Guia de implantação de confiança de certificado híbrido

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

• Tipo de implantação:
• Tipo de
• Tipo de junção: Microsoft Entra ingressar, Microsoft Entra junção híbrida

---

Importante

Windows Hello para Empresas confiança kerberos na nuvem é o modelo de implantação recomendado quando comparado ao modelo de confiança chave. Ele também é o modelo de implantação recomendado se você não precisar implantar certificados para os usuários finais. Para obter mais informações, consulte implantação de confiança do Kerberos na nuvem.

Requisitos

Antes de iniciar a implantação, examine os requisitos descritos no artigo Planejar um Windows Hello para Empresas Implantação.

Verifique se os seguintes requisitos são atendidos antes de começar:

• Infraestrutura de chave pública
• Authentication
• Configuração do dispositivo
• Licenciamento para serviços de nuvem
• Preparar usuários para usar Windows Hello

Etapas de implantação

Depois que os pré-requisitos forem atendidos, a implantação de Windows Hello para Empresas consiste nas seguintes etapas:

• Configurar e validar a Infraestrutura de Chave Pública
• Configurar Serviços de Federação do Active Directory (AD FS)
• Configurar e registrar-se no Windows Hello para Empresas
• (opcional) Configurar logon único para dispositivos ingressados Microsoft Entra

Autenticação federada para Microsoft Entra ID

Windows Hello para Empresas confiança de certificado híbrido exige que o Active Directory seja federado com Microsoft Entra ID usando o AD FS. Você também deve configurar o farm do AD FS para dar suporte a dispositivos registrados do Azure.

Se você for novo no AD FS e nos serviços de federação:

• Examine os principais conceitos do AD FS antes de implantar o farm do AD FS
• Examine o guia de design do AD FS para projetar e planejar seu serviço de federação

Depois de ter o design do AD FS pronto, examine a implantação de um farm de servidores de federação para configurar o AD FS em seu ambiente

O farm do AD FS usado com o Windows Hello para Empresas deve ser o Windows Server 2016 com a atualização mínima KB4088889 (14393.2155).

Registro de dispositivo e write-back do dispositivo

Os dispositivos Windows devem ser registrados no Microsoft Entra ID. Os dispositivos podem ser registrados em Microsoft Entra ID usando Microsoft Entra junção ou Microsoft Entra junção híbrida.
Para Microsoft Entra dispositivos híbridos ingressados, examine as diretrizes sobre o plano Microsoft Entra página de implementação de junção híbrida.

Consulte o guia Configurar Microsoft Entra junção híbrida para domínios federados para saber mais sobre como usar Microsoft Entra Conectar Sincronização para configurar Microsoft Entra registro de dispositivo.
Para obter uma configuração manual do farm do AD FS para dar suporte ao registro do dispositivo, examine o guia Configurar O AD FS para Microsoft Entra registro de dispositivo.

Implantações de confiança de certificado híbrido exigem o recurso de write-back do dispositivo . A autenticação no AD FS precisa que o usuário e o dispositivo se autentiquem. Em geral, os usuários estão sincronizados, diferente dos dispositivos. Isso impede que o AD FS autentique o dispositivo e resulte em falhas Windows Hello para Empresas registro de certificado. Por esse motivo, Windows Hello para Empresas implantações precisam de write-back do dispositivo.

Observação

Windows Hello para Empresas está vinculado entre um usuário e um dispositivo. O usuário e o dispositivo precisam ser sincronizados entre Microsoft Entra ID e o Active Directory. A gravação do dispositivo é usada para atualizar o msDS-KeyCredentialLink atributo no objeto do computador.

Se você configurou manualmente o AD FS ou se você executou Microsoft Entra Conectar Sincronização usando Configurações Personalizadas, você deve garantir a configuração de gravaçãode dispositivo e autenticação de dispositivo em seu farm do AD FS. Para obter mais informações, consulte Configurar a gravação de dispositivo de volta e a autenticação do dispositivo.

Infraestrutura de chave pública

Uma PKI (infraestrutura de chave pública) empresarial é necessária como âncora de confiança para autenticação. Os controladores de domínio exigem um certificado para que os clientes Windows confiem neles.
O PKI da empresa e uma AUTORIDADE de registro de certificado (CRA) são necessários para emitir certificados de autenticação aos usuários. A implantação de confiança de certificado híbrido usa o AD FS como um CRA.

Durante Windows Hello para Empresas provisionamento, os usuários recebem um certificado de entrada por meio do CRA.

Próximas etapas

Depois que os pré-requisitos forem atendidos, a implantação de Windows Hello para Empresas com um modelo de confiança de chave híbrida consiste nas seguintes etapas:

• Configurar e validar o PKI
• Configurar o AD FS
• Definir as configurações do Windows Hello para Empresas
• Provisionar Windows Hello para Empresas em clientes Windows
• Configurar o SSO (logon único) para Microsoft Entra dispositivos ingressados

Próximo: configurar e validar a Infraestrutura de Chave Pública >