Entrada da Área de Trabalho Remota com Windows Hello para Empresas

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Você pode usar Windows Hello para Empresas para entrar em uma sessão de área de trabalho remota, usando os recursos de cartão inteligentes redirecionados do RDP (Protocolo de Área de Trabalho Remota). Isso é possível implantando um certificado no dispositivo do usuário, que é usado como credencial fornecida ao estabelecer a conexão RDP com outro dispositivo Windows.

Este artigo descreve duas abordagens de implantação de certificado, em que certificados de autenticação são implantados no contêiner Windows Hello para Empresas:

• Usando Microsoft Intune com conectores SCEP ou PKCS
• Usando uma política de registro do AD CS (Active Directory Certificate Services)

Dica

Considere usar o Remote Credential Guard em vez de Windows Hello para Empresas para entrada RDP. O Remote Credential Guard fornece SSO (logon único) para sessões RDP usando a autenticação Kerberos e não requer a implantação de certificados. Para obter mais informações, consulte Remote Credential Guard.

Como funciona

O Windows gera e armazena chaves criptográficas usando um componente de software chamado KSP ( provedor de armazenamento de chaves ):

• Chaves baseadas em software são criadas e armazenadas usando o Provedor de Armazenamento de Chaves de Software da Microsoft
• Chaves de cartão inteligentes são criadas e armazenadas usando o Provedor de Armazenamento de Chaves de Cartão Inteligente da Microsoft
• Chaves criadas e protegidas por Windows Hello para Empresas são criadas e armazenadas usando o Provedor de Armazenamento de Chaves do Microsoft Passport

Um certificado em um cartão inteligente começa com a criação de um par de chaves assimétricas usando o KSP do Microsoft Smart Card. O Windows solicita um certificado com base no par de chaves de suas empresas que emitem a autoridade de certificado, que retorna um certificado armazenado no repositório de certificados pessoal do usuário. A chave privada permanece no cartão inteligente e a chave pública é armazenada com o certificado. Os metadados no certificado (e na chave) armazenam o provedor de armazenamento de chaves usado para criar a chave (lembre-se que o certificado contém a chave pública).

O mesmo conceito se aplica a Windows Hello para Empresas, exceto que as chaves são criadas usando o KSP do Microsoft Passport. A chave privada do usuário permanece protegida pelo TPM (módulo de segurança) do dispositivo e pelo gesto do usuário (PIN/biometria). As APIs de certificado ocultam a complexidade. Quando um aplicativo usa um certificado, as APIs de certificado localizam as chaves usando o provedor de armazenamento de chaves salvas. Os principais provedores de armazenamento direcionam as APIs de certificado em qual provedor eles usam para encontrar a chave privada associada ao certificado. É assim que o Windows sabe que você tem um certificado de cartão inteligente sem o cartão inteligente inserido e solicita que você insira a cartão inteligente.

Windows Hello para Empresas emula um cartão inteligente para compatibilidade com o aplicativo e o KSP do Microsoft Passport solicita ao usuário seu gesto biométrico ou PIN.

Observação

A Área de Trabalho Remota com biometria não funciona com o Registro Duplo ou cenários em que o usuário fornece credenciais alternativas.

Requisitos

Aqui está uma lista de requisitos para habilitar a entrada RDP com Windows Hello para Empresas:

• Uma infraestrutura PKI baseada em CS do AD ou terceiros
• Windows Hello para Empresas implantado para os clientes
• Se você planeja dar suporte a Microsoft Entra dispositivos ingressados, os controladores de domínio devem ter um certificado, que serve como uma raiz de confiança para os clientes. O certificado garante que os clientes não se comuniquem com controladores de domínio desonestos

Se você planeja implantar certificados usando Microsoft Intune, aqui estão mais requisitos:

• Verifique se você tem a infraestrutura para dar suporte à implantação do SCEP ou do PKCS
• Implantar o certificado raiz da AC e quaisquer outros certificados de autoridade de certificado intermediários para Microsoft Entra dispositivos ingressados usando uma política de certificado raiz confiável

Criar um modelo de certificado

O processo de criação de um modelo de certificado é aplicável a cenários em que você usa uma infraestrutura do AD CS (Serviços de Certificado) Active Directory local.
Primeiro, você deve criar um modelo de certificado e, em seguida, implantar certificados com base nesse modelo no contêiner Windows Hello para Empresas.

A configuração do modelo de certificado é diferente dependendo se você implantar certificados usando Microsoft Intune ou uma política de registro do Active Directory. Selecione a opção que melhor atende às suas necessidades.

Microsoft Intune

1. Entre na AC (autoridade de certificado de emissão) e abra Gerenciador do Servidor

2. Selecione Autoridade de Certificação de Ferramentas>. O Console de Gerenciamento da Microsoft (Autoridade de Certificação) é aberto

3. No MMC, expanda o nome da AC e clique com o botão direito do mouse em Gerenciar Modelos > de Certificado

4. O console modelos de certificado é aberto. Todos os modelos de certificado são exibidos no painel de detalhes

5. Clique com o botão direito do mouse no modelo do Logon do Smartcard e selecione Modelo duplicado

6. Use a tabela a seguir para configurar o modelo:

   Nome da guia	Configurações
   Compatibilidade	Limpar a caixa Mostrar alterações resultantes marcar Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista autoridade de certificação Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista destinatário de certificação
   Geral	Especifique um nome de exibição de modelo, por exemplo, Autenticação de Certificado WHfB Defina o período de validade como o valor desejado Anote o nome do modelo para posterior, que deve ser o mesmo que o nome de exibição de modelo menos espaços (WHfBCertificateAuthentication neste exemplo)
   Extensões	Verifique se a extensão Políticas de Aplicativo inclui Logon de Cartão Inteligente.
   Nome do assunto	Selecione Fornecer na solicitação.
   Tratamento de Solicitações	Defina o logon Propósito como Assinatura e smartcard e selecione Sim quando solicitado a alterar a finalidade do certificado Selecione a caixa Renovar com a mesma chave marcar Selecione Solicitar o usuário durante o registro Nota: Se você implantar certificados com um perfil PKCS, selecione a opção Permitir que a chave privada seja exportada
   Criptografia	Definir a categoria de provedor como provedor de armazenamento de chaves Definir o nome do algoritmo como RSA Defina o tamanho mínimo da chave como 2048 Selecionar Solicitações deve usar um dos provedores a seguir Selecione Provedor de Armazenamento de Chaves de Software da Microsoft Definir o hash de solicitação como SHA256
   Segurança	Adicionar a entidade de segurança usada para o acesso de registro SCEP ou PKCS

7. Selecione OK para finalizar suas alterações e criar o novo modelo. Seu novo modelo agora deve aparecer na lista de Modelos de Certificado

8. Fechar o console modelos de certificado

Política do AD CS

1. Entre na AC (autoridade de certificado de emissão) e abra Gerenciador do Servidor

2. Selecione Autoridade de Certificação de Ferramentas>. O Console de Gerenciamento da Microsoft (Autoridade de Certificação) é aberto

3. No MMC, expanda o nome da AC e clique com o botão direito do mouse em Gerenciar Modelos > de Certificado

4. O console modelos de certificado é aberto. Todos os modelos de certificado são exibidos no painel de detalhes

5. Clique com o botão direito do mouse no modelo do Logon do Smartcard e selecione Modelo duplicado

6. Use a tabela a seguir para configurar o modelo:

   Nome da guia	Configurações
   Compatibilidade	Limpar a caixa Mostrar alterações resultantes marcar Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista autoridade de certificação Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista destinatário de certificação
   Geral	Especifique um nome de exibição de modelo, por exemplo, Autenticação de Certificado WHfB Defina o período de validade como o valor desejado Anote o nome do modelo para posterior, que deve ser o mesmo que o nome de exibição de modelo menos espaços (WHfBCertificateAuthentication neste exemplo)
   Extensões	Verificar se a extensão Políticas de Aplicativo inclui Logon de Cartão Inteligente
   Nome do assunto	Selecione o botão Compilar neste botão informações do Active Directory se ele ainda não estiver selecionado Selecione Nome totalmente diferenciado na lista Formato de nome do assunto se o nome totalmente diferenciado ainda não estiver selecionado Selecione a caixa de marcar UPN (Nome da Entidade de Usuário)em Incluir essas informações no nome do assunto alternativo
   Tratamento de Solicitações	Defina o logon Propósito como Assinatura e smartcard e selecione Sim quando solicitado a alterar a finalidade do certificado Selecione a caixa Renovar com a mesma chave marcar Selecione Solicitar o usuário durante o registro
   Criptografia	Definir a categoria de provedor como provedor de armazenamento de chaves Definir o nome do algoritmo como RSA Defina o tamanho mínimo da chave como 2048 Selecionar Solicitações deve usar um dos provedores a seguir Selecione Provedor de Armazenamento de Chaves de Software da Microsoft Definir o hash de solicitação como SHA256
   Segurança	Adicione o grupo de segurança ao qual você deseja dar acesso ao Registro . Por exemplo, se você quiser dar acesso a todos os usuários, selecione o grupo usuários autenticados e selecione Registrar permissões para eles.

7. Selecione OK para finalizar suas alterações e criar o novo modelo. Seu novo modelo agora deve aparecer na lista de Modelos de Certificado

8. Fechar o console modelos de certificado

Adicionar o Provedor de Armazenamento de Chaves do Microsoft Passport ao modelo de certificado

1. Abra um Prompt de Comando elevado e altere para um diretório de trabalho temporário

2. Execute o comando a seguir, substituindo <TemplateName> pelo nome de exibição modelo anotado na tabela

   certutil.exe -dstemplate <TemplateName> > <TemplateName.txt>
   

3. Abra o arquivo de texto criado pelo comando acima.

   • Excluir a última linha da saída do arquivo que lê
     CertUtil: -dsTemplate command completed successfully.
   • Modificar a linha que lê
     pKIDefaultCSPs = "1,Microsoft Software Key Storage Provider" Para
     pKIDefaultCSPs = "1,Microsoft Passport Key Storage Provider"

4. Salvar o arquivo de texto

5. Atualize o modelo de certificado executando o seguinte comando:

   certutil.exe -dsaddtemplate <TemplateName.txt>
   

Observação

Você pode verificar se o modelo é atualizado verificando suas propriedades.

Emitir o modelo de certificado

1. No console da Autoridade de Certificado, clique com o botão direito do mouse em Modelos de Certificado, selecione Novo > Modelo de Certificado para Emitir
2. Na lista de modelos, selecione o modelo que você criou anteriormente (Autenticação de Certificado WHFB) e selecione OK. Pode levar algum tempo para que o modelo seja replicado para todos os servidores e fique disponível nesta lista
3. Depois que o modelo for replicado, no MMC, clique com o botão direito do mouse na lista Autoridade de Certificação, selecione Todas as Tarefas > Parar Serviço. Clique com o botão direito do mouse no nome da AC novamente, selecione Todas as Tarefas > Iniciar Serviço

Implantar certificados

O processo de implantação de certificados é diferente dependendo se você usa Microsoft Intune ou uma política de registro do Active Directory. Selecione a opção que melhor atende às suas necessidades.

Microsoft Intune

Esta seção descreve como configurar uma política SCEP no Intune. Etapas semelhantes podem ser seguidas para configurar uma política PKCS.

1. Vá para o centro de administração do Microsoft Intune

2. Selecionar perfis de configuração de dispositivos >> Criar perfil

3. Selecione Certificado SCEP de modelos > de tipo de plataforma Windows 10 e posterior e de tipo > de perfil>

4. Selecione Criar

5. No painel Noções básicas, forneça um Nome e, opcionalmente, um Próximo de Descrição >

6. No painel Configuração de configurações , use a seguinte tabela para configurar a política:

   Configuração	Configurações
   Tipo de certificado	Usuário
   Formato nome da entidade	CN={{UserPrincipalName}} Observação: se houver uma incompatibilidade entre o sufixo UPN do usuário e o FQDN de domínio do Active Directory, use CN={{OnPrem_Distinguished_Name}} em vez disso.
   Nome alternativo do assunto	Na lista suspensa, selecione Nome da entidade de usuário (UPN) com um valor de {{UserPrincipalName}}
   Período de validade do certificado	Configurar um valor de sua escolha
   KSP (provedor de armazenamento de chaves)	Registrar-se no Windows Hello para Empresas, caso contrário, falhar
   Uso de chave	Assinatura Digital
   Tamanho da chave (bits)	2048
   Para algoritmo hash	SHA-2
   Certificado Raiz	Selecione +Certificado Raiz e selecione o perfil de certificado confiável criado anteriormente para o Certificado de AC Raiz
   Uso de chave estendida	Nome:Logon de Cartão Inteligente Identificador de objeto:1.3.6.1.4.1.311.20.2.2 Valores predefinidos:não configurados Nome:Autenticação do cliente Identificador de objeto:1.3.6.1.5.5.7.3.2 Valores predefinidos:Autenticação do cliente
   Limite de renovação (%)	Configurar um valor de sua escolha
   URLs do servidor SCEP	Forneça os pontos de extremidade públicos que você configurou durante a implantação de sua infraestrutura SCEP

7. Selecionar Avançar

8. No painel Atribuições , atribua a política a um grupo de segurança que contém como membros os dispositivos ou usuários que você deseja configurar e selecionar Avançar

9. No painel Regras de Aplicabilidade , configure restrições de emissão, se necessário, e selecione Avançar

10. No painel Revisar + criar , examine a configuração da política e selecione Criar

Para obter mais informações sobre como configurar políticas de SCEP, consulte Configurar perfis de certificado SCEP em Intune. Para configurar políticas PKCS, consulte Configurar e usar o certificado PKCS com Intune.

Cuidado

Se você implantar certificados por meio de Intune e configurar Windows Hello para Empresas por meio da política de grupo, os dispositivos não obterão um certificado, registrando o código 0x82ab0011 de erro no DeviceManagement-Enterprise-Diagnostic-Provider log.
Para evitar o erro, configure Windows Hello para Empresas por meio de Intune em vez de política de grupo.

Política do AD CS

Estas são as etapas para solicitar manualmente um certificado usando uma política de registro do Active Directory Certificate Services:

1. Entre em um cliente que está Microsoft Entra híbrido ingressado, garantindo que o cliente tenha linha de visão para um controlador de domínio e a AC emissora
2. Abra os Certificados – MMC (Console de Gerenciamento do Usuário Atual). Para fazer isso, você pode executar o comando certmgr.msc
3. No painel esquerdo do MMC, clique com o botão direito do mouse em Todas as Tarefas > Pessoais > Solicitar Novo Certificado...
4. Na tela Registro de Certificado, selecione Avançar
5. Em Selecionar Política de Registro de Certificado, selecionePolítica > de Registro do Active Directory Avançar
6. Em Certificados de Solicitação, selecione a caixa marcar para o modelo de certificado que você criou na seção anterior (Autenticação de Certificado WHfB) e selecione Registrar
7. Após uma solicitação de certificado bem-sucedida, selecione Concluir na tela Resultados da Instalação do Certificado

Usar autoridades de certificação que não são da Microsoft

Se você estiver usando um PKI não Microsoft, os modelos de certificado publicados no Active Directory local podem não estar disponíveis. Para obter diretrizes com a integração do Intune/SCEP com implantações não Microsoft PKI, consulte Usar autoridades de certificação não Microsoft (AC) com SCEP em Microsoft Intune.

Como alternativa ao uso do SCEP ou se nenhuma das soluções abordadas anteriormente funcionar em seu ambiente, você poderá gerar manualmente solicitações de assinatura de certificado (CSR) para envio ao seu PKI. Para ajudar nessa abordagem, você pode usar o comando Generate-CertificateRequest PowerShell.

O Generate-CertificateRequest comando gera um .inf arquivo para uma chave de Windows Hello para Empresas pré-existente. O .inf pode ser usado para gerar uma solicitação de certificado manualmente usando certreq.exe. O comando também gera um .req arquivo, que pode ser enviado ao seu PKI para um certificado.

Verifique se o certificado está implantado

Para verificar se o certificado está implantado corretamente no contêiner Windows Hello para Empresas, use o seguinte comando:

certutil -store -user my

A saída lista chaves e certificados armazenados no repositório de usuários. Se um certificado emitido de sua AC for implantado no contêiner Windows Hello para Empresas, a saída exibirá o certificado com um Provider valor de Microsoft Passport Key Storage Provider.

Por exemplo:

C:\Users\amanda.brady>certutil -store -user my
my "Personal"
================ Certificate 0 ================
Serial Number: 110000001f4c4eccc46fc8f93a00000000001f
Issuer: CN=Contoso - Issuing CA, DC=CONTOSO, DC=COM
 NotBefore: 12/8/2023 6:16 AM
 NotAfter: 12/7/2024 6:16 AM
Subject: CN=amanda.brady@contoso.com
Non-root Certificate
Template: 1.3.6.1.4.1.311.21.8.2835349.12167323.7094945.1118853.678601.83.11484210.8005739
Cert Hash(sha1): 63c6ce5fc512933179d3c0a5e94ecba98092f93d
Key Container = S-1-12-1-../../login.windows.net/../amanda.brady@contoso.com
Provider = Microsoft Passport Key Storage Provider
Private key is NOT exportable
Encryption test passed

Experiência do usuário

Depois que os usuários obtêm seu certificado, eles podem RDP para qualquer dispositivo Windows na mesma floresta do Active Directory que a conta do Active Directory dos usuários abrindo a Conexão de Área de Trabalho Remota (mstsc.exe). Ao se conectar ao host remoto, eles são solicitados a usar Windows Hello para Empresas para desbloquear a chave privada do certificado.

Microsoft Entra dispositivo ingressado

O usuário pode autenticar usando qualquer gesto de desbloqueio Windows Hello disponível, incluindo biometria.

Microsoft Entra dispositivo híbrido ingressado

O prompt de credencial identifica o provedor de credencial Windows Hello como credencial de dispositivo de segurança. O usuário deve usar o provedor de credencial PIN para desbloquear.

Aqui está um breve vídeo mostrando a experiência do usuário de um Microsoft Entra dispositivo ingressado usando a impressão digital como fator de desbloqueio:

Observação

O usuário deve ser autorizado a se conectar ao servidor remoto usando o protocolo Da Área de Trabalho Remota, por exemplo, sendo um membro do grupo local Usuários da Área de Trabalho Remota no host remoto.

Compatibilidade

Embora os usuários apreciem a conveniência da biometria e os administradores valorizem a segurança, você pode ter problemas de compatibilidade com aplicativos e certificados de Windows Hello para Empresas. Nesses cenários, você pode implantar uma configuração de política para reverter ao comportamento anterior para os usuários que precisam dela.

Para obter mais informações, consulte Usar certificados Windows Hello para Empresas como certificado de cartão inteligente