Guia de implantação de confiança do Cloud Kerberos

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

• Tipo de implantação:
• Tipo dekerberos na nuvem de autenticação de certificado
• Tipo de junção: Microsoft Entra ingressar, Microsoft Entra junção híbrida

---

Requisitos

Antes de iniciar a implantação, examine os requisitos descritos no artigo Planejar um Windows Hello para Empresas Implantação.

Verifique se os seguintes requisitos são atendidos antes de começar:

• Authentication
• Configuração do dispositivo
• Requisitos do Windows
• Requisitos do Windows Server
• Preparar usuários para usar Windows Hello

Importante

Ao implementar o modelo de implantação de confiança kerberos na nuvem, você deve garantir que você tenha um número adequado de controladores de domínio de gravação de leitura em cada site do Active Directory em que os usuários serão autenticados com Windows Hello para Empresas. Para obter mais informações, consulte Planejamento de capacidade para o Active Directory.

Etapas de implantação

Depois que os pré-requisitos forem atendidos, a implantação de Windows Hello para Empresas consiste nas seguintes etapas:

• Implantar Microsoft Entra Kerberos
• Definir as configurações de política do Windows Hello para Empresas
• Registrar-se em Windows Hello para Empresas

Implantar Microsoft Entra Kerberos

Se você já implantou o SSO local para entrada de chave de segurança sem senha, Microsoft Entra Kerberos já estiver implantado em sua organização. Você não precisa reimplantar ou alterar a implantação do Kerberos Microsoft Entra existente para dar suporte a Windows Hello para Empresas e pode pular para a seção Configurar Windows Hello para Empresas configurações de política.

Se você ainda não implantou Microsoft Entra Kerberos, siga as instruções na documentação Habilitar entrada de chave de segurança sem senha. Esta página inclui informações sobre como instalar e usar o módulo Microsoft Entra Kerberos PowerShell. Use o módulo para criar um Microsoft Entra objeto de servidor Kerberos para os domínios em que você deseja usar Windows Hello para Empresas confiança kerberos na nuvem.

Microsoft Entra Kerberos e a autenticação de confiança do Kerberos na nuvem

Quando Microsoft Entra Kerberos está habilitado em um domínio do Active Directory, um objeto de computador do AzureADKerberos é criado no domínio. Este objeto:

• Aparece como um objeto RODC (controlador de domínio somente leitura), mas não está associado a nenhum servidor físico

• É usado apenas por Microsoft Entra ID para gerar TGTs para o domínio do Active Directory

  Observação

  Regras e restrições semelhantes usadas para RODCs se aplicam ao objeto de computador AzureADKerberos. Por exemplo, usuários que são membros diretos ou indiretos de grupos de segurança internos privados não poderão usar a confiança kerberos na nuvem.

Para obter mais informações sobre como Microsoft Entra Kerberos trabalha com Windows Hello para Empresas confiança kerberos na nuvem, consulte Windows Hello para Empresas mergulho profundo técnico de autenticação.

Observação

A Política de Replicação de Senha padrão configurada no objeto de computador AzureADKerberos não permite assinar contas de alto privilégio em recursos locais com a confiança kerberos na nuvem ou chaves de segurança FIDO2.

Devido a possíveis vetores de ataque do Microsoft Entra ID ao Active Directory, não é recomendável desbloquear essas contas relaxando a Política de Replicação de Senha do objeto CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>do computador .

Definir as configurações de política do Windows Hello para Empresas

Depois de configurar o objeto Kerberos Microsoft Entra, o Windows Hello para empresas deve ser habilitado e configurado para usar a confiança kerberos na nuvem. Há duas configurações de política necessárias para configurar Windows Hello para Empresas em um modelo de confiança kerberos de nuvem:

• Usar o Windows Hello para Empresas
• Usar a confiança na nuvem para autenticação local

Outra configuração opcional, mas recomendada, de política é:

• Usar um dispositivo de segurança de hardware

Importante

Se o certificado Use para a política de autenticação local estiver habilitado, a confiança do certificado terá precedência sobre a confiança kerberos na nuvem. Verifique se os computadores que você deseja habilitar a confiança kerberos na nuvem não estão configurados.

As instruções a seguir explicam como configurar seus dispositivos usando Microsoft Intune ou GPO (política de grupo).

Intune/CSP

Observação

Examine o artigo Configurar Windows Hello para Empresas usando Microsoft Intune para saber mais sobre as diferentes opções oferecidas pelo Microsoft Intune para configurar Windows Hello para Empresas.

Se o Intune política em todo o locatário estiver habilitado e configurado para suas necessidades, você só precisará habilitar a configuração de política Use Cloud Trust For On Prem Auth. Caso contrário, ambas as configurações devem ser configuradas.

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:

Categoria	Nome da configuração	Valor
Windows Hello para Empresas	Usar o Passport for Work	true
Windows Hello para Empresas	Usar o Cloud Trust for On Prem Auth	Habilitado
Windows Hello para Empresas	Exigir dispositivo de segurança	true

Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.

Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP PassportForWork.

Configuração
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Tipo de dados:bool - Valor:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth - Tipo de dados:bool - Valor:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Tipo de dados:bool - Valor:True

GPO

Você pode configurar a configuração Usar Windows Hello para Empresas política no computador ou no nó de usuário de um GPO:

• A implantação da configuração da política de nó do computador resulta em todos os usuários que entrarem nos dispositivos de destino para tentar um registro de Windows Hello para Empresas
• A implantação da configuração da política de nó de usuário resulta apenas nos usuários direcionados para tentar um registro de Windows Hello para Empresas

Se as configurações de política de computador e do usuário são implantadas, a configuração de política de usuário tem precedência.

Observação

A confiança do Kerberos na nuvem requer a configuração de uma política dedicada para que ela seja habilitada. Essa configuração de política só está disponível como uma configuração de computador.

Talvez seja necessário atualizar suas definições de Política de Grupo para poder configurar a política de confiança kerberos de nuvem. Você pode copiar os arquivos ADMX e ADML de um cliente Windows que dá suporte à confiança do Kerberos na nuvem para a respectiva pasta de idioma em seu servidor de gerenciamento Política de Grupo. Windows Hello para Empresas configurações estão nos arquivos Passport.admx e Passport.adml.

Você também pode criar um Política de Grupo Central Store e copiá-los da respectiva pasta de idioma. Para obter mais informações, consulte Como criar e gerenciar o Repositório Central para Modelos Administrativos de Política de Grupo no Windows.

Para configurar um dispositivo com política de grupo, use a Política de Grupo Editor Local. Para configurar vários dispositivos ingressados no Active Directory, crie ou edite um GPO (objeto de política de grupo) e use as seguintes configurações:

Caminho da política de grupo	Configuração de política de grupo	Valor
Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do usuário\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas	Usar o Windows Hello para Empresas	Habilitada
Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Hello para Empresas	Usar a confiança kerberos na nuvem para autenticação local	Habilitada
Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Hello para Empresas	Usar um dispositivo de segurança de hardware	Habilitada

As políticas de grupo podem ser vinculadas a domínios ou unidades organizacionais, filtradas usando grupos de segurança ou filtradas usando filtros WMI.

Dica

A melhor maneira de implantar o GPO Windows Hello para Empresas é usar a filtragem de grupo de segurança. Somente os membros do grupo de segurança de destino provisionarão Windows Hello para Empresas, habilitando uma distribuição em fases. Essa solução permite vincular o GPO ao domínio, garantindo que o GPO seja escopo para todas as entidades de segurança. A filtragem do grupo de segurança garante que apenas os membros do grupo global recebam e apliquem o GPO, o que resulta no provisionamento de Windows Hello para Empresas.

Se você implantar Windows Hello para Empresas configuração usando Política de Grupo e Intune, Política de Grupo configurações têm precedência e Intune configurações serão ignoradas. Para obter mais informações sobre conflitos políticos, consulte Conflitos de política de várias fontes de política.

Mais configurações de política podem ser configuradas para controlar o comportamento de Windows Hello para Empresas. Para obter mais informações, consulte Windows Hello para Empresas configurações de política.

Registrar-se em Windows Hello para Empresas

O processo de provisionamento Windows Hello para Empresas começa imediatamente após a entrada de um usuário, se as verificações de pré-requisitos forem aprovadas. Windows Hello para Empresas confiança kerberos na nuvem adiciona um marcar de pré-requisito para Microsoft Entra dispositivos híbridos ingressados quando a confiança kerberos na nuvem é habilitada pela política.

Você pode determinar o status do marcar do pré-requisito exibindo o log de administrador do Registro de Dispositivo de Usuário em Logs de Aplicativos e Serviços>Microsoft>Windows.
Essas informações também estão disponíveis usando o dsregcmd.exe /status comando de um console. Para obter mais informações, consulte dsregcmd.

O pré-requisito de confiança kerberos de nuvem marcar detecta se o usuário tem um TGT parcial antes de permitir o início do provisionamento. A finalidade desse marcar é validar se Microsoft Entra Kerberos está configurado para o domínio e o locatário do usuário. Se Microsoft Entra Kerberos estiver configurado, o usuário receberá um TGT parcial durante a entrada com um de seus outros métodos de desbloqueio. Este marcar tem três estados: Sim, Não e Não Testado. O estado Não Testado é relatado se a confiança kerberos na nuvem não for imposta pela política ou se o dispositivo estiver Microsoft Entra ingressado.

Observação

O pré-requisito de confiança kerberos de nuvem marcar não é feito em Microsoft Entra dispositivos ingressados. Se Microsoft Entra Kerberos não for provisionado, um usuário em um dispositivo Microsoft Entra ingressado ainda poderá entrar, mas não terá o SSO para recursos locais protegidos pelo Active Directory.

Experiência do usuário

Depois que um usuário entra, o processo de registro Windows Hello para Empresas começa:

1. Se o dispositivo der suporte à autenticação biométrica, o usuário será solicitado a configurar um gesto biométrico. Esse gesto pode ser usado para desbloquear o dispositivo e autenticar-se em recursos que exigem Windows Hello para Empresas. O usuário pode ignorar essa etapa se não quiser configurar um gesto biométrico
2. O usuário é solicitado a usar Windows Hello com a conta da organização. O usuário seleciona OK
3. O fluxo de provisionamento prossegue para a parte de autenticação multifator do registro. O provisionamento informa ao usuário que ele está ativamente tentando contatar o usuário por meio de sua forma configurada de MFA. O processo de provisionamento não prossegue até que a autenticação seja bem-sucedida, falhe ou tenha um tempo limite. Uma MFA com falha ou tempo limite resulta em um erro e pede que o usuário tente novamente
4. Após um MFA bem-sucedido, o fluxo de provisionamento pede ao usuário para criar e validar um PIN. Esse PIN deve observar quaisquer políticas de complexidade pin configuradas no dispositivo
5. O restante do provisionamento inclui o Windows Hello para Empresas, que solicita um par de chaves assimétricas para o usuário, preferencialmente do TPM (ou obrigatório se definido explicitamente por meio da política). Depois que o par de chaves é adquirido, o Windows se comunica com o IdP para registrar a chave pública. Quando o registro de chave é concluído, Windows Hello para Empresas provisionamento informa ao usuário que ele pode usar seu PIN para entrar. O usuário pode fechar o aplicativo de provisionamento e acessar sua área de trabalho

Depois que um usuário conclui o registro com confiança kerberos na nuvem, o gesto Windows Hello pode ser usado imediatamente para entrada. Em um Microsoft Entra dispositivo híbrido ingressado, o primeiro uso do PIN requer linha de visão para um DC. Depois que o usuário entra ou desbloqueia com o DC, a entrada em cache pode ser usada para desbloqueios subsequentes sem linha de visão ou conectividade de rede.

Após o registro, Microsoft Entra Connect sincroniza a chave do usuário de Microsoft Entra ID para o Active Directory.

Diagramas de sequência

Para entender melhor os fluxos de provisionamento, examine os seguintes diagramas de sequência com base no tipo de junção e autenticação do dispositivo:

• Provisionamento para dispositivos ingressados Microsoft Entra com autenticação gerenciada
• Provisionamento para dispositivos ingressados Microsoft Entra com autenticação federada
• Provisionamento em um modelo de implantação de confiança kerberos de nuvem com autenticação gerenciada

Para entender melhor os fluxos de autenticação, examine o seguinte diagrama de sequência:

• Microsoft Entra autenticação de junção ao Active Directory usando a confiança kerberos na nuvem

Migrar do modelo de implantação de confiança chave para a confiança kerberos na nuvem

Se você implantou Windows Hello para Empresas usando o modelo de confiança chave e deseja migrar para o modelo de confiança kerberos de nuvem, siga estas etapas:

1. Configurar Microsoft Entra Kerberos em seu ambiente híbrido
2. Habilitar a confiança do Kerberos na nuvem por meio de Política de Grupo ou Intune
3. Para Microsoft Entra dispositivos ingressados, entre e entre no dispositivo usando Windows Hello para Empresas

Observação

Para Microsoft Entra dispositivos híbridos ingressados, os usuários devem executar o primeiro logon com novas credenciais enquanto têm linha de visão para um DC.

Migrar do modelo de implantação de confiança de certificado para a confiança kerberos na nuvem

Importante

Não há nenhum caminho de migração direta de uma implantação de confiança de certificado para uma implantação de confiança kerberos na nuvem. O contêiner Windows Hello deve ser excluído antes que você possa migrar para a nuvem kerberos trust.

Se você implantou Windows Hello para Empresas usando o modelo de confiança de certificado e deseja usar o modelo de confiança kerberos de nuvem, deverá reimplantar Windows Hello para Empresas seguindo estas etapas:

1. Desabilitar a política de confiança do certificado
2. Habilitar a confiança do Kerberos na nuvem por meio de Política de Grupo ou Intune
3. Remover a credencial de confiança do certificado usando o comando certutil.exe -deletehellocontainer do contexto do usuário
4. Sair e entrar novamente
5. Provisionar Windows Hello para Empresas usando um método de sua escolha

Observação

Para Microsoft Entra dispositivos híbridos ingressados, os usuários devem executar o primeiro logon com novas credenciais enquanto têm linha de visão para um DC.

Perguntas frequentes

Para obter uma lista de perguntas frequentes sobre Windows Hello para Empresas confiança kerberos na nuvem, consulte Windows Hello para Empresas Perguntas frequentes.

Cenários sem suporte

Não há suporte para os seguintes cenários usando Windows Hello para Empresas confiança kerberos na nuvem:

• Cenários RDP/VDI usando credenciais fornecidas (RDP/VDI podem ser usados com o Remote Credential Guard ou se um certificado for registrado no contêiner Windows Hello para Empresas)
• Usando a confiança kerberos de nuvem para Executar como
• Entrar com a confiança kerberos na nuvem em um Microsoft Entra dispositivo híbrido ingressado sem entrar anteriormente com conectividade DC