Share via

Configurar Serviços de Federação do Active Directory (AD FS) em um modelo de confiança de certificado híbrido

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

As implantações baseadas em certificado Windows Hello para Empresas usam o AD FS como a autoridade de registro de certificado (CRA). O CRA é responsável pela emissão e revogação de certificados aos usuários. Depois que a autoridade de registro verifica a solicitação de certificado, ele assina a solicitação de certificado usando o certificado de agente de registro e o envia para a autoridade de certificação.
O CRA registra um certificado de agente de registro e o modelo de certificado de autenticação Windows Hello para Empresas é configurado para emitir apenas certificados para solicitações assinadas com um certificado de agente de registro.

Observação

Para que o AD FS verifique as solicitações de certificado do usuário para Windows Hello para Empresas, ele precisa ser capaz de acessar o https://enterpriseregistration.windows.net ponto de extremidade.

Configurar a autoridade de registro de certificado

Entre no servidor do AD FS com credenciais equivalentes do administrador de domínio .

Abra um prompt Windows PowerShell e digite o seguinte comando:

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

Observação

Se você deu ao agente de registro Windows Hello para Empresas e Windows Hello para Empresas modelos de certificado de autenticação nomes diferentes, substitua WHFBEnrollmentAgent e WHFBAuthentication no comando acima pelo nome dos modelos de certificado. É importante que você use o nome do modelo em vez do nome de exibição do modelo. Você pode exibir o nome do modelo na guia Geral do modelo de certificado usando o modelo de certificado console de gerenciamento (certtmpl.msc). Ou você pode exibir o nome do modelo usando o cmdlet do Get-CATemplate PowerShell em uma AC.

Registro de certificado do agente de registro

O AD FS executa seu próprio gerenciamento do ciclo de vida do certificado. Depois que a autoridade de registro é configurada com o modelo de certificado adequado, o servidor do AD FS tenta registrar o certificado na primeira solicitação de certificado ou quando o serviço é iniciado pela primeira vez.

Aproximadamente 60 dias antes da expiração do certificado do agente de registro, o serviço do AD FS tenta renovar o certificado até que ele seja bem-sucedido. Se o certificado não for renovado e o certificado expirar, o servidor do AD FS solicitará um novo certificado de agente de registro. É possível exibir os logs de eventos do AD FS para determinar o status do certificado do agente de registro.

Associações de grupo para a conta de serviço do AD FS

A conta de serviço do AD FS deve ser membro do grupo de segurança direcionado pelo registro automático do modelo de certificado de autenticação (por exemplo, Windows Hello for Business Users). O grupo de segurança fornece ao serviço do AD FS as permissões necessárias para registrar um certificado de autenticação Windows Hello para Empresas em nome do usuário provisionador.

Dica

A conta adfssvc é a conta de serviço do AD FS.

Entre em um controlador de domínio ou em uma estação de trabalho de gerenciamento com credenciais equivalentes da de Administrador de domínio.

  1. Abra Usuários e Computadores do Active Directory.
  2. Pesquise o grupo de segurança direcionado pelo registro automático do modelo de certificado de autenticação (por exemplo, Windows Hello for Business Users)
  3. Selecione a guia Membros e selecione Adicionar
  4. Na caixa Inserir os nomes de objeto para selecionar texto, digiteadfssvc ou substitua o nome da conta de serviço do AD FS na implantação > do AD FS OK
  5. Selecione OK para retornar ao Usuários e Computadores do Active Directory
  6. Reiniciar o servidor AD FS

Observação

Para o AD FS 2019 em um modelo de confiança de certificado híbrido, existe um problema de PRT. Você pode encontrar esse erro nos logs de eventos do AD FS Administração: Solicitação Oauth inválida recebida. O cliente 'NAME' é proibido de acessar o recurso com o escopo 'ugs'. Para corrigir este erro:

  1. Iniciar console de gerenciamento do AD FS e navegar até Descrições do Escopo de Serviços >
  2. Clique com o botão direito do mouse em Descrições de Escopo e selecione Adicionar Descrição do Escopo
  3. Em tipo de nome ugs e selecione Aplicar > OK
  4. Iniciar o PowerShell como administrador
  5. Obtenha o ObjectIdentifier da permissão do aplicativo com o ClientRoleIdentifier parâmetro igual a 38aa3b87-a06d-4817-b275-7a316988d93b:
(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
  1. Execute o comando Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'.
  2. Reiniciar o serviço do AD FS
  3. No cliente: reinicie o cliente. O usuário deve ser solicitado a provisionar Windows Hello para Empresas

Revisão de seção e próximas etapas

Antes de passar para a próxima seção, verifique se as seguintes etapas estão concluídas:

  • Configurar a autoridade de registro de certificado
  • Atualizar as associações de grupo para a conta de serviço do AD FS

Próximo: configurar configurações de política >