Entrada da Área de Trabalho Remota com Windows Hello para Empresas
Você pode usar Windows Hello para Empresas para entrar em uma sessão de área de trabalho remota, usando os recursos de cartão inteligentes redirecionados do RDP (Protocolo de Área de Trabalho Remota). Isso é possível implantando um certificado no dispositivo do usuário, que é usado como credencial fornecida ao estabelecer a conexão RDP com outro dispositivo Windows.
Este artigo descreve duas abordagens de implantação de certificado, em que certificados de autenticação são implantados no contêiner Windows Hello para Empresas:
- Usando Microsoft Intune com conectores SCEP ou PKCS
- Usando uma política de registro do AD CS (Active Directory Certificate Services)
Dica
Considere usar o Remote Credential Guard em vez de Windows Hello para Empresas para entrada RDP. O Remote Credential Guard fornece SSO (logon único) para sessões RDP usando a autenticação Kerberos e não requer a implantação de certificados. Para obter mais informações, consulte Remote Credential Guard.
Como funciona
O Windows gera e armazena chaves criptográficas usando um componente de software chamado KSP ( provedor de armazenamento de chaves ):
- Chaves baseadas em software são criadas e armazenadas usando o Provedor de Armazenamento de Chaves de Software da Microsoft
- Chaves de cartão inteligentes são criadas e armazenadas usando o Provedor de Armazenamento de Chaves de Cartão Inteligente da Microsoft
- Chaves criadas e protegidas por Windows Hello para Empresas são criadas e armazenadas usando o Provedor de Armazenamento de Chaves do Microsoft Passport
Um certificado em um cartão inteligente começa com a criação de um par de chaves assimétricas usando o KSP do Microsoft Smart Card. O Windows solicita um certificado com base no par de chaves de suas empresas que emitem a autoridade de certificado, que retorna um certificado armazenado no repositório de certificados pessoal do usuário. A chave privada permanece no cartão inteligente e a chave pública é armazenada com o certificado. Os metadados no certificado (e na chave) armazenam o provedor de armazenamento de chaves usado para criar a chave (lembre-se que o certificado contém a chave pública).
O mesmo conceito se aplica a Windows Hello para Empresas, exceto que as chaves são criadas usando o KSP do Microsoft Passport. A chave privada do usuário permanece protegida pelo TPM (módulo de segurança) do dispositivo e pelo gesto do usuário (PIN/biometria). As APIs de certificado ocultam a complexidade. Quando um aplicativo usa um certificado, as APIs de certificado localizam as chaves usando o provedor de armazenamento de chaves salvas. Os principais provedores de armazenamento direcionam as APIs de certificado em qual provedor eles usam para encontrar a chave privada associada ao certificado. É assim que o Windows sabe que você tem um certificado de cartão inteligente sem o cartão inteligente inserido e solicita que você insira a cartão inteligente.
Windows Hello para Empresas emula um cartão inteligente para compatibilidade com o aplicativo e o KSP do Microsoft Passport solicita ao usuário seu gesto biométrico ou PIN.
Observação
A Área de Trabalho Remota com biometria não funciona com o Registro Duplo ou cenários em que o usuário fornece credenciais alternativas.
Requisitos
Aqui está uma lista de requisitos para habilitar a entrada RDP com Windows Hello para Empresas:
- Uma infraestrutura PKI baseada em CS do AD ou terceiros
- Windows Hello para Empresas implantado para os clientes
- Se você planeja dar suporte a Microsoft Entra dispositivos ingressados, os controladores de domínio devem ter um certificado, que serve como uma raiz de confiança para os clientes. O certificado garante que os clientes não se comuniquem com controladores de domínio desonestos
Se você planeja implantar certificados usando Microsoft Intune, aqui estão mais requisitos:
- Verifique se você tem a infraestrutura para dar suporte à implantação do SCEP ou do PKCS
- Implantar o certificado raiz da AC e quaisquer outros certificados de autoridade de certificado intermediários para Microsoft Entra dispositivos ingressados usando uma política de certificado raiz confiável
Criar um modelo de certificado
O processo de criação de um modelo de certificado é aplicável a cenários em que você usa uma infraestrutura do AD CS (Serviços de Certificado) Active Directory local.
Primeiro, você deve criar um modelo de certificado e, em seguida, implantar certificados com base nesse modelo no contêiner Windows Hello para Empresas.
A configuração do modelo de certificado é diferente dependendo se você implantar certificados usando Microsoft Intune ou uma política de registro do Active Directory. Selecione a opção que melhor atende às suas necessidades.
Entre na AC (autoridade de certificado de emissão) e abra Gerenciador do Servidor
Selecione Autoridade de Certificação de Ferramentas>. O Console de Gerenciamento da Microsoft (Autoridade de Certificação) é aberto
No MMC, expanda o nome da AC e clique com o botão direito do mouse em Gerenciar Modelos > de Certificado
O console modelos de certificado é aberto. Todos os modelos de certificado são exibidos no painel de detalhes
Clique com o botão direito do mouse no modelo do Logon do Smartcard e selecione Modelo duplicado
Use a tabela a seguir para configurar o modelo:
Nome da guia Configurações Compatibilidade - Limpar a caixa Mostrar alterações resultantes marcar
- Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista autoridade de certificação
- Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista destinatário de certificação
Geral - Especifique um nome de exibição de modelo, por exemplo, Autenticação de Certificado WHfB
- Defina o período de validade como o valor desejado
- Anote o nome do modelo para posterior, que deve ser o mesmo que o nome de exibição de modelo menos espaços (WHfBCertificateAuthentication neste exemplo)
Extensões Verifique se a extensão Políticas de Aplicativo inclui Logon de Cartão Inteligente. Nome do assunto Selecione Fornecer na solicitação. Tratamento de Solicitações - Defina o logon Propósito como Assinatura e smartcard e selecione Sim quando solicitado a alterar a finalidade do certificado
- Selecione a caixa Renovar com a mesma chave marcar
- Selecione Solicitar o usuário durante o registro
Nota: Se você implantar certificados com um perfil PKCS, selecione a opção Permitir que a chave privada seja exportadaCriptografia - Definir a categoria de provedor como provedor de armazenamento de chaves
- Definir o nome do algoritmo como RSA
- Defina o tamanho mínimo da chave como 2048
- Selecionar Solicitações deve usar um dos provedores a seguir
- Selecione Provedor de Armazenamento de Chaves de Software da Microsoft
- Definir o hash de solicitação como SHA256
Segurança Adicionar a entidade de segurança usada para o acesso de registro SCEP ou PKCS Selecione OK para finalizar suas alterações e criar o novo modelo. Seu novo modelo agora deve aparecer na lista de Modelos de Certificado
Fechar o console modelos de certificado
Emitir o modelo de certificado
- No console da Autoridade de Certificado, clique com o botão direito do mouse em Modelos de Certificado, selecione Novo > Modelo de Certificado para Emitir
- Na lista de modelos, selecione o modelo que você criou anteriormente (Autenticação de Certificado WHFB) e selecione OK. Pode levar algum tempo para que o modelo seja replicado para todos os servidores e fique disponível nesta lista
- Depois que o modelo for replicado, no MMC, clique com o botão direito do mouse na lista Autoridade de Certificação, selecione Todas as Tarefas > Parar Serviço. Clique com o botão direito do mouse no nome da AC novamente, selecione Todas as Tarefas > Iniciar Serviço
Implantar certificados
O processo de implantação de certificados é diferente dependendo se você usa Microsoft Intune ou uma política de registro do Active Directory. Selecione a opção que melhor atende às suas necessidades.
Esta seção descreve como configurar uma política SCEP no Intune. Etapas semelhantes podem ser seguidas para configurar uma política PKCS.
Selecionar perfis de configuração de dispositivos >> Criar perfil
Selecione Certificado SCEP de modelos > de tipo de plataforma Windows 10 e posterior e de tipo > de perfil>
Selecione Criar
No painel Noções básicas, forneça um Nome e, opcionalmente, um Próximo de Descrição >
No painel Configuração de configurações , use a seguinte tabela para configurar a política:
Configuração Configurações Tipo de certificado Usuário Formato nome da entidade CN={{UserPrincipalName}}
Observação: se houver uma incompatibilidade entre o sufixo UPN do usuário e o FQDN de domínio do Active Directory, useCN={{OnPrem_Distinguished_Name}}
em vez disso.Nome alternativo do assunto Na lista suspensa, selecione Nome da entidade de usuário (UPN) com um valor de {{UserPrincipalName}}
Período de validade do certificado Configurar um valor de sua escolha KSP (provedor de armazenamento de chaves) Registrar-se no Windows Hello para Empresas, caso contrário, falhar Uso de chave Assinatura Digital Tamanho da chave (bits) 2048 Para algoritmo hash SHA-2 Certificado Raiz Selecione +Certificado Raiz e selecione o perfil de certificado confiável criado anteriormente para o Certificado de AC Raiz Uso de chave estendida - Nome:Logon de Cartão Inteligente
- Identificador de objeto:
1.3.6.1.4.1.311.20.2.2
- Valores predefinidos:não configurados
- Nome:Autenticação do cliente
- Identificador de objeto:
1.3.6.1.5.5.7.3.2
- Valores predefinidos:Autenticação do cliente
Limite de renovação (%) Configurar um valor de sua escolha URLs do servidor SCEP Forneça os pontos de extremidade públicos que você configurou durante a implantação de sua infraestrutura SCEP Selecionar Avançar
No painel Atribuições , atribua a política a um grupo de segurança que contém como membros os dispositivos ou usuários que você deseja configurar e selecionar Avançar
No painel Regras de Aplicabilidade , configure restrições de emissão, se necessário, e selecione Avançar
No painel Revisar + criar , examine a configuração da política e selecione Criar
Para obter mais informações sobre como configurar políticas de SCEP, consulte Configurar perfis de certificado SCEP em Intune. Para configurar políticas PKCS, consulte Configurar e usar o certificado PKCS com Intune.
Cuidado
Se você implantar certificados por meio de Intune e configurar Windows Hello para Empresas por meio da política de grupo, os dispositivos não obterão um certificado, registrando o código 0x82ab0011
de erro no DeviceManagement-Enterprise-Diagnostic-Provider
log.
Para evitar o erro, configure Windows Hello para Empresas por meio de Intune em vez de política de grupo.
Usar autoridades de certificação que não são da Microsoft
Se você estiver usando um PKI não Microsoft, os modelos de certificado publicados no Active Directory local podem não estar disponíveis. Para obter diretrizes com a integração do Intune/SCEP com implantações não Microsoft PKI, consulte Usar autoridades de certificação não Microsoft (AC) com SCEP em Microsoft Intune.
Como alternativa ao uso do SCEP ou se nenhuma das soluções abordadas anteriormente funcionar em seu ambiente, você poderá gerar manualmente solicitações de assinatura de certificado (CSR) para envio ao seu PKI. Para ajudar nessa abordagem, você pode usar o comando Generate-CertificateRequest PowerShell.
O Generate-CertificateRequest
comando gera um .inf
arquivo para uma chave de Windows Hello para Empresas pré-existente. O .inf
pode ser usado para gerar uma solicitação de certificado manualmente usando certreq.exe
. O comando também gera um .req
arquivo, que pode ser enviado ao seu PKI para um certificado.
Verifique se o certificado está implantado
Para verificar se o certificado está implantado corretamente no contêiner Windows Hello para Empresas, use o seguinte comando:
certutil -store -user my
A saída lista chaves e certificados armazenados no repositório de usuários. Se um certificado emitido de sua AC for implantado no contêiner Windows Hello para Empresas, a saída exibirá o certificado com um Provider
valor de Microsoft Passport Key Storage Provider
.
Por exemplo:
C:\Users\amanda.brady>certutil -store -user my
my "Personal"
================ Certificate 0 ================
Serial Number: 110000001f4c4eccc46fc8f93a00000000001f
Issuer: CN=Contoso - Issuing CA, DC=CONTOSO, DC=COM
NotBefore: 12/8/2023 6:16 AM
NotAfter: 12/7/2024 6:16 AM
Subject: CN=amanda.brady@contoso.com
Non-root Certificate
Template: 1.3.6.1.4.1.311.21.8.2835349.12167323.7094945.1118853.678601.83.11484210.8005739
Cert Hash(sha1): 63c6ce5fc512933179d3c0a5e94ecba98092f93d
Key Container = S-1-12-1-../../login.windows.net/../amanda.brady@contoso.com
Provider = Microsoft Passport Key Storage Provider
Private key is NOT exportable
Encryption test passed
Experiência do usuário
Depois que os usuários obtêm seu certificado, eles podem RDP para qualquer dispositivo Windows na mesma floresta do Active Directory que a conta do Active Directory dos usuários abrindo a Conexão de Área de Trabalho Remota (mstsc.exe
). Ao se conectar ao host remoto, eles são solicitados a usar Windows Hello para Empresas para desbloquear a chave privada do certificado.
Microsoft Entra dispositivo ingressado
O usuário pode autenticar usando qualquer gesto de desbloqueio Windows Hello disponível, incluindo biometria.
Microsoft Entra dispositivo híbrido ingressado
O prompt de credencial identifica o provedor de credencial Windows Hello como credencial de dispositivo de segurança. O usuário deve usar o provedor de credencial PIN para desbloquear.
Aqui está um breve vídeo mostrando a experiência do usuário de um Microsoft Entra dispositivo ingressado usando a impressão digital como fator de desbloqueio:
Observação
O usuário deve ser autorizado a se conectar ao servidor remoto usando o protocolo Da Área de Trabalho Remota, por exemplo, sendo um membro do grupo local Usuários da Área de Trabalho Remota no host remoto.
Compatibilidade
Embora os usuários apreciem a conveniência da biometria e os administradores valorizem a segurança, você pode ter problemas de compatibilidade com aplicativos e certificados de Windows Hello para Empresas. Nesses cenários, você pode implantar uma configuração de política para reverter ao comportamento anterior para os usuários que precisam dela.
Para obter mais informações, consulte Usar certificados Windows Hello para Empresas como certificado de cartão inteligente
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de