credential Guard

O Credential Guard usa segurança baseada em virtualização para isolar segredos para que apenas o software de sistema privilegiado possa acessá-los. Para obter mais informações, consulte Proteger credenciais de domínio derivadas com o Credential Guard.

O Credential Guard para Windows Server 2016 inclui as seguintes atualizações para sessões de usuário conectado:

• O Kerberos e o NTLM (New Technology LAN Manager) usam a segurança baseada em virtualização para proteger segredos do Kerberos e do NTLM em sessões de usuário conectado.

• O Gerenciador de Credenciais protege as credenciais de domínio salvas usando a segurança baseada em virtualização. As credenciais de entrada e as credenciais de domínio salvas não são passadas para hosts remotos que usam a Área de Trabalho Remota.

• Você pode habilitar o Credential Guard sem um bloqueio UEFI (Unified Extensible Firmware Interface).

Credential Guard Remoto

O Credential Guard inclui suporte para sessões RDP para que as credenciais do usuário permaneçam no lado do cliente e não sejam expostas no lado do servidor. Também fornece Logon único para Área de Trabalho Remota. Para obter mais informações, confira Proteger credenciais de domínio derivadas com o Windows Defender Credential Guard.

O Remote Credential Guard para Windows Server 2016 inclui as seguintes atualizações para usuários conectados:

• O Remote Credential Guard mantém os segredos Kerberos e NTLM para credenciais de usuário conectado no dispositivo cliente. As solicitações de autenticação do host remoto para avaliar os recursos de rede como o usuário exigem que o dispositivo cliente use os segredos.

• O Remote Credential Guard protege as credenciais de usuário fornecidas ao se usar a Área de Trabalho Remota.

Proteções de domínio

As proteções de domínio agora exigem um domínio do Active Directory.

Suporte à extensão de atualização de PKInit

Os clientes Kerberos agora tentam a extensão de atualização PKInit para logon baseado em chave pública.

Os KDCs agora oferecem suporte à extensão de atualização PKInit. No entanto, eles não oferecem a extensão de atualização PKInit por padrão.

Para obter mais informações, consulte Cliente Kerberos e suporte KDC para extensão de atualização PKInit RFC 8070.

Segredos NTLM contínuos de chave pública somente do usuário

A partir do nível funcional de domínio (DFL) do Windows Server 2016, os DCs agora oferecem suporte à rolagem dos segredos NTLM de um usuário somente de chave pública. Esse recurso não está disponível em DFLs (níveis de funcionamento de domínio inferiores).

Aviso

Adicionar um DC habilitado antes da atualização lançada em 8 de novembro de 2016 a um domínio que ofereça suporte a segredos NTLM contínuos talvez cause a falha do controlador de domínio.

Para novos domínios, esse recurso é habilitado por padrão. Para domínios existentes, você deve configurá-lo na Central Administrativa do Active Directory.

Na Central Administrativa do Active Directory, clique com o botão direito do mouse no domínio no painel esquerdo e selecione Propriedades. Selecione a caixa de seleção Habilitar a rolagem de segredos NTLM com data de expiração durante o logon para usuários que precisam usar o Windows Hello for Business ou o cartão inteligente para logon interativo. Depois disso, selecione OK para aplicar essa alteração.

Permitir NTLM de rede quando o usuário é restrito a dispositivos específicos ingressados no domínio

Os DCs agora podem oferecer suporte à permissão NTLM de rede quando um usuário está restrito a dispositivos ingressados em um domínio específico no DFL do Windows Server 2016 e posterior. Esse recurso não está disponível em DFLs que executam um sistema operacional anterior ao Windows Server 2016.

Para definir essa configuração, na política de autenticação, selecione Permitir a autenticação de rede NTLM quando o usuário estiver restrito a dispositivos selecionados.

Para obter mais informações, consulte Políticas de autenticação e silos de política de autenticação.

Device Guard (Integridade de código)

O Device Guard fornece KMCI (integridade de código no modo kernel) e UMCI (integridade de código no modo de usuário) criando políticas que especificam qual código pode ser executado no servidor. Confira Introdução ao Windows Defender Device Guard: políticas de integridade de código e segurança baseada em virtualização.

Windows Defender

Visão geral do Windows Defender para Windows Server 2016. O Windows Server Antimalware é instalado e habilitado por padrão no Windows Server 2016, mas a interface do usuário do Windows Server Antimalware não está instalada. No entanto, o Windows Server Antimalware atualizará as definições de antimalware e protegerá o computador sem a interface do usuário. Se você precisar da interface do usuário do Windows Server Antimalware, pode instalá-lo após a instalação do sistema operacional usando o Assistente de Adição de Funções e Recursos.

Proteção de Fluxo de Controle

O CFG (Proteção de Fluxo de Controle) é um recurso de segurança de plataforma que foi criado para combater as vulnerabilidades de corrupção da memória. Para saber mais, confira Control Flow Guard (Proteção de Fluxo de Controle).

Armazenamento

O armazenamento no Windows Server 2016 inclui novos recursos e aprimoramentos de armazenamento definidos pelo software, bem como para servidores de arquivos tradicionais. Veja abaixo alguns dos recursos novos. Para conferir outros aprimoramentos e detalhes, confira Novidades no Armazenamento no Windows Server 2016.

Espaços de Armazenamento Direct

Os Espaços de Armazenamento Direto habilitam a criação de armazenamento altamente disponível e escalonável usando servidores com armazenamento local. Ele simplifica a implantação e o gerenciamento de sistemas de armazenamento definidos por software e desbloqueia o uso de novas classes de dispositivos de disco, como dispositivos de disco SATA SSD e NVMe, que anteriormente não eram possíveis com Espaços de Armazenamento clusterizados com discos compartilhados.

Para saber mais, confira Espaços de Armazenamento Diretos.

Réplica de Armazenamento

A Réplica de Armazenamento habilita a replicação síncrona em nível de bloco independente de armazenamento entre servidores ou clusters para recuperação de desastre, bem como a expansão de um cluster de failover entre sites. A replicação síncrona habilita o espelhamento de dados em locais físicos com volumes consistentes com falha para garantir perda zero de dados no nível do sistema de arquivos. A replicação assíncrona permite a extensão de site além das dimensões metropolitanas com a possibilidade de perda de dados.

Para saber mais, confira Réplica de armazenamento.

QoS (Qualidade de armazenamento do serviço)

Agora você pode usar QoS (qualidade do serviço de armazenamento) para monitorar centralmente e de ponta a ponta o desempenho do armazenamento e criar políticas usando o clusters do Hyper-V e CSV no Windows Server 2016.

Para saber mais, confira Qualidade do serviço de armazenamento.

Serviço de Integridade

O Serviço de Integridade aprimorar monitoramento de rotina, as operações e a experiência de manutenção de recursos de cluster em Espaços de Armazenamento Diretos.

Para saber mais, confira Serviço de Integridade.

Clustering de failover

O Windows Server 2016 inclui muitos recursos novos e aprimoramentos para vários servidores agrupados em um único cluster tolerante a falhas usando o recurso de Clustering de Failover.

Atualização sem interrupção do sistema operacional do cluster

A Atualização Contínua do Sistema Operacional de Cluster permite que um administrador atualize o sistema operacional dos nós de cluster do Windows Server 2012 R2 para o Windows Server 2016 sem interromper as cargas de trabalho do Hyper-V ou do Servidor de Arquivos de Expansão. Você pode usar esse recurso para evitar penalidades de tempo de inatividade contra SLAs (Contratos de Nível de Serviço).

Para saber mais, confira Atualização sem interrupção do sistema operacional do cluster.

Testemunha de nuvem

Testemunha de nuvem é um novo tipo de testemunha de quorum de Cluster de Failover no Windows Server 2016 que utiliza o Microsoft Azure como o ponto de arbitragem. A Testemunha da Nuvem, como qualquer outra testemunha de quórum, recebe um voto e pode participar dos cálculos de quórum. Você pode configurar o Cloud Witness como uma testemunha de quorum usando o assistente Configurar um quorum de cluster.

Para obter mais informações, consulte Implantar o Cloud Witness para um cluster de failover.

Resiliência da máquina virtual

O Windows Server 2016 inclui maior resiliência de computação de máquina virtual (VM) para ajudar a reduzir problemas de comunicação intracluster em seu cluster de computação. Essa resiliência aumentada inclui as seguintes atualizações:

• Agora você pode configurar as seguintes opções para definir como as VMs devem se comportar durante falhas transitórias:

  • O Nível de Resiliência define como sua implantação deve lidar com falhas transitórias.

  • O Período de Resiliência define por quanto tempo todas as VMs podem ser executadas isoladas.

• Os nós não íntegros são colocados em quarentena e não têm mais permissão para ingressar no cluster. Esse recurso impede que nós não íntegros afetem negativamente outros nós e o cluster geral.

Para obter mais informações sobre recursos de resiliência de computação, consulte Resiliência de computação de máquina virtual no Windows Server 2016.

As VMs do Windows Server 2016 também incluem novos recursos de resiliência de armazenamento para lidar com falhas transitórias de armazenamento. A resiliência aprimorada ajuda a preservar os estados de sessão da VM do locatário em caso de interrupção do armazenamento. Quando uma VM se desconecta de seu armazenamento subjacente, ela pausa e aguarda a recuperação do armazenamento. Enquanto pausada, a VM mantém o contexto dos aplicativos que estavam sendo executados nela no momento da falha de armazenamento. Quando a conexão entre a VM e o armazenamento é restaurada, a VM retorna ao seu estado de execução. Como resultado, o estado da sessão do computador do locatário não é alterado após a recuperação.

Os novos recursos de resiliência de armazenamento também se aplicam a clusters convidados.

Melhorias de diagnóstico

Para ajudar a diagnosticar problemas nos clusters de failover, o Windows Server 2016 contempla:

• Vários aprimoramentos nos arquivos de log de cluster, como Informações de Fuso Horário e Log DiagnosticVerbose, facilitam a solução de problemas de cluster de failover. Para saber mais, confira Aprimoramentos na solução de problemas do Cluster de Failover do Windows Server 2016 - Log do Cluster.

• Um novo tipo de despejo de memória ativa filtra a maioria das páginas de memória alocadas para VMs, tornando o arquivo memory.dmp muito menor e mais fácil de salvar ou copiar. Para saber mais, confira Aprimoramentos na solução de problemas do Cluster de Failover do Windows Server 2016 - Dump ativo.

Clusters de failover com reconhecimento de site

O Windows Server 2016 inclui clusters de failover com reconhecimento de site que habilitam nós de grupo em clusters estendidos com base em seu local físico ou site. O reconhecimento de sites do cluster aprimora as principais operações durante o ciclo de vida do cluster, como o comportamento de failover, as políticas de posicionamento, o heartbeat entre os nós e o comportamento do quorum. Para saber mais, confira Clusters de Failover com reconhecimento de sites no Windows Server 2016.

Clusters de grupo de trabalho e vários domínios

No Windows Server 2012 R2 e versões anteriores, um cluster só pode ser criado entre nós membros associados ao mesmo domínio. O Windows Server 2016 quebra essas barreiras e apresenta a capacidade de criar um Cluster de failover sem dependências do Active Directory. Agora, você pode criar clusters de failover nos cenários:

• Clusters de domínio único, que têm todos os seus nós unidos ao mesmo domínio.

• Clusters de vários domínios, que têm nós que são membros de domínios diferentes.

• Clusters de grupo de trabalho, que têm nós que são servidores membros ou grupos de trabalho que não ingressam no domínio.

Para saber mais, confira Clusters de grupo de trabalho e em vários domínios no Windows Server 2016).

Balanceamento de carga de máquinas virtuais

O Balanceamento de Carga de Máquina Virtual é um novo recurso do Clustering de Failover que equilibra perfeitamente a carga das VMs entre os nós de um cluster. O recurso identifica nós supercomprometidos com base na memória da VM e na utilização da CPU no nó. Em seguida, ele migra ao vivo as VMs do nó supercomprometido para nós com largura de banda disponível. Você pode ajustar a agressividade com que o recurso equilibra os nós para garantir o desempenho e a utilização ideais do cluster. O Balanceamento de Carga fica habilitado por padrão na Visualização técnica do Windows Server 2016. No entanto, o balanceamento é desabilitado quando a Otimização Dinâmica do SCVMM está habilitada.

Ordem de inicialização da máquina virtual

A Ordem de Início da máquina virtual é um novo recurso no Clustering de Failover que introduz a orquestração da ordem de início para VMs e outros grupos em um cluster. Agora você pode agrupar VMs em camadas e, em seguida, criar dependências de ordem de início entre camadas diferentes. Essas dependências garantem que as VMs mais importantes, como Controladores de Domínio ou VMs de Utilitário, sejam iniciadas primeiro. As VMs em camadas de prioridade mais baixa não são iniciadas até depois das VMs que elas têm uma dependência na inicialização.

SMB Multichannel simplificado e redes de cluster de várias NICs

As redes de cluster de failover não estão mais limitadas a uma única placa de interface de rede (NIC) por sub-rede ou rede. Com as redes de cluster SMB (Server Message Block) e Multi-NIC simplificadas, a configuração de rede é automática e cada NIC na sub-rede pode ser usada para tráfego de cluster e carga de trabalho. Esse aprimoramento permite que os clientes maximizem a taxa de transferência de rede para Hyper-V, Instância de Cluster de Failover do SQL Server e outras cargas de trabalho SMB.

Para obter mais informações, veja Redes de cluster Multicanal e Multi-NIC simplificadas para SMB.

Desenvolvimento de aplicativo

IIS (Serviços de Informações da Internet) 10.0

Os novos recursos fornecidos pelo servidor Web IIS 10.0 no Windows Server 2016 incluem:

• Suporte para o protocolo HTTP/2 na pilha de rede e integrado com o IIS 10.0, permitindo que os sites IIS 10.0 atendam automaticamente a solicitações HTTP/2 para configurações compatíveis. Isso permite vários aprimoramentos sobre HTTP/1.1 como reutilização mais eficiente de conexões e menor latência, melhorando os tempos de carregamento de páginas da Web.
• Capacidade de executar e gerenciar o IIS 10.0 no servidor Nano. Confira IIS no servidor Nano.
• Suporte para Cabeçalhos de Host com Caracteres Curinga, permitindo que os administradores configurem um servidor Web para um domínio e, em seguida, que o servidor Web atenda solicitações de qualquer subdomínio.
• Um novo módulo de PowerShell (IISAdministration) para gerenciar o IIS.

Para obter mais detalhes, consulte IIS.

Coordenador de Transações Distribuídas (MSDTC)

Três novos recursos são adicionados no Microsoft Windows 10 e Windows Server 2016:

• Uma nova interface para Reingressar do Gerenciador de Recursos pode ser usada por um gerenciador de recursos para determinar o resultado de uma transação em dúvida, depois que um banco de dados for reiniciado devido a um erro. Confira IResourceManagerRejoinable::Rejoin para obter detalhes.

• O limite de nome DSN é ampliado de 256 bytes para 3.072 bytes. Confira IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate ou IDtcToXaMapper::RequestNewResourceManager para obter detalhes.

• Rastreamento aprimorado permitindo que você defina uma chave do Registro para incluir um caminho de arquivo de imagem no nome do arquivo de log de rastreamento para poder determinar qual o arquivo de log de rastreamento verificar. Confira Como habilitar o rastreamento de diagnóstico para MS DTC em um computador baseado no Windows para obter detalhes sobre como configurar o rastreamento para MSDTC.

Servidor DNS

O Windows Server 2016 contém as seguintes atualizações para o Servidor DNS (Sistema de Nomes de Domínio).

Políticas DNS

Configure políticas do DNS para especificar como um servidor do DNS responde a consultas DNS. Você pode configurar respostas DNS com base no endereço IP do cliente, na hora do dia e em vários outros parâmetros. As políticas DNS podem habilitar DNS com reconhecimento de localização, gerenciamento de tráfego, balanceamento de carga, DNS de dupla personalidade e outros cenários. Para obter mais informações, confira o Guia de cenários de política DNS.

RRL

Você pode habilitar a RRL (Limitação de Taxa de Resposta) em seus servidores DNS para impedir que sistemas mal-intencionados usem seus servidores DNS para iniciar um ataque de DDoS (negação de serviço distribuído) em um cliente DNS. A RRL impede que o servidor DNS responda a muitas solicitações ao mesmo tempo, o que o protege durante cenários em que uma botnet envia várias solicitações ao mesmo tempo para tentar interromper as operações do servidor.

Suporte do DANE

Você pode usar o suporte à Autenticação Baseada em DNS de Entidades Nomeadas (DANE) (RFC 6394 e RFC 6698) para especificar de qual autoridade de certificação seus clientes DNS devem esperar certificados para nomes de domínio hospedados no servidor DNS. Isso evita uma forma de ataque do tipo man-in-the-middle em que um ator mal-intencionado corrompe um cache DNS e aponta um nome DNS para seu próprio endereço IP.

Suporte a registro desconhecido

Você pode adicionar registros ao quais o servidor DNS não oferece suporte explicitamente usando a funcionalidade de registro desconhecido. Um registro é desconhecido quando o servidor DNS não reconhece seu formato RDATA. O Windows Server 2016 oferece suporte a tipos de registro desconhecidos (RFC 3597), para que você possa adicionar registros desconhecidos às zonas do servidor DNS do Windows no formato binário on-wire. O resolvedor de cache do Windows já pode processar tipos de registro desconhecidos. O servidor DNS do Windows não executa processamento específico de registros para registros desconhecidos, mas pode enviá-los em resposta às consultas recebidas.

Dicas de raiz IPv6

O servidor DNS do Windows agora inclui dicas de raiz IPv6 publicadas pela IANA (Internet Assigned Numbers Authority). O suporte para dicas de raiz IPv6 permite que você faça consultas na Internet que usam os servidores raiz IPv6 para executar resoluções de nomes.

Suporte ao Windows PowerShell

O Windows Server 2016 inclui novos comandos que você pode usar para configurar o DNS no PowerShell. Para obter mais informações, consulte Módulo DnsServer do Windows Server 2016 e Módulo DnsClient do Windows Server 2016.

Cliente DNS

O serviço de cliente DNS agora oferece suporte aprimorado a computadores com mais de um adaptador de rede.

Os computadores com hospedagem múltipla também podem usar a associação de serviço de cliente DNS para melhorar a resolução do servidor:

• Quando você usa um servidor DNS configurado em uma interface específica para resolver uma consulta DNS, o cliente DNS se vincula à interface antes de enviar a consulta. Essa associação permite que o cliente DNS especifique a interface onde a resolução de nomes deve ocorrer, otimizando as comunicações entre aplicativos e o cliente DNS pelo adaptador de rede.

• Se o servidor DNS que você estiver usando foi designado por uma configuração de Diretiva de Grupo da NRPT (Tabela de Políticas de Resolução de Nomes), o serviço de cliente DNS não se vinculará à interface especificada.

Observação

As alterações no serviço do cliente DNS no Windows 10 também estão presentes nos computadores que executam o Windows Server 2016 e posterior.

Serviços de área de trabalho remota

Os Serviços de Área de Trabalho Remota (RDS) fizeram as seguintes alterações para o Windows Server 2016.

Compatibilidade do aplicativo

O RDS e o Windows Server 2016 são compatíveis com muitos aplicativos do Windows 10, criando uma experiência de usuário quase idêntica a uma área de trabalho física.

Banco de Dados SQL do Azure

O Agente de Conexão de Área de Trabalho Remota (RD) agora pode armazenar todas as informações de implantação, como estados de conexão e mapeamentos de host de usuário, em um Banco de Dados SQL (Structured Query Language) compartilhado do Azure. Esse recurso permite que você use um ambiente altamente disponível sem precisar usar um Grupo de Disponibilidade do SQL Server Always On. Para obter mais informações, confira Usar o Banco de Dados SQL do Azure para seu ambiente de alta disponibilidade do Agente de Conexão de Área de Trabalho Remota.

Melhorias gráficas

A Atribuição de Dispositivo Discreto para Hyper-V permite mapear unidades de processamento gráfico (GPUs) em uma máquina host diretamente para uma máquina virtual (VM). Qualquer aplicativo na VM que precise de mais GPU do que a VM pode fornecer pode usar a GPU mapeada. Também melhoramos a vGPU do RemoteFX, incluindo suporte para OpenGL 4.4, OpenCL 1.1, resolução 4K e VMs do Windows Server. Para obter mais informações, consulte Atribuição de Dispositivos Discretos.

Melhorias no Agente de Conexão de Área de Trabalho Remota

Melhoramos a forma como o Agente de Conexão de Área de Trabalho Remota lida com a conexão durante tempestades de logon, que são períodos de solicitações de entrada alta dos usuários. O Agente de Conexão de Área de Trabalho Remota agora pode lidar com mais de 10.000 solicitações de entrada simultâneas! As melhorias de manutenção também facilitam a execução da manutenção na implantação, podendo adicionar rapidamente servidores de volta ao ambiente quando estiverem prontos para voltar a ficar online. Para mais informações, consulte Melhor Desempenho do Agente de Conexão de Área de Trabalho Remota.

Alterações no protocolo RDP 10

O Remote Desktop Protocol (RDP) 10 agora usa o codec H.264/AVC 444, que otimiza vídeo e texto. Esta versão também inclui suporte para comunicação remota por caneta. Esses novos recursos permitem que sua sessão remota pareça mais uma sessão local. Para obter mais informações, consulte Melhorias no RDP 10 AVC/H.264 no Windows 10 e no Windows Server 2016.

Áreas de trabalho de sessão pessoal

As áreas de trabalho de sessão pessoal são um novo recurso que permite hospedar sua própria área de trabalho pessoal na nuvem. Os privilégios administrativos e os hosts da sessão dedicados eliminam a complexidade dos ambientes de hospedagem em que os usuários desejam gerenciar uma área de trabalho remota como uma área de trabalho local. Para obter mais informações, consulte Áreas de trabalho de sessão pessoal.

Autenticação do Kerberos

O Windows Server 2016 inclui as seguintes atualizações para autenticação Kerberos.

Suporte do KDC para a autenticação de cliente baseada em relação de confiança de chave pública

Os Centros de Distribuição de Chaves (KDCs) agora oferecem suporte ao mapeamento de chaves públicas. Se você provisionar uma chave pública para uma conta, o KDC oferecerá suporte à PKInit Kerberos usando explicitamente essa chave. Como não há validação de certificado, o Kerberos oferece suporte a certificados autoassinados, mas não oferece suporte à garantia do mecanismo de autenticação.

As contas que você configurou para usar a Key Trust só usarão a Key Trust, independentemente de como você configurou a configuração UseSubjectAltName.

Suporte ao cliente Kerberos e ao KDC para extensão de atualização do PKInit do RFC 8070

A partir do Windows 10, versão 1607 e Windows Server 2016, os clientes Kerberos podem usar a extensão de atualização PKInit RFC 8070 para logon baseado em chave pública. Os KDCs têm a extensão de atualização PKInit desabilitada por padrão, portanto, para habilitá-la, você deve configurar o suporte do KDC para a política de modelo administrativo do extensão de atualização PKInit KDC em todos os DCs em seu domínio.

A diretiva tem as seguintes configurações disponíveis quando seu domínio está no nível funcional de domínio (DFL) do Windows Server 2016:

• Desabilitado: o KDC nunca oferece a Extensão de Atualização do PKInit e aceita solicitações de autenticação válidas sem verificar se há uma atualização. Os usuários não recebem o novo SID de identidade de chave pública.
• Suportado: Kerberos suporta a extensão de atualização PKInit mediante solicitação. Os clientes Kerberos que se autenticam com sucesso na Extensão de Atualização do PKInit obterão o novo SID de identidade de chave pública.
• Obrigatório: a Extensão de Atualização do PKInit é necessária para a autenticação bem-sucedida. Os clientes Kerberos que não oferecem suporte à extensão de atualização PKInit sempre falharão ao usar credenciais de chave pública.

Suporte ao dispositivo ingressado no domínio para a autenticação usando a chave pública

Se um dispositivo ingressado no domínio puder registrar sua chave pública vinculada com um controlador de domínio (DC) do Windows Server 2016, o dispositivo poderá se autenticar com a chave pública usando a autenticação PKInit Kerberos em um controlador de domínio do Windows Server 2016.

Os dispositivos ingressados no domínio com chaves públicas vinculadas registradas em um controlador de domínio do Windows Server 2016 agora podem se autenticar em um controlador de domínio do Windows Server 2016 usando os protocolos PKInit (Criptografia de Chave Pública para Autenticação Inicial) do Kerberos. Para saber mais, consulte Autenticação de chave pública de dispositivo ingressado no domínio.

Os Centros de Distribuição de Chaves (KDCs) agora oferecem suporte à autenticação usando a confiança de chave Kerberos.

Para obter mais informações, consulte Suporte do KDC para mapeamento de conta Key Trust.

Os clientes Kerberos permitem nomes de host de endereços IPv4 e IPv6 em SPNs (Nomes da Entidade de Serviço)

A partir do Windows 10 versão 1507 e do Windows Server 2016, você pode configurar clientes Kerberos para oferecer suporte a nomes de host IPv4 e IPv6 em SPNs. Para obter mais informações, consulte Configurando Kerberos para endereços IP.

Para configurar o suporte para nomes de host de endereço IP em SPNs, crie uma entrada TryIPSPN. Essa entrada não existe no registro por padrão. Você deve colocar essa entrada no seguinte caminho:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Depois de criar a entrada, altere seu valor DWORD para 1. Se esse valor não estiver configurado, o Kerberos não tentará nomes de host de endereço IP.

A autenticação Kerberos só será bem-sucedida se o SPN estiver registrado no Active Directory.

Suporte do KDC para mapeamento de conta da Relação de Confiança de Chave

Os controladores de domínio agora oferecem suporte ao mapeamento de conta Key Trust e ao fallback para AltSecID e UPN (Nome Principal do Usuário) existentes no comportamento da SAN. Você pode configurar a variável UseSubjectAltName para as seguintes configurações:

• Definir a variável como 0 torna necessário o mapeamento explícito. Os usuários devem usar uma Key Trust ou definir uma variável ExplicitAltSecID.

• Definir a variável como 1, que é o valor padrão, permite o mapeamento implícito.

  • Se você configurar uma Key Trust para uma conta no Windows Server 2016 ou posterior, o KDC usará a Key Trust para mapeamento.

  • Se não houver UPN na SAN, o KDC tentará usar o AltSecID para mapeamento.

  • Se houver um UPN na SAN, o KDC tentará usar o UPN para mapeamento.

Serviços de Federação do Active Directory (AD FS)

O AD FS para Windows Server 2016 contém as seguintes atualizações.

Entrar com a autenticação multifator do Microsoft Entra

O AD FS 2016 baseia-se nos recursos de autenticação multifator (MFA) do AD FS no Windows Server 2012 R2. Agora você pode permitir logon que requer apenas um código de autenticação multifator do Microsoft Entra em vez de um nome de usuário ou senha.

• Quando você configura a autenticação multifator do Microsoft Entra como o método de autenticação principal, o AD FS solicita ao usuário seu nome de usuário e o código de senha única (OTP) do aplicativo Azure Authenticator.

• Quando você configura a autenticação multifator do Microsoft Entra como o método de autenticação secundário ou extra, o usuário fornece credenciais de autenticação primária. Os usuários podem entrar usando a Autenticação Integrada do Windows, que pode solicitar seu nome de usuário e senha, cartão inteligente ou um certificado de usuário ou dispositivo. Em seguida, o usuário verá um prompt para suas credenciais secundárias, como texto, voz ou entrada de autenticação multifator do Microsoft Entra baseada em OTP.

• O novo adaptador de autenticação multifator Microsoft Entra integrado oferece instalação e configuração mais simples para a autenticação multifator do Microsoft Entra com AD FS.

• As organizações podem usar a autenticação multifator do Microsoft Entra sem precisar de um servidor de autenticação multifator do Microsoft Entra local.

• Você pode configurar a autenticação multifator do Microsoft Entra para intranet, extranet ou como parte de qualquer política de controle de acesso.

Para obter mais informações sobre a autenticação multifator do Microsoft Entra com o AD FS, consulte Configurar o AD FS 2016 e a autenticação multifator do Microsoft Entra.

Acesso sem senha a partir de dispositivos compatíveis

O AD FS 2016 baseia-se em recursos de registro de dispositivo anteriores para habilitar o logon e o controle de acesso em dispositivos com base em seu status de conformidade. Os usuários podem fazer logon usando a credencial do dispositivo, e o AD FS reavalia a conformidade sempre que os atributos do dispositivo são alterados para garantir que as políticas estejam sendo aplicadas. Esse recurso habilita as seguintes políticas:

• Habilitar o acesso somente por meio de dispositivos gerenciados e/ou compatíveis.

• Habilitar o acesso à Extranet somente por meio de dispositivos gerenciados e/ou compatíveis.

• Exigir autenticação multifator para computadores que não são gerenciados ou compatíveis.

O AD FS fornece o componente local de diretivas de acesso condicional em um cenário híbrido. Ao registrar dispositivos no Azure AD para acesso condicional a recursos de nuvem, você também pode usar a identidade do dispositivo para políticas do AD FS.

Para obter mais informações sobre como usar o acesso condicional baseado em dispositivo na nuvem, confira Acesso Condicional no Azure Active Directory.

Para obter mais informações sobre como usar o acesso condicional baseado em dispositivo com o AD FS, consulte Planejando o acesso condicional baseado em dispositivo com o AD FS e Políticas de Controle de Acesso no AD FS.

Entrada com o Windows Hello para Empresas

Os dispositivos Windows 10 introduzem o Windows Hello e o Windows Hello for Business, substituindo senhas de usuário por credenciais de usuário fortes vinculadas ao dispositivo protegidas por um gesto do usuário, como inserir um PIN, um gesto biométrico como uma impressão digital ou reconhecimento facial. Com o Windows Hello, os usuários podem entrar em aplicativos do AD FS de uma intranet ou extranet sem precisar de uma senha.

Para obter mais informações sobre como usar o Windows Hello para Empresas na sua organização, confira Habilitar o Windows Hello para Empresas na sua organização.

Autenticação moderna

O AD FS 2016 dá suporte aos mais recentes protocolos modernos que fornecem uma experiência aprimorada de usuário para o Windows 10 e para os dispositivos e aplicativos iOS e Android mais recentes.

Para obter mais informações, confira Cenários do AD FS para desenvolvedores.

Configurar políticas de controle de acesso sem a necessidade de conhecer a linguagem das regras de declaração

Anteriormente, os administradores do AD FS tinham que configurar políticas usando a linguagem de regra de declaração do AD FS, dificultando a configuração e a manutenção de políticas. Com as políticas de controle de acesso, os administradores podem usar modelos internos para aplicar políticas comuns. Por exemplo, você pode usar modelos para aplicar as seguintes políticas:

• Permitir acesso somente à intranet.

• Permitir que todos e exigir MFA da extranet.

• Permitir acesso a todos e exigir MFA de um grupo específico.

Os modelos são fáceis de personalizar. Você pode aplicar exceções ou regras de política extras e pode aplicar essas alterações a um ou mais aplicativos para uma imposição de política consistente.

Para obter mais informações, confira Políticas de controle de acesso no AD FS.

Habilitar logon com diretórios LDAP não AD

Muitas organizações combinam o Active Directory com diretórios de terceiros. O suporte do AD FS para autenticar usuários armazenados em diretórios compatíveis com LDAP v3 significa que agora você pode usar o AD FS nos seguintes cenários:

• Usuários em diretórios de terceiros, compatíveis com LDAP v3.

• Usuários em florestas do Active Directory que não têm uma relação de confiança bidirecional do Active Directory configurada.

• Usuários do AD LDS (Active Directory Lightweight Directory Services).

Para obter mais informações, consulte Configure AD FS to authenticate users stored in LDAP directories.

Personalizar a experiência de entrada para aplicativos AD FS

Anteriormente, os AD FS no Windows Server 2012 R2 forneciam uma experiência comum de logon para todos os aplicativos de terceira parte confiável, com a capacidade de personalizar um subconjunto de conteúdo baseado em texto por aplicativo. Com o Windows Server 2016, você pode personalizar não apenas as mensagens, mas as imagens, o logotipo e o tema da Web por aplicativo. Além disso, você pode criar temas da Web personalizados e aplicá-los de acordo com a terceira parte confiável.

Para obter mais informações, confira Personalização de entrada do usuário do AD FS.

Auditoria simplificada para facilitar o gerenciamento administrativo

Em versões anteriores do AD FS, uma única solicitação poderia gerar muitos eventos de auditoria. Informações relevantes sobre atividades de entrada ou emissão de token geralmente estavam ausentes ou espalhadas por vários eventos de auditoria, tornando os problemas mais difíceis de diagnosticar. Como resultado, os eventos de auditoria foram desativados por padrão. No entanto, no AD FS 2016, o processo de auditoria é mais simplificado e as informações relevantes mais fáceis de encontrar. Para mais informações, confira Como auditar aprimoramentos ao AD FS no Windows Server 2016.

Interoperabilidade aprimorada com SAML 2.0 para participação em confederações

O AD FS 2016 contém suporte adicional ao protocolo SAML, incluindo suporte para importar relações de confiança com base em metadados que contêm várias entidades. Essa alteração permite que você configure o AD FS para participar de confederações, como a Federação InCommon, bem como de outras implementações em conformidade com o padrão eGov 2.0.

Para obter mais informações, confira Interoperabilidade aprimorada com o SAML 2.0.

Gerenciamento simplificado de senhas para usuários federados do Microsoft 365

Você pode configurar o AD FS para enviar declarações de expiração de senha para quaisquer confiáveis de terceira parte confiável ou aplicativos que ele proteja. A forma como essas declarações aparecem varia entre os aplicativos. Por exemplo, com o Office 365 como sua terceira parte confiável, as atualizações foram implementadas no Exchange e no Outlook para notificar os usuários federados sobre suas senhas que expirarão em breve.

Para mais informações, confira Configurar o AD FS para enviar declarações de expiração de senha.

É mais fácil mover do AD FS no Windows Server 2012 R2 para o AD FS no Windows Server 2016

Anteriormente, a migração para uma nova versão do AD FS exigia a exportação das definições de configuração do farm do Windows Server para um novo farm de servidores paralelo. O AD FS no Windows Server 2016 facilita o processo removendo o requisito de ter um farm de servidores paralelo. Quando você adiciona um servidor Windows Server 2016 a um farm de servidores Windows Server 2012 R2, o novo servidor se comporta como um servidor Windows Server 2012 R2. Quando estiver pronto para atualizar e tiver removido os servidores mais antigos, você poderá alterar o nível operacional para o Windows Server 2016. Para obter mais informações, confira Como atualizar para o AD FS no Windows Server 2016.