Вход в удаленный рабочий стол с помощью Windows Hello для бизнеса

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Вы можете использовать Windows Hello для бизнеса для входа в сеанс удаленного рабочего стола, используя перенаправленные интеллектуальные карта возможности протокола удаленного рабочего стола (RDP). Это возможно путем развертывания сертификата на устройстве пользователя, который затем используется в качестве предоставленных учетных данных при установке подключения по протоколу RDP к другому устройству Windows.

В этой статье описываются два подхода к развертыванию сертификатов, при которых сертификаты проверки подлинности развертываются в контейнере Windows Hello для бизнеса:

  • Использование Microsoft Intune с соединителями SCEP или PKCS
  • Использование политики регистрации служб сертификатов Active Directory (AD CS)

Совет

Рассмотрите возможность использования Remote Credential Guard вместо Windows Hello для бизнеса для входа по протоколу RDP. Remote Credential Guard обеспечивает единый вход (SSO) в сеансы RDP с использованием проверки подлинности Kerberos и не требует развертывания сертификатов. Дополнительные сведения см. в разделе Remote Credential Guard.

Принцип работы

Windows создает и сохраняет криптографические ключи с помощью программного компонента, называемого поставщиком хранилища ключей (KSP):

  • Программные ключи создаются и хранятся с помощью поставщика хранилища ключей программного обеспечения Майкрософт
  • Ключи смарт-карта создаются и хранятся с помощью поставщика хранилища ключей смарт-карт Майкрософт
  • Ключи, созданные и защищенные Windows Hello для бизнеса, создаются и хранятся с помощью поставщика хранилища ключей Microsoft Passport

Сертификат на смарт-карта начинается с создания асимметричной пары ключей с помощью microsoft Smart Card KSP. Windows запрашивает сертификат на основе пары ключей от предприятия, выдающего центр сертификации, который возвращает сертификат, хранящийся в личном хранилище сертификатов пользователя. Закрытый ключ остается на смарт-карта, а открытый ключ хранится вместе с сертификатом. В метаданных сертификата (и ключа) хранится поставщик хранилища ключей, используемый для создания ключа (помните, что сертификат содержит открытый ключ).

Та же концепция применяется к Windows Hello для бизнеса, за исключением того, что ключи создаются с помощью microsoft Passport KSP. Закрытый ключ пользователя остается защищенным модулем безопасности устройства (TPM) и жестом пользователя (ПИН-код/биометрические данные). API-интерфейсы сертификатов скрывают сложность. Когда приложение использует сертификат, API-интерфейсы сертификатов находят ключи с помощью поставщика хранилища сохраненных ключей. Поставщики хранилища ключей направляют API-интерфейсы сертификатов, к какому поставщику они используются для поиска закрытого ключа, связанного с сертификатом. Это то, как Windows знает, что у вас есть смарт-сертификат карта без смарт-карта вставки, и предлагает вам вставить смарт-карта.

Windows Hello для бизнеса имитирует интеллектуальный карта для совместимости приложений, а microsoft Passport KSP запрашивает у пользователя биометрический жест или ПИН-код.

Примечание.

Удаленный рабочий стол с биометрическими данными не работает с двойной регистрацией или сценариями, в которых пользователь предоставляет альтернативные учетные данные.

Требования

Ниже приведен список требований для включения входа по протоколу RDP с помощью Windows Hello для бизнеса:

  • Инфраструктура PKI на основе AD CS или стороннего поставщика
  • Windows Hello для бизнеса, развернутые на клиентах
  • Если вы планируете поддерживать устройства, присоединенные к Microsoft Entra, контроллеры домена должны иметь сертификат, который служит корнем доверия для клиентов. Сертификат гарантирует, что клиенты не взаимодействуют с контроллерами домена изгоев

Если вы планируете развертывать сертификаты с помощью Microsoft Intune, ниже приведены дополнительные требования:

  • Убедитесь, что у вас есть инфраструктура для поддержки развертывания SCEP или PKCS .
  • Развертывание сертификата корневого ЦС и других промежуточных сертификатов центра сертификации для Microsoft Entra присоединенных устройств с помощью политики доверенных корневых сертификатов

Создание шаблона сертификата

Процесс создания шаблона сертификата применим к сценариям, в которых используется инфраструктура служб локальная служба Active Directory сертификатов (AD CS).
Сначала необходимо создать шаблон сертификата, а затем развернуть сертификаты на основе этого шаблона в контейнере Windows Hello для бизнеса.

Конфигурация шаблона сертификата зависит от того, развертываются ли сертификаты с помощью Microsoft Intune или политики регистрации Active Directory. Выберите вариант, который лучше всего соответствует вашим потребностям.

  1. Войдите в центр сертификации, выдающий сертификат (ЦС) и откройте диспетчер сервера

  2. Выберите Сервис > Центр сертификации. Откроется консоль управления Майкрософт (MMC) центра сертификации

  3. В MMC разверните имя ЦС и щелкните правой кнопкой мыши управление шаблонами сертификатов>.

  4. Откроется консоль "Шаблоны сертификатов". Все шаблоны сертификатов отображаются в области сведений

  5. Щелкните правой кнопкой мыши шаблон Входа смарт-карты и выберите Дублировать шаблон.

  6. Используйте следующую таблицу, чтобы настроить шаблон:

    Имя вкладки Конфигурации
    Совместимость
    • Снимите флажок Показать результирующие изменения проверка
    • Выберите Windows Server 2012 или Windows Server 2012 R2 в списке Центров сертификации.
    • Выберите Windows Server 2012 или Windows Server 2012 R2 в списке получателей сертификации.
    Общее
    • Укажите отображаемое имя шаблона, например проверку подлинности сертификата WHfB.
    • Задайте для срока действия требуемое значение.
    • Запишите имя шаблона для последующего использования, которое должно совпадать с отображаемым именем шаблона минус пробелы (WHfBCertificateAuthentication в этом примере)
    Расширения Убедитесь, что расширение "Политики приложений " включает вход с помощью смарт-карты.
    Имя субъекта В запросе выберите Пункт Предоставить.
    Обработка запросов
    • Задайте для параметра Назначение значение Подпись и вход со смарт-картой и выберите Да при появлении запроса на изменение назначения сертификата.
    • Выберите поле Продлить с тем же ключом проверка
    • Выберите Запрос пользователя во время регистрации.

    Примечание: При развертывании сертификатов с помощью профиля PKCS выберите параметр Разрешить экспорт закрытого ключа.
    Cryptography
    • Задайте для категории поставщиков значение Поставщик хранилища ключей.
    • Задайте для значения имя алгоритма RSA.
    • Задайте для минимального размера ключа значение 2048.
    • Выберите Запросы должны использовать один из следующих поставщиков.
    • Выбор поставщика хранилища ключей программного обеспечения Майкрософт
    • Задайте для хэша запроса значение SHA256.
    Безопасность Добавление субъекта безопасности, используемого для доступа к регистрации SCEP или PKCS.

  7. Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон. Теперь новый шаблон должен появиться в списке шаблонов сертификатов.

  8. Закрытие консоли "Шаблоны сертификатов"

Выдача шаблона сертификата

  1. В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Новый > шаблон сертификата для выдачи.
  2. В списке шаблонов выберите ранее созданный шаблон (проверка подлинности сертификата WHFB) и нажмите кнопку ОК. Для репликации шаблона на все серверы и его доступности в этом списке может потребоваться некоторое время.
  3. После репликации шаблона в MMC щелкните правой кнопкой мыши в списке Центр сертификации и выберите Все задачи > Остановить службу. Снова щелкните правой кнопкой мыши имя ЦС и выберите Все задачи > Запустить службу.

Развертывание сертификатов

Процесс развертывания сертификатов зависит от того, используется ли Microsoft Intune или политика регистрации Active Directory. Выберите вариант, который лучше всего соответствует вашим потребностям.

В этом разделе описывается настройка политики SCEP в Intune. Для настройки политики PKCS можно выполнить аналогичные действия.

  1. Перейдите в Центр администрирования Microsoft Intune

  2. Выбор профилей > конфигурации устройств > Создание профиля

  3. Выберите Платформа > Windows 10 и более поздних версий и Тип > профиля Шаблоны > СЕРТИФИКАТ SCEP.

  4. Выберите Создать.

  5. На панели Основные сведения укажите имя и, при необходимости, описание > Далее.

  6. На панели Параметры конфигурации используйте следующую таблицу, чтобы настроить политику:

    Параметр Конфигурации
    Тип сертификата Пользователь
    Формат имени субъекта CN={{UserPrincipalName}}

    Примечание. Если существует несоответствие между суффиксом имени участника-пользователя и полным доменом Active Directory, используйте CN={{OnPrem_Distinguished_Name}} вместо него.
    Альтернативное имя субъекта В раскрывающемся списке выберите Имя участника-пользователя (UPN) со значением {{UserPrincipalName}}
    Срок действия сертификата Настройка выбранного значения
    Поставщик хранилища ключей (KSP) Регистрация для Windows Hello для бизнеса, в противном случае сбой
    Использование ключей Цифровая подпись
    Размер ключа (биты) 2048
    Для хэш-алгоритма SHA-2
    Корневой сертификат Выберите +Корневой сертификат и выберите профиль доверенного сертификата, созданный ранее для сертификата корневого ЦС.
    Расширенное использование ключа
    • Имя:Вход с помощью смарт-карты
    • Идентификатор объекта:1.3.6.1.4.1.311.20.2.2
    • Предопределенные значения:не настроено

    • Имя:проверка подлинности клиента
    • Идентификатор объекта:1.3.6.1.5.5.7.3.2
    • Стандартные значения:проверка подлинности клиента
    Пороговое значение продления (%) Настройка выбранного значения
    URL-адреса сервера SCEP Укажите общедоступные конечные точки, настроенные во время развертывания инфраструктуры SCEP.

  7. Нажмите кнопку Далее

  8. На панели Назначения назначьте политику группе безопасности, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить, и нажмите кнопку Далее.

  9. При необходимости на панели Правила применимости настройте ограничения выдачи и нажмите кнопку Далее.

  10. На панели Проверка и создание просмотрите конфигурацию политики и выберите Создать.

Дополнительные сведения о настройке политик SCEP см. в разделе Настройка профилей сертификатов SCEP в Intune. Сведения о настройке политик PKCS см. в статье Настройка и использование сертификата PKCS с Intune.

Предостережение

Если вы развертываете сертификаты с помощью Intune и настраиваете Windows Hello для бизнеса с помощью групповой политики, устройства не смогут получить сертификат, занося код 0x82ab0011 ошибки в DeviceManagement-Enterprise-Diagnostic-Provider журнал.
Чтобы избежать ошибки, настройте Windows Hello для бизнеса с помощью Intune, а не групповой политики.

Использование сторонних центров сертификации

Если вы используете PKI, не относящийся к Корпорации Майкрософт, шаблоны сертификатов, опубликованные в локальная служба Active Directory, могут быть недоступны. Инструкции по интеграции Intune/SCEP с развертываниями PKI, не являющихся microsoft, см. в статье Использование центров сертификации сторонних корпораций (ЦС) с SCEP в Microsoft Intune.

В качестве альтернативы использованию SCEP или если ни одно из ранее описанных решений не работает в вашей среде, вы можете вручную создать запросы на подпись сертификатов (CSR) для отправки в PKI. Чтобы упростить этот подход, можно использовать командлет PowerShell Generate-CertificateRequest .

Командлет Generate-CertificateRequest создает .inf файл для существующего ключа Windows Hello для бизнеса. Можно .inf использовать для создания запроса сертификата вручную с помощью certreq.exe. Командлет также создает .req файл, который можно отправить в PKI для сертификата.

Убедитесь, что сертификат развернут

Чтобы убедиться, что сертификат правильно развернут в контейнере Windows Hello для бизнеса, используйте следующую команду:

certutil -store -user my

В выходных данных перечислены ключи и сертификаты, хранящиеся в пользовательском хранилище. Если сертификат, выданный из ЦС, развертывается в контейнере Windows Hello для бизнеса, в выходных данных отображается сертификат со значением ProviderMicrosoft Passport Key Storage Provider.

Пример:

C:\Users\amanda.brady>certutil -store -user my
my "Personal"
================ Certificate 0 ================
Serial Number: 110000001f4c4eccc46fc8f93a00000000001f
Issuer: CN=Contoso - Issuing CA, DC=CONTOSO, DC=COM
 NotBefore: 12/8/2023 6:16 AM
 NotAfter: 12/7/2024 6:16 AM
Subject: CN=amanda.brady@contoso.com
Non-root Certificate
Template: 1.3.6.1.4.1.311.21.8.2835349.12167323.7094945.1118853.678601.83.11484210.8005739
Cert Hash(sha1): 63c6ce5fc512933179d3c0a5e94ecba98092f93d
Key Container = S-1-12-1-../../login.windows.net/../amanda.brady@contoso.com
Provider = Microsoft Passport Key Storage Provider
Private key is NOT exportable
Encryption test passed

Взаимодействие с пользователем

После получения сертификата пользователи могут подключиться к любым устройствам Windows в том же лесу Active Directory, что и учетная запись Active Directory пользователей, открыв подключение к удаленному рабочему столу (mstsc.exe). При подключении к удаленному узлу им будет предложено использовать Windows Hello для бизнеса для разблокировки закрытого ключа сертификата.

устройство, присоединенное к Microsoft Entra

Пользователь может пройти проверку подлинности, используя любые доступные Windows Hello жесты разблокировки, включая биометрические данные.

Microsoft Entra устройство с гибридным присоединением

В запросе учетных данных поставщик учетных данных Windows Hello определяется как учетные данные устройства безопасности. Пользователь должен использовать поставщик учетных данных ПИН-кода для разблокировки.

Снимок экрана: запрос проверки подлинности подключения к удаленному рабочему столу с использованием биометрических данных.

Снимок экрана: запрос проверки подлинности подключения к удаленному рабочему столу с использованием ПИН-кода.

Ниже приведено краткое видео, показывающее взаимодействие с пользователем с Microsoft Entra присоединенного устройства с использованием отпечатка пальца в качестве фактора разблокировки:

Примечание.

Пользователь должен быть авторизован для подключения к удаленному серверу по протоколу удаленного рабочего стола, например, будучи членом локальной группы "Пользователи удаленных рабочих столов" на удаленном узле.

Совместимость

Хотя пользователи ценят удобство биометрии, а администраторы ценят безопасность, у вас могут возникнуть проблемы совместимости с приложениями и сертификатами Windows Hello для бизнеса. В таких сценариях можно развернуть параметр политики, чтобы отменить изменения предыдущее поведение для пользователей, нуждающихся в нем.

Дополнительные сведения см. в статье Использование сертификатов Windows Hello для бизнеса в качестве сертификата смарт-карта.