Compartilhar via

Configurar o início de sessão único para dispositivos associados ao Microsoft Entra

Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:

O Windows Hello para Empresas combinado com dispositivos associados ao Microsoft Entra facilita o acesso seguro aos recursos baseados na cloud com uma credencial forte de dois fatores. À medida que as organizações transitam recursos para a cloud, alguns recursos podem permanecer no local e os dispositivos associados ao Microsoft Entra poderão ter de aceder aos mesmos. Com configurações adicionais para a implementação híbrida, pode fornecer início de sessão único em recursos no local para dispositivos associados ao Microsoft Entra através do Windows Hello para Empresas, utilizando uma chave ou um certificado.

Observação

Estes passos não são necessários ao utilizar o modelo de confiança Kerberos na cloud.

Pré-requisitos

Ao contrário dos dispositivos associados híbridos do Microsoft Entra, os dispositivos associados ao Microsoft Entra não têm uma relação com o seu domínio do Active Directory. Esse fator altera a maneira como os usuários são autenticados ao Active Directory. Valide as seguintes configurações para garantir que suportam dispositivos associados ao Microsoft Entra:

  • Ponto de Distribuição da Lista de Revogação de Certificados (CRL)
  • Certificados de controlador de domínio
  • Infraestrutura de rede implementada para aceder aos controladores de domínio no local. Se os computadores forem externos, pode utilizar qualquer solução de VPN

Ponto de distribuição (CDP) de CRL

Os certificados emitidos por uma autoridade de certificação podem ser revogados. Quando uma autoridade de certificação revoga um certificado, escreve informações sobre o certificado numa lista de revogação de certificados (CRL).
Durante a validação do certificado, o Windows compara o certificado atual com as informações na CRL para determinar se o certificado é válido.

Captura de ecrã a mostrar a propriedade CDP de um certificado.

Na captura de ecrã, a propriedade CDP do certificado do controlador de domínio mostra um caminho LDAP. Usar o Active Directory para dispositivos associados ao domínio fornece um ponto de distribuição de CRL altamente disponível. No entanto, os dispositivos associados ao Microsoft Entra não conseguem ler dados do Active Directory e a validação de certificados não proporciona uma oportunidade de autenticação antes de ler a CRL. A autenticação torna-se um problema circular: o utilizador está a tentar autenticar-se, mas tem de ler o Active Directory para concluir a autenticação, mas o utilizador não consegue ler o Active Directory porque não se autenticou.

Para resolver este problema, o ponto de distribuição da CRL tem de ser uma localização acessível pelos dispositivos associados ao Microsoft Entra que não necessitam de autenticação. A solução mais fácil é publicar o ponto de distribuição da CRL em um servidor Web que usa HTTP (não HTTPS).

Se o ponto de distribuição de CRL não listar um ponto de distribuição HTTP, terá de reconfigurar a autoridade de certificação emissora para incluir um ponto de distribuição CRL HTTP, de preferência primeiro, na lista de pontos de distribuição.

Observação

Se a ac publicou a Base e o Delta CRL, confirme que publica o Delta CRL no caminho HTTP. Inclua o servidor Web para obter o CrL Delta ao permitir o duplo escape no servidor Web (IIS).

Certificados de controlador de domínio

As autoridades de certificação escrevem informações CDP em certificados à medida que são emitidos. Se o ponto de distribuição for alterado, os certificados emitidos anteriormente têm de ser reeditados para que a autoridade de certificação inclua o novo CDP. O certificado do controlador de domínio é um dos componentes críticos dos dispositivos associados ao Microsoft Entra que se autenticam no Active Directory.

Por que o Windows precisa validar o certificado de controlador de domínio?

O Windows Hello para Empresas impõe a estrita funcionalidade de segurança de validação KDC ao autenticar a partir de um dispositivo associado ao Microsoft Entra para um domínio. Esta imposição impõe critérios mais restritivos que têm de ser cumpridos pelo Centro de Distribuição de Chaves (KDC). Ao autenticar com o Windows Hello para Empresas num dispositivo associado ao Microsoft Entra, o cliente Windows valida a resposta do controlador de domínio ao garantir que todos os seguintes são cumpridos:

  • O controlador de domínio tem a chave privada para o certificado fornecido
  • A AC de raiz que emitiu o certificado do controlador de domínio está nas Autoridades de Certificados de Raiz Fidedigna do dispositivo
  • Utilizar o modelo de certificado de Autenticação Kerberos em vez de qualquer outro modelo mais antigo
  • O certificado do controlador de domínio tem a utilização alargada de chaves (EKU) da Autenticação KDC
  • O nome alternativo do requerente do certificado do controlador de domínio tem um Nome DNS que corresponde ao nome do domínio
  • O algoritmo hash de assinatura do certificado do controlador de domínio é sha256
  • A chave pública do certificado do controlador de domínio é RSA (2048 Bits)

Importante

A autenticação a partir de um dispositivo associado híbrido do Microsoft Entra a um domínio com o Windows Hello para Empresas não impõe que o certificado do controlador de domínio inclua o EKU de Autenticação KDC . Se estiver a adicionar dispositivos associados ao Microsoft Entra a um ambiente de domínio existente, certifique-se de que verifica se o certificado do controlador de domínio foi atualizado para incluir o EKU de Autenticação KDC .

Configurar um ponto de distribuição de CRL para uma AC emissora

Utilize este conjunto de procedimentos para atualizar a AC que emite certificados de controlador de domínio para incluir um ponto de distribuição CRL baseado em http.

Configurar os serviços de informações da Internet para hospedar o ponto de distribuição da CRL

Tem de alojar a sua nova lista de revogação de certificados num servidor Web para que os dispositivos associados ao Microsoft Entra possam validar facilmente certificados sem autenticação. Você pode hospedar esses arquivos em servidores Web de várias maneiras. Os passos seguintes são apenas um e podem ser úteis para administradores que não estão familiarizados com a adição de um novo ponto de distribuição crl.

Importante

Não configure o servidor IIS que hospeda o ponto de distribuição da CRL para usar o HTTPS ou um certificado de autenticação de servidor. Clientes devem acessar o ponto de distribuição usando http.

Instalar o servidor Web

  1. Inicie sessão no servidor como administrador local e inicie o Gestor de Servidores se não tiver sido iniciado durante o início de sessão
  2. Selecione o nó Servidor Local no painel de navegação. Selecione Gerir e selecione Adicionar Funções e Funcionalidades
  3. No Assistente para Adicionar Função e Funcionalidades, selecione Seleção de Servidor. Verifique se o servidor selecionado é o servidor local. Selecione Funções de Servidor. Selecione a caixa de verificação junto a Servidor Web (IIS)
  4. Selecione Seguinte através das restantes opções no assistente, aceitando as predefinições e instale a função de Servidor Web

Configurar o servidor Web

  1. A partir das Ferramentas Administrativas do Windows, Abra o Gestor de Serviços de Informação Internet (IIS)

  2. Expanda o painel de navegação para mostrar Site padrão. Selecione e, em seguida, clique com o botão direito do rato em Web site Predefinido e selecione Adicionar Diretório Virtual...

  3. Na caixa de diálogo Adicionar Diretório Virtual, digite cdp em Alias. Para o caminho físico, escreva ou procure a localização do ficheiro físico onde irá alojar a lista de revogação de certificados. Para este exemplo, o caminho c:\cdp é utilizado. Selecione OKAdicionar Diretório Virtual.

    Observação

    Anote esse caminho, uma vez que será usado posteriormente para configurar as permissões de compartilhamento e arquivo.

  4. Selecione CDP em Site padrão no painel de navegação. Abra a Navegação no Diretório no painel de conteúdos. Selecione Ativar no painel de detalhes

  5. Selecione CDP em Site padrão no painel de navegação. Abrir o Editor de Configuração

  6. Na lista Secção , navegue para system.webServer/security/requestFilteringIIS Configuration Editor requestFiltering.

  7. Na lista de pares de valores nomeados no painel de conteúdo, configure allowDoubleEscaping para True. Selecione Aplicar no painel de ações O Editor de Configuração do IIS está a fazer duplo escape.

  8. Fechar o Gestor de Serviços de Informação Internet (IIS)

Criar um registro de recurso DNS para a URL do ponto de distribuição da CRL

  1. No servidor DNS ou a partir de uma estação de trabalho administrativa, abra o Gestor de DNS a partir das Ferramentas Administrativas
  2. Expanda Zonas de pesquisa direta para mostrar a zona DNS do seu domínio. Clique com o botão direito do rato no nome de domínio no painel de navegação e selecione Novo Anfitrião (A ou AAAA)...
  3. Na caixa de diálogo Novo Host, digite crl em Nome. Digite o endereço IP do servidor Web configurado no Endereço IP. Selecione Adicionar Anfitrião. Selecione OK para fechar a caixa de diálogo DNS . Selecione ConcluídoCriar registo de anfitrião DNS.
  4. Fechar o Gestor de DNS

Preparar um compartilhamento de arquivos para hospedar a lista de certificados revogados

Esses procedimentos configuram o NTFS e as permissões de compartilhamento no servidor Web para permitir que a autoridade de certificação publique automaticamente a lista de certificados revogados.

Configurar o compartilhamento de arquivos CDP.

  1. No servidor Web, abra o Explorador do Windows e navegue para a pasta cdp que criou no passo 3 de Configurar o Servidor Web
  2. Clique com o botão direito do rato na pasta cdp e selecione Propriedades. Selecione o separador Partilhar . Selecione Partilha Avançada
  3. Selecione Compartilhar esta pasta. Digite cdp$ em Nome do compartilhamento. Selecione Permissõespartilha cdp.
  4. Na caixa de diálogo Permissões para cdp$ , selecione Adicionar
  5. Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos , selecione Tipos de Objeto. Na caixa de diálogo Tipos de Objeto , selecione Computadores e, em seguida, selecione OK
  6. Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos , em Introduza os nomes dos objetos a selecionar, escreva o nome do servidor que executa a autoridade de certificação que emite a lista de revogação de certificados e, em seguida, selecione Verificar Nomes. Selecione OK
  7. Na caixa de diálogo Permissões para cdp$, selecione a autoridade de certificação na Lista de grupo ou nomes de usuário. Na seção Permissões para, selecione Permitir para Controle total. Selecione OKPermissões de Partilha CDP.
  8. Na caixa de diálogo Partilha Avançada , selecione OK

Dica

Certifique-se de que os utilizadores podem aceder \\Server FQDN\sharenamea .

Desabilitar o armazenamento em cache

  1. No servidor Web, abra o Explorador do Windows e navegue para a pasta cdp que criou no passo 3 de Configurar o Servidor Web
  2. Clique com o botão direito do rato na pasta cdp e selecione Propriedades. Selecione o separador Partilhar . Selecione Partilha Avançada
  3. Selecione Colocação em cache. Selecione Não existem ficheiros ou programas na pasta partilhada que estejam disponíveis para desativar a colocação em cache do CDP offline.
  4. Selecione OK

Configurar a permissão de NTFS para a pasta CDP

  1. No servidor Web, abra o Explorador do Windows e navegue para a pasta cdp que criou no passo 3 de Configurar o Servidor Web
  2. Clique com o botão direito do rato na pasta cdp e selecione Propriedades. Selecione o separador Segurança
  3. No separador Segurança , selecione Editar
  4. Na caixa de diálogo Permissões para cdp , selecione AdicionarPermissões CDP NTFS.
  5. Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos , selecione Tipos de Objeto. Na caixa de diálogo Tipos de Objeto, selecione Computadores. Selecione OK
  6. Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos , em Introduza os nomes dos objetos a selecionar, escreva o nome da autoridade de certificação e, em seguida, selecione Verificar Nomes. Selecione OK
  7. Na caixa de diálogo Permissões para cdp, selecione o nome da autoridade de certificação na lista Grupo ou nomes de usuário. Na seção Permissões para, selecione Permitir para Controle total. Selecione OK
  8. Selecione Fechar na caixa de diálogo Propriedades do cdp

Configurar o novo CDP e a localização de publicação na AC emissora

O servidor Web está pronto para hospedar o ponto de distribuição da CRL. Agora, configure a autoridade de certificação emissora para publicar a CRL na nova localização e para incluir o novo ponto de distribuição crl.

Configure o ponto de distribuição da CRL.

  1. Na autoridade de certificado de emissão, entre como administrador local. Iniciar a consola da Autoridade de Certificação a partir das Ferramentas Administrativas
  2. No painel de navegação, clique com o botão direito do rato no nome da autoridade de certificação e selecione Propriedades
  3. Selecione Extensões. No separador Extensões, selecione Ponto de Distribuição CRL (CDP) na lista Selecionar extensão
  4. No separador Extensões , selecione Adicionar. Escreva http://crl.[domainname]/cdp/ na localização. Por exemplo, <http://crl.corp.contoso.com/cdp/> ou <http://crl.contoso.com/cdp/> (não se esqueça da barra à direita) caixa de diálogo Nova Localização do CDP.
  5. Selecione <CaName> na lista Variável e selecione Inserir. Selecione <CRLNameSuffix> na lista Variável e selecione Inserir. Selecione <DeltaCRLLowed> na lista Variável e selecione Inserir
  6. Digite .crl no final do texto no Local. Selecione OK
  7. Selecione o CDP que acabou de criar CDP, conclua http.
  8. Selecione Incluir em CRLs. Os clientes utilizam-no para encontrar localizações crl delta
  9. Selecione Incluir na extensão CDP dos certificados emitidos
  10. Selecione Aplicar guardar as suas seleções. Selecione Não quando pedir para reiniciar o serviço

Observação

Opcionalmente, você pode remover os pontos de distribuição da CRL não usados e os locais de publicação.

Configurar o local de publicação da CRL

  1. Na autoridade de certificado de emissão, entre como administrador local. Iniciar a consola da Autoridade de Certificação a partir das Ferramentas Administrativas
  2. No painel de navegação, clique com o botão direito do rato no nome da autoridade de certificação e selecione Propriedades
  3. Selecione Extensões. No separador Extensões, selecione Ponto de Distribuição CRL (CDP) na lista Selecionar extensão
  4. No separador Extensões , selecione Adicionar. Digite o nome do computador e do compartilhamento criado para o ponto de distribuição da CRL em Configurar o compartilhamento de arquivo CDP. Por exemplo, \\app\cdp$\ (não se esqueça da barra à direita para trás)
  5. Selecione <CaName> na lista Variável e selecione Inserir. Selecione <CRLNameSuffix> na lista Variável e selecione Inserir. Selecione <DeltaCRLLowed> na lista Variável e selecione Inserir
  6. Digite .crl no final do texto no Local. Selecione OK
  7. Selecione a localização de publicação CDP que acabou de criar.
  8. Selecione Publicar CRLs nesta localização
  9. Selecione Publicar CRLs Delta nesta localização
  10. Selecione Aplicar guardar as suas seleções. Selecione Sim quando pedir para reiniciar o serviço. Selecione OK para fechar a caixa de diálogo propriedades

Publicar uma nova CRL

  1. Na autoridade de certificado de emissão, entre como administrador local. Iniciar a consola da Autoridade de Certificação a partir das Ferramentas Administrativas
  2. No painel de navegação, clique com o botão direito do rato em Certificados Revogados, paire o cursor sobre Todas as Tarefas e selecione Publicar Publicarum Novo CRL.
  3. Na caixa de diálogo Publicar CRL , selecione Nova CRL e selecione OK

Validar a publicação de CDP

Valide se o novo ponto de distribuição crl está a funcionar.

  1. Abra um navegador da Web. Navegue até http://crl.[yourdomain].com/cdp. Deverá ver dois ficheiros criados a partir da publicação do novo CRL Validar o novo CRL.

Reemissão de certificados do controlador de domínio

Com a AC configurada corretamente com um ponto de distribuição CRL baseado em HTTP válido, tem de reeditar certificados para controladores de domínio, uma vez que o certificado antigo não tem o ponto de distribuição CRL atualizado.

  1. Iniciar sessão num controlador de domínio com credenciais administrativas
  2. Abra a caixa de diálogo Executar. Escreva certlm.msc para abrir o Gestor de Certificados do computador local
  3. No painel de navegação, expanda Pessoal. Selecione Certificados. No painel de detalhes, selecione o certificado de controlador de domínio existente que inclui a Autenticação KDC na lista do arquivo Pessoal do Gestor de Certificados para Fins Pretendidos.
  4. Clique com o botão direito do mouse no certificado selecionado. Paire o cursor sobre Todas as Tarefas e, em seguida, selecione Renovar Certificado com Nova Chave.... No assistente inscrição de certificados , selecione Renovação Seguintecom Nova chave.
  5. Na página Solicitar certificados do assistente, verifique se o certificado selecionado tem o modelo de certificado correto e se o status é disponível. Selecione Inscrever
  6. Depois de concluída a inscrição, selecione Concluir para fechar o assistente
  7. Repita este procedimento em todos os controladores de domínio

Observação

Você pode configurar controladores de domínio para registrar e renovar automaticamente seus certificados. O registro automático de certificado ajuda a evitar interrupções de autenticação devido a certificados expirados. Confira os Guias de implantação do Windows Hello para saber como implantar o registro automático de certificados para os controladores de domínio.

Importante

Se não estiver usando o registro automático de certificados, crie um lembrete de calendário para alertá-lo dois meses antes da data de vencimento. Envie o lembrete para várias pessoas na organização para garantir que mais de uma pessoa saiba quando esses certificados expiram.

Validar a CDP no novo certificado

  1. Iniciar sessão num controlador de domínio com credenciais administrativas

  2. Abra a caixa de diálogo Executar. Escreva certlm.msc para abrir o Gestor de Certificados do computador local

  3. No painel de navegação, expanda Pessoal. Selecione Certificados. No painel de detalhes, faça duplo clique no certificado de controlador de domínio existente inclui Autenticação KDC na lista de Objetivos Pretendidos

  4. Selecione o separador Detalhes . Desloque-se para baixo na lista até os Pontos de Distribuição crl ficarem visíveis na coluna Campo da lista. Selecione Ponto de Distribuição CRL

  5. Analise as informações abaixo da lista de campos para confirmar que a nova URL do ponto de distribuição da CRL está presente no certificado. Selecione OK

    Novo Certificado com CDP atualizado.

Implementar o certificado de AC de raiz em dispositivos associados ao Microsoft Entra

Os controladores de domínio têm um certificado que inclui o novo ponto de distribuição CRL. Em seguida, precisa do certificado de raiz empresarial para poder implementá-lo em dispositivos associados ao Microsoft Entra. Quando implementa os certificados de raiz empresarial num dispositivo, garante que o dispositivo confia nos certificados emitidos pela autoridade de certificação. Sem o certificado, os dispositivos associados ao Microsoft Entra não confiam nos certificados do controlador de domínio e a autenticação falha.

Exportar o certificado de raiz empresarial

  1. Iniciar sessão num controlador de domínio com credenciais administrativas
  2. Abra a caixa de diálogo Executar. Escreva certlm.msc para abrir o Gestor de Certificados do computador local
  3. No painel de navegação, expanda Pessoal. Selecione Certificados. No painel de detalhes, faça duplo clique no certificado de controlador de domínio existente inclui Autenticação KDC na lista de Objetivos Pretendidos
  4. Selecione o separador Caminho da Certificação . Na vista Caminho da certificação , selecione o nó mais alto e selecione VerCaminho do Certificado.
  5. Na caixa de diálogo novo Certificado , selecione o separador Detalhes . Selecione Copiar para oseparador Detalhes do Ficheiro e copie para o ficheiro.
  6. No Assistente de Exportação de Certificados, selecione Seguinte
  7. Na página Exportar Formato do Ficheiro do assistente, selecione Seguinte
  8. Na página Ficheiro a Exportar no assistente, escreva o nome e a localização do certificado de raiz e selecione Seguinte. Selecione Concluir e, em seguida, selecione OK para fechar a caixa de diálogo De sucesso Exportar certificado de raiz.
  9. Selecione OK duas vezes para regressar ao Gestor de Certificados do computador local. Fechar o Gestor de Certificados

Implementar o certificado através do Intune

Para configurar dispositivos com o Microsoft Intune, utilize uma política personalizada:

  1. Aceda ao centro de administração do Microsoft Intune
  2. Selecionar Perfis de Configuração de Dispositivos >> Criar perfil
  3. Selecione Plataforma > Windows 8.1 e posterior e Tipo > de perfil Certificado fidedigno
  4. Selecione Criar
  5. Em Definições de configuração, selecione o ícone de pasta e procure o ficheiro de certificado de raiz empresarial. Assim que o ficheiro estiver selecionado, selecione Abrir para carregá-lo para o Intune
  6. Na lista pendente Arquivo de destino, selecione Arquivo de certificados do computador – Raiz
  7. Selecione Seguinte
  8. Em Atribuição, selecione > um grupo de segurança que contenha como membros os dispositivos ou utilizadores que pretende configurar Seguinte
  9. Reveja a configuração da política e selecione Criar

Se planeja usar certificados para logon único local, execute as etapas adicionais em Uso de certificados para o de logon único local. Caso contrário, pode iniciar sessão num dispositivo associado ao Microsoft Entra com o Windows Hello para Empresas e testar o SSO num recurso no local.