Configurar Serviços de Federação do Active Directory (AD FS) em um modelo de confiança de certificado híbrido
Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:
- Tipo de implantação:
- Tipo de
- Tipo de junção: Microsoft Entra ingressar, Microsoft Entra junção híbrida
As implantações baseadas em certificado Windows Hello para Empresas usam o AD FS como a autoridade de registro de certificado (CRA).
O CRA é responsável pela emissão e revogação de certificados aos usuários. Depois que a autoridade de registro verifica a solicitação de certificado, ele assina a solicitação de certificado usando o certificado de agente de registro e o envia para a autoridade de certificação.
O CRA registra um certificado de agente de registro e o modelo de certificado de autenticação Windows Hello para Empresas é configurado para emitir apenas certificados para solicitações assinadas com um certificado de agente de registro.
Observação
Para que o AD FS verifique as solicitações de certificado do usuário para Windows Hello para Empresas, ele precisa ser capaz de acessar o https://enterpriseregistration.windows.net
ponto de extremidade.
Configurar a autoridade de registro de certificado
Entre no servidor do AD FS com credenciais equivalentes do administrador de domínio .
Abra um prompt Windows PowerShell e digite o seguinte comando:
Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true
Observação
Se você deu ao agente de registro Windows Hello para Empresas e Windows Hello para Empresas modelos de certificado de autenticação nomes diferentes, substitua WHFBEnrollmentAgent e WHFBAuthentication no comando acima pelo nome dos modelos de certificado. É importante que você use o nome do modelo em vez do nome de exibição do modelo. Você pode exibir o nome do modelo na guia Geral do modelo de certificado usando o modelo de certificado console de gerenciamento (certtmpl.msc). Ou você pode exibir o nome do modelo usando o cmdlet do Get-CATemplate
PowerShell em uma AC.
Registro de certificado do agente de registro
O AD FS executa seu próprio gerenciamento do ciclo de vida do certificado. Depois que a autoridade de registro é configurada com o modelo de certificado adequado, o servidor do AD FS tenta registrar o certificado na primeira solicitação de certificado ou quando o serviço é iniciado pela primeira vez.
Aproximadamente 60 dias antes da expiração do certificado do agente de registro, o serviço do AD FS tenta renovar o certificado até que ele seja bem-sucedido. Se o certificado não for renovado e o certificado expirar, o servidor do AD FS solicitará um novo certificado de agente de registro. É possível exibir os logs de eventos do AD FS para determinar o status do certificado do agente de registro.
Associações de grupo para a conta de serviço do AD FS
A conta de serviço do AD FS deve ser membro do grupo de segurança direcionado pelo registro automático do modelo de certificado de autenticação (por exemplo, Windows Hello for Business Users). O grupo de segurança fornece ao serviço do AD FS as permissões necessárias para registrar um certificado de autenticação Windows Hello para Empresas em nome do usuário provisionador.
Dica
A conta adfssvc é a conta de serviço do AD FS.
Entre em um controlador de domínio ou em uma estação de trabalho de gerenciamento com credenciais equivalentes da de Administrador de domínio.
- Abra Usuários e Computadores do Active Directory.
- Pesquise o grupo de segurança direcionado pelo registro automático do modelo de certificado de autenticação (por exemplo, Windows Hello for Business Users)
- Selecione a guia Membros e selecione Adicionar
- Na caixa Inserir os nomes de objeto para selecionar texto, digiteadfssvc ou substitua o nome da conta de serviço do AD FS na implantação > do AD FS OK
- Selecione OK para retornar ao Usuários e Computadores do Active Directory
- Reiniciar o servidor AD FS
Observação
Para o AD FS 2019 em um modelo de confiança de certificado híbrido, existe um problema de PRT. Você pode encontrar esse erro nos logs de eventos do AD FS Administração: Solicitação Oauth inválida recebida. O cliente 'NAME' é proibido de acessar o recurso com o escopo 'ugs'. Para corrigir este erro:
- Iniciar console de gerenciamento do AD FS e navegar até Descrições do Escopo de Serviços >
- Clique com o botão direito do mouse em Descrições de Escopo e selecione Adicionar Descrição do Escopo
- Em tipo de nome
ugs
e selecione Aplicar > OK - Iniciar o PowerShell como administrador
- Obtenha o ObjectIdentifier da permissão do aplicativo com o
ClientRoleIdentifier
parâmetro igual a38aa3b87-a06d-4817-b275-7a316988d93b
:
(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
- Execute o comando
Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'
. - Reiniciar o serviço do AD FS
- No cliente: reinicie o cliente. O usuário deve ser solicitado a provisionar Windows Hello para Empresas
Revisão de seção e próximas etapas
Antes de passar para a próxima seção, verifique se as seguintes etapas estão concluídas:
- Configurar a autoridade de registro de certificado
- Atualizar as associações de grupo para a conta de serviço do AD FS
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de