Usando certificados para Microsoft Entra logon único ingressado no local

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

• Tipo de implantação:
• Tipo de
• Tipo de junção: Microsoft Entra ingressar

---

Se você planeja usar certificados para logon único local, siga estas etapas adicionais para configurar o ambiente para registrar Windows Hello para Empresas certificados para Microsoft Entra dispositivos ingressados.

Importante

Verifique se você executou as configurações no Microsoft Entra dispositivos ingressados para o Single-Sign Local Ativado antes de continuar.

As etapas que você executará incluem:

• Preparar Microsoft Entra Conectar
• Preparar a conta de serviço dos Serviços de Registro de Dispositivo de Rede
• Preparar os Serviços de Certificado do Active Directory
• Instalar a função Serviços de Registro de Dispositivo de Rede
• Configurar os Serviços de Registro de Dispositivo de Rede para trabalhar com Microsoft Intune
• Baixar, instalar e configurar o conector de certificado Intune
• Create e atribuir um perfil de certificado scep (protocolo de registro de certificado simples)

Requisitos

Você deve instalar e configurar uma infraestrutura adicional para fornecer Microsoft Entra dispositivos ingressados com logon único local.

• Uma autoridade de certificado do Windows Server Enterprise existente
• Um Windows Server ingressado no domínio que hospeda a função NDES (Serviços de Registro de Dispositivo de Rede)

Alta disponibilidade

A função de servidor do NDES atua como uma CRA (autoridade de registro de certificado). Servidores de registro de certificado registram certificados em nome do usuário. Os usuários solicitam certificados do serviço NDES em vez de diretamente da autoridade de certificado emissora.

A arquitetura do servidor NDES impede que ele seja clusterizado ou balanceado para alta disponibilidade. Para fornecer alta disponibilidade, você precisa instalar mais de um servidor NDES configurado de forma idêntica e usar Microsoft Intune para carregar o equilíbrio em seguida (de forma round-robin).

A função de servidor do NDES (Serviço de Registro de Dispositivo de Rede) pode emitir até três modelos de certificado exclusivos. A função de servidor realiza isso mapeando a finalidade da solicitação de certificado para um modelo de certificado configurado. A finalidade da solicitação de certificado tem três opções:

• Assinatura
• Criptografia
• Assinatura e Criptografia

Se você precisar implantar mais de três tipos de certificados no Microsoft Entra dispositivo ingressado, precisará de servidores NDES adicionais. Como alternativa, considere consolidar modelos de certificado para reduzir o número de modelos de certificado.

Requisitos de rede

Toda a comunicação ocorre com segurança na porta 443.

Preparar Microsoft Entra Conectar

A autenticação bem-sucedida em recursos locais usando um certificado requer que o certificado forneça uma dica sobre o domínio local. A dica pode ser o nome diferenciado do Active Directory do usuário como o assunto do certificado ou a dica pode ser o nome da entidade de usuário em que o sufixo corresponde ao nome de domínio do Active Directory.

A maioria dos ambientes altera o sufixo nome da entidade de usuário para corresponder ao nome de domínio externo (ou domínio de vaidade) da organização, o que impede que o nome da entidade de usuário seja uma dica para localizar um controlador de domínio. Portanto, o certificado precisa do nome diferenciado local do usuário no assunto para localizar corretamente um controlador de domínio.

Para incluir o nome distinto local na entidade do certificado, Microsoft Entra Connect deve replicar o atributo Active Directory distinguishedName ao atributo Microsoft Entra ID onPremisesDistinguishedName. Microsoft Entra Connect versão 1.1.819 inclui as regras de sincronização adequadas necessárias para esses atributos.

Verificar Microsoft Entra versão do Connect

Entre no computador que executa Microsoft Entra Conectar com acesso equivalente ao administrador local.

1. Abrir serviços de sincronização da pasta Microsoft Entra Connect
2. No Service Manager de sincronização, selecione Ajuda e selecione Sobre
3. Se o número da versão não for 1.1.819 ou posterior, atualize Microsoft Entra Conectar-se à versão mais recente

Verifique se o atributo onPremisesDistinguishedName está sincronizado

A maneira mais fácil de verificar se o atributo onPremisesDistingushedNamne é sincronizado é usar o graph Explorer para o Microsoft Graph.

1. Abra um navegador da Web e navegue até o Graph Explorer

2. Selecione Entrar no Graph Explorer e forneça credenciais do Azure

   Observação

   Para consultar com êxito o API do Graph, as permissões adequadas devem ser concedidas

3. Selecione Modificar permissões (versão prévia). Role para baixo e localize User.Read.All (ou qualquer outra permissão necessária) e selecione Consentimento. Agora você será solicitado para o consentimento de permissões delegadas

4. Na URL do Graph Explorer, insira https://graph.microsoft.com/v1.0/users/[userid]?$select=displayName,userPrincipalName,onPremisesDistinguishedName, em que [userid] é o nome de entidade de usuário de um usuário no Microsoft Entra ID. Selecionar Executar consulta

   Observação

   Como o ponto de extremidade v1.0 do API do Graph fornece apenas um conjunto limitado de parâmetros, usaremos o parâmetro de consulta OData opcional $select. Para conveniência, é possível alternar o seletor de versão da API de v1.0 para beta antes de executar a consulta. Isso fornecerá todas as informações de usuário disponíveis, mas lembre-se de que as consultas de ponto de extremidade beta não devem ser usadas em cenários de produção.

   Solicitação

   GET https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}?$select=displayName,userPrincipalName,onPremisesDistinguishedName
   

5. Nos resultados retornados, examine os dados JSON para o atributo onPremisesDistinguishedName . Verifique se o atributo tem um valor e se o valor é preciso para o usuário determinado. Se o atributo onPremisesDistinguishedName não for sincronizado, o valor será nulo

   Resposta

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,userPrincipalName,onPremisesDistinguishedName)/$entity",
       "displayName": "Nestor Wilke",
       "userPrincipalName": "NestorW@contoso.com",
       "onPremisesDistinguishedName" : "CN=Nestor Wilke,OU=Operations,DC=contoso,DC=com"
   }
   

Preparar a conta de serviço dos Serviços de Registro de Dispositivo de Rede (NDES)

Create o grupo de segurança global do NDES Servers

A implantação usa o grupo de segurança do NDES Servers para atribuir ao serviço NDES as atribuições corretas do usuário.

Entre em um controlador de domínio ou estação de trabalho de gerenciamento com acesso equivalente ao administrador de domínio.

1. Abra Usuários e Computadores do Active Directory.
2. Expandir o nó de domínio do painel de navegação
3. Clique com botão direito do mouse no contêiner Usuários. Passe o mouse sobre Novo e selecione Grupo
4. Digite servidores NDES na caixa de texto Nome do Grupo
5. Selecione OK

Adicionar o servidor NDES ao grupo de segurança global do NDES Servers

Entre em um controlador de domínio ou estação de trabalho de gerenciamento com acesso equivalente ao administrador de domínio.

1. Abra Usuários e Computadores do Active Directory.
2. Expandir o nó de domínio do painel de navegação
3. Selecione Computadores no painel de navegação. Clique com o botão direito do mouse no nome do servidor NDES que hospedará a função do servidor NDES. Selecione Adicionar a um grupo
4. Digite servidores NDES em Inserir os nomes de objeto a serem selecionados. Clique em OK. Selecione OK na caixa de diálogo de sucesso Active Directory Domain Services

Observação

Para alta disponibilidade, você deve ter mais de um servidor NDES para atender Windows Hello para Empresas solicitações de certificado. Você deve adicionar servidores NDES Windows Hello para Empresas adicionais a esse grupo para garantir que eles recebam a configuração adequada.

Create a conta de serviço do NDES

A função NDES (Serviços de Registro de Dispositivo de Rede) é executada em uma conta de serviço. Normalmente, é preferencial executar serviços usando uma GMSA (Conta de Serviço Gerenciado por Grupo). Embora a função NDES possa ser configurada para ser executada usando um GMSA, o conector de certificado Intune não foi projetado nem testado usando um GMSA e é considerado uma configuração sem suporte. A implantação usa uma conta de serviços normal.

Entre em um controlador de domínio ou estação de trabalho de gerenciamento com acesso equivalente ao administrador de domínio.

1. No painel de navegação, expanda o nó que tem seu nome de domínio. Selecionar Usuários
2. Clique com botão direito do mouse no contêiner Usuários. Passe o mouse sobre Novo e selecione Usuário. Digite NDESSvc no nome completo e nome do logon do usuário. Selecionar Avançar
3. Digite uma senha segura em Senha. Confirme a senha segura em Confirmar Senha. Limpar O usuário deve alterar a senha no próximo logon. Selecionar Avançar
4. Selecione Concluir

Importante

Configurar a senha da conta do serviço como Senha nunca expira pode ser mais conveniente, mas apresenta um risco de segurança. As senhas normais da conta de serviço devem expirar de acordo com a política de expiração de senha do usuário das organizações. Create um lembrete para alterar a senha da conta de serviço duas semanas antes de expirar. Compartilhe o lembrete com outras pessoas que podem alterar a senha para garantir que a senha seja alterada antes de expirar.

Create o objeto NDES Service User Rights Política de Grupo

O objeto Política de Grupo garante que a conta do Serviço NDES tenha o direito adequado do usuário de atribuir todos os servidores NDES no grupo NDES Servers. À medida que você adiciona novos servidores NDES ao seu ambiente e a esse grupo, a conta de serviço recebe automaticamente os direitos de usuário adequados por meio do Política de Grupo.

Entre em um controlador de domínio ou em estações de trabalho de gerenciamento com credenciais equivalentes de Administrador de domínio.

1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)

2. Expanda o domínio e selecione o nó objeto Política de Grupo no painel de navegação

3. Clique com o botão direito do mouse no Objeto de política de grupo e selecione Novo

4. Digite Direitos de Serviço do NDES na caixa de nome e selecione OK

5. No painel de conteúdo, clique com o botão direito do mouse no objeto NDES Service Rights Política de Grupo e selecione Editar

6. No painel de navegação, expanda Políticas em Configuração de Computador

7. Expanda Configurações do Windows Configurações > de Segurança Políticas > locais. Selecione Atribuições de Direitos de Usuário

8. No painel de conteúdo, clique duas vezes em Permitir logon localmente. Selecione Definir essas configurações de política e selecione OK. Selecione Adicionar Usuário ou Grupo.... Na caixa de diálogo Adicionar Usuário ou Grupo , selecione Procurar. Na caixa de diálogo Selecionar Usuários, Computadores, Contas de Serviço ou Grupos , digite Administradores; Operadores de backup; DOMAINNAME\NDESSvc; Usuários em que DOMAINNAME é o nome NetBios do domínio (Exemplo CONTOSO\NDESSvc) em Nomes de usuário e grupo. Selecione OK duas vezes

9. No painel de conteúdo, clique duas vezes em Fazer logon como um trabalho em lote. Selecione Definir essas configurações de política e selecione OK. Selecione Adicionar Usuário ou Grupo.... Na caixa de diálogo Adicionar Usuário ou Grupo , selecione Procurar. Na caixa de diálogo Selecionar Usuários, Computadores, Contas de Serviço ou Grupos , digite Administradores; Operadores de backup; DOMAINNAME\NDESSvc; Usuários do Log de Desempenho em que DOMAINNAME é o nome NetBios do domínio (Exemplo CONTOSO\NDESSvc) em Nomes de usuário e grupo. Selecione OK duas vezes

10. No painel de conteúdo, clique duas vezes em Logon como serviço. Selecione Definir essas configurações de política e selecione OK. Selecione Adicionar Usuário ou Grupo.... Na caixa de diálogo Adicionar Usuário ou Grupo , selecione Procurar. Na caixa de diálogo Selecionar Usuários, Computadores, Contas de Serviço ou Grupos, digiteNT SERVICE\ALL SERVICES; DOMAINNAME\NDESSvc em que DOMAINNAME é o nome NetBios do domínio (Exemplo CONTOSO\NDESSvc) em Nomes de usuário e grupo. Selecione OK três vezes

11. Fechar o Política de Grupo de Gerenciamento Editor de Política de Grupo

Configurar a segurança para o objeto NDES Service User Rights Política de Grupo

A melhor maneira de implantar o objeto NDES Service User Rights Política de Grupo é usar a filtragem de grupo de segurança. Isso permite gerenciar facilmente os computadores que recebem as configurações de Política de Grupo adicionando-os a um grupo.

Entre em um controlador de domínio ou estação de trabalho de gerenciamento com acesso equivalente ao administrador de domínio.

1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
2. Expanda o domínio e selecione o nó objeto Política de Grupo no painel de navegação
3. Clique duas vezes no objeto NDES Service User Rights Política de Grupo
4. Na seção Filtragem de Segurança do painel de conteúdo, selecione Adicionar. Digite servidores NDES ou o nome do grupo de segurança que você criou anteriormente e selecione OK
5. Selecione a guia Delegação . Selecione Usuários Autenticados e selecione Avançado
6. Na lista Nomes de grupo ou de usuário, selecione Usuários autenticados. Na lista Permissões para usuários autenticados, desmarque a caixa de seleção Permitir caixa da permissão Aplicar política de grupo. Selecione OK

Implantar o objeto NDES Service User Rights Política de Grupo

O aplicativo do objeto NDES Service User Rights Política de Grupo usa filtragem de grupo de segurança. Isso permite vincular o objeto Política de Grupo no domínio, garantindo que o objeto Política de Grupo esteja dentro do escopo de todos os computadores. No entanto, a filtragem do grupo de segurança garante que apenas os computadores incluídos no grupo de segurança global do NDES Servers recebam e apliquem o objeto Política de Grupo, o que resulta no fornecimento da conta de serviço do NDESSvc com os direitos de usuário adequados.

Entre em um controlador de domínio ou estação de trabalho de gerenciamento com acesso equivalente ao administrador de domínio.

1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
2. No painel de navegação, expanda o domínio e clique com o botão direito do mouse no nó que tem o nome de domínio do Active Directory e selecione Vincular um GPO existente
3. Na caixa de diálogo Selecionar GPO, selecioneDireitos do Usuário do Serviço NDES ou o nome do objeto Política de Grupo que você criou anteriormente e selecione OK

Importante

Vincular o objeto NDES Service User Rights Política de Grupo ao domínio garante que o objeto Política de Grupo esteja no escopo de todos os computadores. No entanto, nem todos os computadores terão as configurações de política aplicadas a eles. Somente computadores que são membros do grupo de segurança global do NDES Servers recebem as configurações da política. Todos os outros computadores ignoram o objeto Política de Grupo.

Preparar a Autoridade de Certificado do Active Directory

Você deve preparar a infraestrutura de chave pública e a autoridade de certificado emissora para dar suporte à emissão de certificados usando Microsoft Intune e a função de servidor do NDES (Serviços de Registro de Dispositivos de Rede). Nesta tarefa, você

• Configurar a autoridade de certificado para permitir que Intune forneça períodos de validade
• Create um modelo de Certificado de Autenticação NDES-Intune
• Create um modelo de certificado de autenticação Windows Hello para Empresas ingressado Microsoft Entra
• Publicar modelos de certificado

Configurar a autoridade de certificado para permitir que Intune forneça períodos de validade

Ao implantar certificados usando Microsoft Intune, você tem a opção de fornecer o período de validade no perfil do certificado SCEP em vez de depender do período de validade no modelo de certificado. Se você precisar emitir o mesmo certificado com períodos de validade diferentes, talvez seja vantajoso usar o perfil SCEP, dado o número limitado de certificados que um único servidor NDES pode emitir.

Observação

Ignore esta etapa se você não quiser habilitar Microsoft Intune especificar o período de validade do certificado. Sem essa configuração, a solicitação de certificado usa o período de validade configurado no modelo de certificado.

Entre na autoridade de certificado emissora com acesso equivalente ao administrador local.

1. Abra um prompt de comando elevado e digite o seguinte comando:

   certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
   

2. Reiniciar o serviço de Serviços de Certificado do Active Directory

Create um modelo de certificado de autenticação NDES-Intune

O NDES usa um certificado de autenticação de servidor para autenticar o ponto de extremidade do servidor, que criptografa a comunicação entre ele e o cliente de conexão. O conector de certificado Intune usa um modelo de certificado de autenticação do cliente para se autenticar no ponto de registro do certificado.

Entre nas estações de trabalho de emissão ou gerenciamento de certificados com Administração credenciais equivalentes.

1. Abra o console de gerenciamento da Autoridade de Certificado

2. Clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar

3. No Console de Modelo de Certificado, clique com o botão direito do mouse no modelo de computador no painel de detalhes e selecione Modelo duplicado

4. Na guia Geral, digite Autenticação Intune NDES no nome de exibição de modelo. Ajustar o período de validade e renovação para atender às necessidades da sua empresa

   Observação

   Se você usar nomes de modelo diferentes, precisará lembrar e substituir esses nomes em diferentes partes do laboratório

5. Na guia Assunto , selecione Fornecer na solicitação

6. Na guia Criptografia , valide o tamanho mínimo da chave é 2048

7. Na guia Segurança , selecione Adicionar

8. Selecione Tipos de Objeto e, em seguida, na janela exibida, escolha Computadores e selecione OK

9. Digite o servidor NDES na caixa Inserir os nomes do objeto para selecionar a caixa de texto e selecionar OK

10. Selecione servidor NDES na lista Nomes de grupo ou usuários . Na seção Permissões para, selecione a caixa Permitir marcar para a permissão Registrar. Desmarque a caixa Permitir marcar para as permissões Registrar e Registrar automaticamente para todos os outros itens na lista Nomes de Grupo ou usuários se as caixas de marcar ainda não estiverem limpas. Selecione OK

11. Selecione no Aplicar para salvar alterações e fechar o console

Create um modelo de certificado de autenticação Windows Hello para Empresas ingressado Microsoft Entra

Durante Windows Hello para Empresas provisionamento, o Windows solicita um certificado de autenticação de Microsoft Intune, que solicita o certificado de autenticação em nome do usuário. Essa tarefa configura o modelo de certificado de autenticação do Windows Hello para Empresas. Você usa o nome do modelo de certificado ao configurar o servidor NDES.

Entre em uma autoridade de certificado ou estações de trabalho de gerenciamento com credenciais equivalentes do Domain Administração.

1. Abra o console de gerenciamento da Autoridade de Certificado

2. Clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar

3. Clique com o botão direito do mouse no modelo do Logon do Smartcard e escolha Modelo duplicado

4. Na guia Compatibilidade , desmarque a caixa de seleção Mostrar alterações resultantes . Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista Autoridade de certificação. Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista destinatário do certificado

5. Na guia Geral , digite ENTRA JOINED WHFB Authentication in Template display name. Ajustar o período de validade e renovação para atender às necessidades da sua empresa

   Observação

   Se você usar nomes de modelo diferentes, precisará lembrar e substituir esses nomes em diferentes partes da implantação

6. Na guia Criptografia, selecione Provedor de armazenamento de chaves da lista Categoria de provedor. Selecione RSA na lista Nome do algoritmo. Digite 2048 na caixa de texto Tamanho mínimo de chave. Selecione SHA256 na lista de hash de solicitação

7. Na guia Extensões , verifique se a extensão Políticas de Aplicativo inclui Logon de Cartão Inteligente

8. Na guia Assunto , selecione Fornecer na solicitação

9. Na guia Tratamento de Solicitações , selecione Assinatura e criptografia na lista Propósito . Selecione a caixa Renovar com a mesma chave marcar. Selecione Registrar assunto sem exigir nenhuma entrada de usuário

10. Na guia Segurança , selecione Adicionar. Digite NDESSvc no Enter the object names to select text box and select OK

11. Selecione NDESSvc na lista Nomes de grupo ou usuários . Na seção Permissões para Servidores NDES, selecione a caixa Permitir marcar para Ler e Registrar. Desmarque a caixa Permitir marcar para as permissões Registrar e Registrar automaticamente para todas as outras entradas na seção Nomes de Grupo ou usuários se as caixas de marcar ainda não estiverem limpas. Selecione OK

12. Fechar o console

Publicar modelos de certificado

A autoridade de certificação pode emitir somente certificados para os modelos de certificado publicados para a autoridade de certificação. Se você tiver mais de uma autoridade de certificação e desejar que essa autoridade de certificação emita certificados com base em um modelo de certificado específico, é necessário publicar o modelo de certificado para todas as autoridades de certificação que devem emitir o certificado.

Importante

Certifique-se de publicar os modelos de certificado de autenticação WHFB INGRESSADOS na autoridade de certificado que Microsoft Intune usa por meio dos servidores NDES. A configuração do NDES pede que você escolha uma autoridade de certificado da qual solicita certificados. Você precisa publicar esses modelos de certificado para essa autoridade de certificado emissora. O certificado de Autenticação Intune NDES está registrado diretamente e pode ser publicado em qualquer autoridade de certificado.

Entre na autoridade de certificado ou nas estações de trabalho de gerenciamento com uma credencial equivalente a administradores corporativos .

1. Abra o console de gerenciamento da Autoridade de Certificado
2. Expandir o nó pai do painel de navegação
3. Selecione Modelos de Certificado no painel de navegação
4. Clique com botão direito do mouse no nó de Modelos de certificado. Selecione Novo e selecione Modelo de Certificado para emitir
5. Na janela Habilitar Modelos de Certificados, selecione os modelos de Autenticação Intune NDES e AUTENTICAÇÃO WHFB INGRESSADAS que você criou nas etapas anteriores. Selecione OK para publicar os modelos de certificado selecionados na autoridade de certificado
6. Fechar o console

Instalar e configurar a função NDES

Esta seção inclui os seguintes artigos:

• Instalar a Função de Serviço de Registro de Dispositivo de Rede
• Configurar a conta de serviço do NDES
• Configurar a função NDES e modelos de certificado
• Create um Proxy de Aplicativo Web para a URL interna do NDES
• Registrar-se para um certificado de autenticação NDES-Intune
• Configurar o Certificado do Servidor Web para NDES
• Verificar a configuração

Instalar a função Serviços de Registro de Dispositivo de Rede

Instale a função Serviço de Registro de Dispositivo de Rede em um computador diferente da autoridade de certificado emissora.

Entre na autoridade de certificado ou nas estações de trabalho de gerenciamento com uma credencial enterprise Administração equivalente.

1. Abrir Gerenciador do Servidor no servidor NDES

2. Selecione Gerenciar. Selecione Adicionar Funções e Recursos

3. No Assistente de Adicionar Funções e Recursos, na página Antes de começar , selecione Avançar. Selecione Instalação baseada em função ou com base em recursos na página Selecionar tipo de instalação . Selecione Avançar. Selecione Selecionar um servidor no pool de servidores. Selecione o servidor local na lista Pool de Servidores . Selecionar Avançar

   

4. Na página Selecionar funções de servidor, selecioneServiços de Certificado do Active Directory na lista Funções

   

   Selecione Adicionar Recursos na caixa de diálogo Adicionar Funções e Assistente de Recursos . Selecionar Avançar

   

5. Na página Recursos, expanda .NET Framework recursos 3.5. Selecione Ativação HTTP. Selecione Adicionar Recursos na caixa de diálogo Adicionar Funções e Assistente de Recursos . Expanda .NET Framework recursos 4.5. Expanda os Serviços WCF. Selecione Ativação HTTP. Selecione Adicionar Recursos na caixa de diálogo Adicionar Funções e Assistente de Recursos . Selecionar Avançar

   

6. Na página Selecionar serviços de função, desmarque a caixa autoridade de certificado marcar. Selecione o Serviço de Registro de Dispositivo de Rede. Selecione Adicionar Recursos na caixa de diálogo Adicionar Funções e Assistente de Recursos . Selecionar Avançar

   

7. Selecione Avançar na página Função do Servidor Web (IIS)

8. Na página Selecionar serviços de função para a função Web Serve, selecione os serviços adicionais a seguir se eles ainda não estiverem selecionados e selecione Avançar

   • Filtragem de Solicitação de Segurança > do Servidor > Web
   • Desenvolvimento > de Aplicativos do > Servidor Web ASP.NET 3.5
   • Desenvolvimento > de Aplicativos do > Servidor Web ASP.NET 4.5
   • > Compatibilidade de > gerenciamento do IIS 6 Management IIS 6 Metabase
   • Compatibilidade de > Gerenciamento IIS 6 ferramentas > de gerenciamento do IIS 6

   

9. Selecione Instalar. Quando a instalação for concluída, continue com o próximo procedimento. Não clique em Fechar

   Importante

   .NET Framework 3.5 não está incluído na instalação típica. Se o servidor estiver conectado à Internet, a instalação tentará obter os arquivos usando Windows Update. Se o servidor não estiver conectado à Internet, você precisará especificar um caminho de origem alternativo , como <driveLetter>:\Sources\SxS\

   

Configurar a conta de serviço do NDES

Essa tarefa adiciona a conta de serviço do NDES ao grupo de IIS_USRS local. A tarefa também configura a conta de serviço do NDES para autenticação e delegação kerberos

Adicionar a conta de serviço do NDES ao grupo IIS_USRS

Entre no servidor NDES com acesso equivalente ao administrador local.

1. Iniciar o console de gerenciamento de Usuários e Grupos Locais (lusrmgr.msc)
2. Selecione Grupos no painel de navegação. Clique duas vezes no grupo IIS_IUSRS
3. Na caixa de diálogo Propriedades IIS_IUSRS , selecione Adicionar. Digite NDESSvc ou o nome da sua conta de serviço do NDES. Selecione Verificar Nomes para verificar o nome e selecione OK. Selecione OK para fechar a caixa de diálogo propriedades
4. Feche o console de gerenciamento.

Registrar um nome da entidade de serviço na conta do Serviço do NDES

Entre no servidor NDES com acesso equivalente a administradores de domínio.

1. Abrir um prompt de comando elevado

2. Digite o comando a seguir para registrar o nome da entidade de serviço

   setspn -s http/[FqdnOfNdesServer] [DomainName\\NdesServiceAccount]
   

   em que [FqdnOfNdesServer] é o nome de domínio totalmente qualificado do servidor NDES e [DomainName\NdesServiceAccount] é o nome de domínio e o nome da conta de serviço do NDES separados por um backslash (\). Um exemplo do comando se parece com o seguinte:

   setspn -s http/ndes.corp.contoso.com contoso\ndessvc
   

Observação

Se você usar a mesma conta de serviço para vários servidores NDES, repita a tarefa a seguir para cada servidor NDES em que o serviço NDES é executado.

Configurar a conta de serviço do NDES para delegação

O serviço NDES registra certificados em nome dos usuários. Portanto, você deseja limitar as ações que ele pode executar em nome do usuário. Faça isso por meio da delegação.

Entrar em um controlador de domínio com um acesso mínimo equivalente aos Administradores de Domínio.

1. Abra Usuários e Computadores do Active Directory.

2. Localize a conta do Serviço NDES (NDESSvc). Clique com o botão direito do mouse e selecione Propriedades. Selecione a guia Delegação .

   

3. Selecione Confiar neste usuário para delegação somente para serviços especificados

4. Selecione Usar qualquer protocolo de autenticação

5. Selecione Adicionar

6. Selecione Usuários ou Computadores... Digite o nome do servidor NDES que você usa para emitir certificados de autenticação Windows Hello para Empresas para Microsoft Entra dispositivos ingressados. Na lista Serviços disponíveis , selecione HOST. Selecione OK

   

7. Repita as etapas 5 e 6 para cada servidor NDES usando essa conta de serviço. Selecione Adicionar

8. Selecione Usuários ou computadores... Digite o nome da autoridade de certificado emissora que essa conta de serviço do NDES usa para emitir certificados de autenticação Windows Hello para Empresas para Microsoft Entra dispositivos ingressados. Na lista Serviços disponíveis , selecione dcom. Segure a tecla CTRL e selecione HOST. Selecione OK

9. Repita as etapas 8 e 9 para cada autoridade de certificado em emissão da qual um ou mais servidores NDES solicitam certificados

   

10. Clique em OK. Fechar Usuários e Computadores do Active Directory

Configurar os modelos de função e certificado do NDES

Essa tarefa configura a função NDES e os modelos de certificado que o servidor NDES emite.

Configurar a Função NDES

Entre na autoridade de certificado ou nas estações de trabalho de gerenciamento com uma credencial enterprise Administração equivalente.

Observação

Se você fechou o Server Manger do último conjunto de tarefas, comece Gerenciador do Servidor e clique no sinalizador de ação que mostra um ponto de exclamação amarelo.

1. Selecione configurar os Serviços de Certificado do Active Directory no link do servidor de destino

2. Na página Credenciais , selecione Avançar.

   

3. Na página Serviços de Função , selecione Serviço de Registro de Dispositivo de Rede e selecione Avançar

   

4. Na página Conta de Serviço para NDES , selecione Especificar conta de serviço (recomendado). Selecione Selecionar.... Digite o nome de usuário e a senha da conta de serviço do NDES na caixa de diálogo Segurança do Windows. Selecionar Avançar

   

5. Na página AC para NDES , selecione Nome da AC. Selecione Selecionar.... Selecione a autoridade de certificado de emissão da qual o servidor NDES solicita certificados. Selecionar Avançar

   

6. Nas informações de RA, selecione Avançar

7. Na página Criptografia para NDES , selecione Avançar

8. Examine a página Confirmação . Selecione Configurar

   

9. Selecione Fechar após a conclusão da configuração

Configurar modelos de certificado no NDES

Um único servidor NDES pode solicitar um máximo de três modelos de certificado. O servidor NDES determina qual certificado emitir com base na solicitação de certificado de entrada atribuída no Microsoft Intune perfil de certificado SCEP. O perfil de certificado SCEP Microsoft Intune tem três valores.

• Assinatura Digital
• Encipherment de chave
• Key Encipherment, Digital Signature

Cada valor é mapeado para um nome de valor de registro no servidor NDES. O servidor NDES converte um valor fornecido pela SCEP de entrada no modelo de certificado correspondente. A tabela abaixo mostra os valores de perfil SCEP dos nomes de valor do registro de modelo de certificado NDES.

Uso da chave de perfil SCEP	Nome do valor do registro do NDES
Assinatura Digital	SignatureTemplate
Encipherment de chave	EncryptionTemplate
Encipherment de chave Assinatura Digital	GeneralPurposeTemplate

Idealmente, você deve corresponder a solicitação de certificado com o nome do valor do registro para manter a configuração intuitiva (certificados de criptografia usam o modelo de criptografia, certificados de assinatura usam o modelo de assinatura etc.). Um resultado desse design intuitivo é o potencial crescimento exponencial no servidor NDES. Imagine uma organização que precisa emitir nove certificados de assinatura exclusivos em sua empresa.

Se a necessidade surgir, você poderá configurar um certificado de assinatura no nome do valor do registro de criptografia ou um certificado de criptografia no valor do registro de assinatura para maximizar o uso da infraestrutura do NDES. Esse design não intuitivo requer a documentação atual e precisa da configuração para garantir que o perfil de certificado SCEP esteja configurado para registrar o certificado correto, independentemente da finalidade real. Cada organização precisa equilibrar a facilidade de configuração e administração com a infraestrutura adicional do NDES e a sobrecarga de gerenciamento que vem com ela.

Entre no servidor NDES com credenciais equivalentes do administrador local .

1. Abrir um prompt de comando elevado

2. Usando a tabela acima, decida qual nome de valor do registro você usará para solicitar certificados de autenticação Windows Hello para Empresas para Microsoft Entra dispositivos ingressados

3. Digite o seguinte comando:

   reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v [registryValueName] /t REG_SZ /d [certificateTemplateName]
   

   em que RegistryValueName é um dos três nomes de valor da tabela acima e em que certificateTemplateName é o nome do modelo de certificado que você criou para Windows Hello para Empresas Microsoft Entra dispositivos ingressados. Exemplo:

   reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v SignatureTemplate /t REG_SZ /d ENTRAJOINEDWHFBAuthentication
   

4. Digite Y quando o comando pedir permissão para substituir o valor existente

5. Feche o prompt de comando.

Importante

Use o nome do modelo de certificado; não o nome da exibição. O nome do modelo de certificado não inclui espaços. Você pode exibir os nomes de certificado olhando para a guia Geral das propriedades do modelo de certificado nos Modelos de Certificados console de gerenciamento (certtmpl.msc).

Create um Proxy de Aplicativo Web para a URL interna do NDES.

O registro de certificado para Microsoft Entra dispositivos ingressados ocorre pela Internet. Como resultado, as URLs internas do NDES devem estar acessíveis externamente. Você pode fazer isso com facilidade e segurança usando Microsoft Entra proxy de aplicativo. Microsoft Entra proxy de aplicativo fornece logon único e acesso remoto seguro para aplicativos Web hospedados localmente, como Serviços de Registro de Dispositivo de Rede.

Idealmente, você configura seu perfil de certificado SCEP Microsoft Intune para usar várias URLs externas do NDES. Isso permite que Microsoft Intune balancee a carga de round-robin as solicitações de certificado para servidores NDES configurados de forma idêntica (cada servidor NDES pode acomodar aproximadamente 300 solicitações simultâneas). Microsoft Intune envia essas solicitações para Microsoft Entra Proxies de Aplicativo.

Microsoft Entra proxies de aplicativo são atendidos por agentes leves Proxy de Aplicativo Conector. Consulte O que é Proxy de Aplicativo para obter mais detalhes. Esses agentes são instalados em dispositivos ingressados no local e fazem conexão de saída segura autenticada com o Azure, aguardando para processar solicitações de Microsoft Entra Proxies de Aplicativo. Você pode criar grupos de conectores no Microsoft Entra ID para atribuir conectores específicos a aplicativos específicos do serviço.

Grupo de conectores automaticamente round-robin, balancee a carga Microsoft Entra solicitações de proxy de aplicativo para os conectores dentro do grupo de conectores atribuído. Isso garante que Windows Hello para Empresas solicitações de certificado tenham vários conectores de proxy de aplicativo Microsoft Entra dedicados exclusivamente disponíveis para atender às solicitações de registro. O balanceamento de carga dos servidores e conectores do NDES deve garantir que os usuários registrem seus certificados de Windows Hello para Empresas em tempo hábil.

Baixar e Instalar o Agente do Conector Proxy de Aplicativo

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

1. Entrar no portal do Azure com acesso equivalente ao Administrador Global
2. Selecione Todos os serviços. Digite Microsoft Entra ID para filtrar a lista de serviços. Em SERVIÇOs, selecione Microsoft Entra ID
3. Em GERENCIAR, selecione Proxy de aplicativo
4. Selecione Baixar serviço de conector. Selecione Aceitar termos & Baixar. Salve o arquivo (AADApplicationProxyConnectorInstaller.exe) em um local acessível por outras pessoas no domínio
5. Entrar no computador que executará o conector com acesso equivalente a um usuário de domínio

   Importante

   Instale um mínimo de dois conectores proxy Microsoft Entra ID para cada Proxy de Aplicativo do NDES. Localize estrategicamente Microsoft Entra conectores de proxy de aplicativo em toda a sua organização para garantir a disponibilidade máxima. Lembre-se de que os dispositivos que executam o conector devem ser capazes de se comunicar com o Azure e os servidores NDES locais

6. Iniciar AADApplicationProxyConnectorInstaller.exe
7. Leia os termos da licença e selecione Concordo com os termos e condições da licença. Selecione Instalar
8. Entrar no Microsoft Azure com acesso equivalente ao Administrador Global
9. Quando a instalação for concluída. Leia as informações sobre servidores proxy de saída. Selecione Fechar
10. Repita as etapas 5 a 10 para cada dispositivo que executará o conector proxy do aplicativo Microsoft Entra para implantações de certificado Windows Hello para Empresas

Create um grupo de conectores

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

1. Entrar no portal do Azure com acesso equivalente ao Administrador Global

2. Selecione Todos os serviços. Digite Microsoft Entra ID para filtrar a lista de serviços. Em SERVIÇOs, selecione Microsoft Entra ID

3. Em GERENCIAR, selecione Proxy de aplicativo.

   

4. Selecione Novo Grupo de Conectores. Em Nome, digite Conectores WHFB do NDES.

   

5. Selecione cada agente conector na lista Conectores que atenderá Windows Hello para Empresas solicitações de registro de certificado

6. Selecione Salvar.

Create o Proxy de Aplicativo Azure

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

1. Entrar no portal do Azure com acesso equivalente ao Administrador Global

2. Selecione Todos os serviços. Digite Microsoft Entra ID para filtrar a lista de serviços. Em SERVIÇOs, selecione Microsoft Entra ID

3. Em GERENCIAR, selecione Proxy de aplicativo

4. Selecione Configurar um aplicativo

5. Em Configurações Básicas ao lado de Nome, digite WHFB NDES 01. Escolha um nome que correlaciona essa configuração de proxy de aplicativo Microsoft Entra com o servidor NDES local. Cada servidor NDES deve ter seu próprio proxy de aplicativo Microsoft Entra, pois dois servidores NDES não podem compartilhar a mesma URL interna

6. Ao lado da URL Interna, digite o nome DNS interno e totalmente qualificado do servidor NDES associado a esse proxy de aplicativo Microsoft Entra. Por exemplo, https://ndes.corp.mstepdemo.net. Você precisa corresponder ao nome do host primário (nome da Conta de Computador do AD) do servidor NDES e prefixar a URL com https

7. Em URL Interna, selecione https:// na primeira lista. Na caixa de texto ao lado de https://, digite o nome do host que você deseja usar como seu nome de host externo para o proxy do aplicativo Microsoft Entra. Na lista ao lado do nome do host que você digitou, selecione um sufixo DNS que você deseja usar externamente para o proxy do aplicativo Microsoft Entra. É recomendável usar o padrão , -[tenantName].msapproxy.net em que [tenantName] é o nome do locatário Microsoft Entra atual (-mstephendemo.msappproxy.net).

   

8. Selecione Passagem na lista pré-autenticação

9. Selecione Conectores WHFB do NDES na lista Grupo de Conectores

10. Em Configurações Adicionais, selecione Padrão no tempo limite do aplicativo de back-end. Na seção Traduzir URLs, selecione Sim ao lado de Cabeçalhos e selecione Não ao lado do Corpo do Aplicativo

11. Selecione Adicionar

12. Saia do Portal do Azure.

    Importante

    Anote as URLs internas e externas. Você precisará dessas informações ao registrar o certificado NDES-Intune Autenticação.

Registrar o certificado de Autenticação NDES-Intune

Essa tarefa registra um certificado de autenticação de cliente e servidor usado pelo conector Intune e pelo servidor NDES.

Entre no servidor NDES com acesso equivalente a administradores locais.

1. Iniciar o Gerenciador de Certificados de Computador Local (certlm.msc)

2. Expandir o nó Pessoal no painel de navegação

3. Clique com o botão direito em Pessoal. Selecione Todas as tarefas e solicite novo certificado

4. Selecione Avançar na página Antes de Começar

5. Selecione Avançar na página Selecionar Política de Registro de Certificado

6. Na página Certificados de Solicitação, selecione a caixa marcar autenticação Intune NDES

7. Selecione as mais informações necessárias para se inscrever para este certificado. Clique aqui para configurar o link de configurações

   

8. Em Nome do assunto, selecione Nome comum na lista Tipo. Digite a URL interna usada na tarefa anterior (sem o https://, por exemplo , ndes.corp.mstepdemo.net) e selecione Adicionar

9. Em Nome alternativo, selecione DNS na lista Tipo. Digite a URL interna usada na tarefa anterior (sem o https://, por exemplo , ndes.corp.mstepdemo.net). Selecione Adicionar. Digite a URL externa usada na tarefa anterior (sem o https://, por exemplo , ndes-mstephendemo.msappproxy.net). Selecione Adicionar. Selecione OK quando terminar

10. Selecionar Registrar

11. Repita estas etapas para todos os servidores NDES usados para solicitar certificados de autenticação Windows Hello para Empresas para dispositivos ingressados Microsoft Entra

Configurar a Função do Servidor Web

Essa tarefa configura a função servidor Web no servidor NDES para usar o certificado de autenticação do servidor.

Entre no servidor NDES com acesso equivalente ao administrador local.

1. Iniciar o Gerenciador de Serviços de Informações da Internet (IIS) a partir de Ferramentas Administrativas

2. Expanda o nó que tem o nome do servidor NDES. Expandir Sites e selecionar Site Web Padrão

   

3. Selecione Associações... em Ações. Selecione Adicionar.

   

4. Selecione https no Type. Confirmar que o valor da porta é 443

5. Selecione o certificado registrado anteriormente na lista de certificados SSL . Selecione OK

   

6. Selecione http na lista Associações de Sites . Selecione Remover

7. Selecione Fechar na caixa de diálogo Associações do Site

8. Fechar o Gerenciador de Serviços de Informações da Internet (IIS)

Verificar a configuração

Essa tarefa confirma a configuração do TLS para o servidor NDES.

Entre no servidor NDES com acesso equivalente ao administrador local.

Desabilitar a Configuração de Segurança Aprimorada Explorer internet

1. Abra Gerenciador do Servidor. Selecione Servidor Local no painel de navegação
2. Selecione Em ao lado da Configuração de Segurança Aprimorada do IE na seção Propriedades
3. Na caixa de diálogo Configuração de Segurança Aprimorada Explorer Internet, em Administradores, selecione Desativar. Selecione OK
4. Fechar Gerenciador do Servidor

Testar o servidor Web do NDES

1. Abrir Explorer da Internet

2. Na barra de navegação, digite

   https://[fqdnHostName]/certsrv/mscep/mscep.dll
   

   em que [fqdnHostName] é o nome de host DNS interno totalmente qualificado do servidor NDES.

Uma página da Web semelhante à seguinte deve ser exibida no navegador da Web. Se você não vir uma página semelhante ou receber uma mensagem de Serviço 503 indisponível , verifique se a conta do Serviço NDES tem os direitos de usuário adequados. Você também pode examinar o log de eventos de aplicativo para eventos com a fonte NetworkDeviceEnrollmentService .

Confirme se o site usa o certificado de autenticação do servidor.

Configurar os Serviços de Registro de Dispositivo de Rede para trabalhar com Microsoft Intune

Você configurou com êxito os Serviços de Registro de Dispositivo de Rede. Agora você deve modificar a configuração para trabalhar com o Conector de Certificado Intune. Nesta tarefa, você habilitará o servidor NDES e http.sys para lidar com URLs longas.

• Configurar o NDES para dar suporte a URLs longas

Configurar NDES e HTTP para dar suporte a URLs longas

Entre no servidor NDES com acesso equivalente ao administrador local.

Configurar o Site Da Web Padrão

1. Iniciar o Gerenciador de Serviços de Informações da Internet (IIS) a partir de Ferramentas Administrativas

2. Expanda o nó que tem o nome do servidor NDES. Expandir Sites e selecionar Site Web Padrão

3. No painel de conteúdo, clique duas vezes em Filtragem de Solicitações. Selecione Editar Configurações de Recurso... no painel de ação

   

4. Selecione Permitir extensões de nome de arquivo não listadas

5. Selecione Permitir verbos não listados

6. Selecione Permitir caracteres de bit alto

7. Tipo 30000000 em Comprimento máximo de conteúdo permitido (Bytes)

8. Tipo 65534 no comprimento máximo da URL (Bytes)

9. Tipo 65534 na cadeia de caracteres de consulta máxima (Bytes)

10. Clique em OK. Fechar o Gerenciador de Serviços de Informações da Internet (IIS)

Configurar parâmetros para HTTP.SYS

1. Abrir um prompt de comando elevado

2. Execute os seguintes comandos:

   reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxFieldLength /t REG_DWORD /d 65534
   reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxRequestBytes /t REG_DWORD /d 65534
   

3. Reiniciar o servidor NDES

Baixar, instalar e configurar o conector de certificado Intune

O aplicativo Intune Certificate Connector permite que Microsoft Intune registre certificados usando seu PKI local para usuários em dispositivos gerenciados por Microsoft Intune.

Para saber como baixar, instalar e configurar o Conector de Certificado Intune, consulte Instalar o Conector de Certificado para Microsoft Intune.

Configurar o Conector do NDES para revogação de certificado (opcional)

Opcionalmente (não obrigatório), você pode configurar o conector Intune para revogação de certificado quando um dispositivo é apagado, não registrado ou quando o perfil de certificado fica fora do escopo do usuário de destino (os usuários são removidos, excluídos ou o perfil é excluído). Você precisa selecionar a opção Revogação de Certificado durante a configuração do conector para habilitar a revogação automática de certificados para certificados emitidos de uma Autoridade de Certificação do Microsoft Active Directory. Além disso, você precisa habilitar a conta do Serviço NDES para revogação.

1. Entrar na autoridade de certificado usada pelo Conector do NDES com acesso equivalente ao administrador de domínio

2. Iniciar o console de gerenciamento da Autoridade de Certificação

3. No painel de navegação, clique com o botão direito do mouse no nome da autoridade de certificado e selecione Propriedades

4. Selecione a guia Segurança e selecione Adicionar. Na caixa Inserir os nomes de objeto a serem selecionados , insira NDESSvc (ou o nome que você deu à conta do Serviço NDES). Selecione Verificar Nomes e, em seguida, selecione OK. Selecione a conta do Serviço NDES na lista Nomes de usuário ou grupo . Selecione Permitir para a permissão Emitir e Gerenciar Certificados . Selecione OK

   

5. Fechar a Autoridade de Certificação

Create e atribuir um perfil de certificado scep (protocolo de registro de certificado simples)

Create um grupo de usuários de certificado WHFB ingressado no ENTRA

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

1. Entrar no portal do Azure com acesso equivalente ao Administrador Global

2. Selecione Todos os serviços. Digite Microsoft Entra ID para filtrar a lista de serviços. Em SERVIÇOs, selecione Microsoft Entra ID

3. Selecione Grupos. Selecionar Novo grupo

4. Selecione Segurança na lista Tipo de grupo

5. Em Nome do Grupo, digite o nome do grupo. Por exemplo, usuários de certificado WHFB ingressados no ENTRA

6. Fornecer uma descrição de grupo, se aplicável

7. Selecione Atribuído na lista de tipos de associação

   

8. Selecione Membros. Use o painel Selecionar membros para adicionar membros a esse grupo. Quando terminar, selecione Selecionar

9. Selecione Criar.

Create um perfil de certificado SCEP

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

1. Entre no centro de administração do Microsoft Intune
2. Selecione Dispositivos e selecione Perfis de Configuração
3. Selecione Create Perfil.
4. Selecione Windows 10 e posterior na lista Plataforma
5. Escolha certificado SCEP na lista Perfil e selecione Create
6. O assistente de certificado SCEP deve ser aberto. Ao lado de Nome, digite Registro de Certificado WHFB
7. Ao lado de Description, forneça uma descrição significativa para seu ambiente e selecione Avançar
8. Selecionar Usuário como um tipo de certificado
9. Configure o período de validade do certificado para corresponder à sua organização.

   Importante

   Lembre-se de que você precisa configurar sua autoridade de certificado para permitir que Microsoft Intune configure a validade do certificado

10. Selecione Registrar para Windows Hello para Empresas, caso contrário, falha (Windows 10 e posterior) na lista KSP (provedor de armazenamento de chaves)
11. Ao lado do formato nome da entidade, digiteCN={{OnPrem_Distinguished_Name}} para tornar o nome diferenciado local o assunto do certificado emitido

    Observação

    Se o nome distinto contiver caracteres especiais como um sinal de adição ("+"), vírgula (","), ponto e vírgula (";"), ou sinal igual ("="), o nome entre colchetes deverá estar entre aspas: CN="{{OnPrem_Distinguished_Name}}".

    Se o comprimento do nome diferenciado for de mais de 64 caracteres, a aplicação do comprimento do nome na Autoridade de Certificação deverá ser desabilitada.

12. Especifique o UPN (Nome da Entidade de Usuário) como um parâmetro nome alternativo do assunto . Defina seu valor como {{UserPrincipalName}}
13. Consulte a tarefa "Configurar modelos de certificado no NDES" para saber como você configurou o modelo de certificado DE AUTENTICAÇÃO WHFB INGRESSADO no registro. Selecione a combinação apropriada de usos de chave na lista Usos de Chaves que mapeiam para o modelo NDES configurado no registro. Neste exemplo, o modelo de certificado DE AUTENTICAÇÃO WHFB INGRESSADO foi adicionado ao nome do valor do registro SignatureTemplate . O uso da chave que mapeia para esse nome de valor de registro é Assinatura Digital
14. Selecione um perfil de certificado confiável configurado anteriormente que corresponda ao certificado raiz da autoridade de certificado emissor como um certificado raiz para o perfil
15. Em Uso de chave estendida, digite Logon de Cartão Inteligente em Nome. Digite 1.3.6.1.4.1.311.20.2.2 em Identificador de objeto. Selecione Adicionar
16. Digite uma porcentagem (sem o sinal percentual) ao lado do Limite de Renovação para determinar quando o certificado deve tentar renovar. O valor recomendado é 20
17. Em URLs do SERVIDOR SCEP, digite o nome externo totalmente qualificado do proxy de aplicativo Microsoft Entra configurado. Acrescentar ao nome /certsrv/mscep/mscep.dll. Por exemplo, https://ndes-mtephendemo.msappproxy.net/certsrv/mscep/mscep.dll. Selecione Adicionar. Repita esta etapa para cada proxy de aplicativo NDES Microsoft Entra adicional que você configurou para emitir certificados Windows Hello para Empresas. Microsoft Intune solicitações de balanceamento de carga de round-robin entre as URLs listadas no perfil de certificado SCEP
18. Selecionar Avançar
19. Selecione Avançar várias vezes para ignorar as etapas Marcas de Escopo, Atribuições e Regras de Aplicabilidade do assistente e selecione Create

Atribuir grupo ao perfil de certificado de registro de certificado WHFB

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

1. Entrar no centro de administração do Microsoft Intune
2. Selecione Dispositivos e selecione Perfis de Configuração
3. Selecionar Registro de Certificado WHFB
4. Selecione Propriedades e selecione Editar ao lado da seção Atribuições
5. No painel Atribuições , selecione Grupos Selecionados na lista Atribuir a . Selecione Selecionar grupos a serem incluídos.
6. Selecione o grupo USUÁRIOS DE Certificado WHFB INGRESSADOS . Selecione Selecionar
7. Selecione Examinar + Salvar e, em seguida, Salvar

Você concluiu com êxito a configuração. Adicione usuários que precisam registrar um certificado de autenticação Windows Hello para Empresas ao grupo DE USUÁRIOS DE CERTIFICADO WHFB INGRESSADOS. Esse grupo, combinado com o registro do dispositivo Windows Hello para Empresas configuração solicita que o usuário se registre para Windows Hello para Empresas e registre um certificado que pode ser usado para autenticação em recursos locais.

Observação

O CSP (provedor de serviços de configuração do Passport for Work) usado para gerenciar Windows Hello para Empresas com o MDM (Mobile Gerenciamento de Dispositivos) contém uma política chamada UseCertificateForOnPremAuth. Essa política não é necessária ao implantar certificados para Windows Hello para Empresas usuários por meio das instruções descritas neste documento e não deve ser configurada. Dispositivos gerenciados com MDM em que UseCertificateForOnPremAuth está habilitado falharão em um marcar de pré-requisito para Windows Hello para Empresas provisionamento. Essa falha impedirá que os usuários configurem Windows Hello para Empresas se ainda não o tiverem configurado.

Revisão da seção

• Requisitos
• Preparar Microsoft Entra Conectar
• Preparar a conta de serviço dos Serviços de Registro de Dispositivo de Rede (NDES)
• Preparar a Autoridade de Certificado do Active Directory
• Instalar e configurar a função NDES
• Configurar os Serviços de Registro de Dispositivo de Rede para trabalhar com Microsoft Intune
• Baixar, Instalar e Configurar o Conector de Certificado Intune
• Create e atribuir um protocolo de registro de certificado simples (perfil de certificado SCEP)