Autenticação de chave pública de dispositivo ingressado no domínio

O Kerberos adicionou suporte para os dispositivos ingressados no domínio para entrada por meio de um certificado a partir do Windows Server 2012 e do Windows 8. Essa alteração permite que fornecedores de terceiros criem soluções para provisionar e inicializar certificados para dispositivos ingressados no domínio a serem usados para a autenticação de domínio.

Provisionamento automático de chave pública

A partir do Windows 10 versão 1507 e do Windows Server 2016, os dispositivos ingressados no domínio provisionam automaticamente uma chave pública associada a um controlador de domínio do Windows Server 2016. Depois que uma chave é provisionada, o Windows pode usar a autenticação de chave pública para o domínio.

Geração de chave

Se o dispositivo executar o Credential Guard, um par de chaves pública/privada será criado com a proteção do Credential Guard.

Se o Credential Guard não estiver disponível e um TPM estiver, será criado um par de chaves pública/privada protegido pelo TPM.

Se nenhum deles estiver disponível, um par de chaves não será gerado e o dispositivo só poderá se autenticar usando a senha.

Provisionamento de chave pública da conta do computador

Quando o Windows é iniciado, ele verifica se uma chave pública é provisionada para a respectiva conta de computador. Caso contrário, ele gera uma chave pública associada e a configura para a conta no AD usando um controlador de domínio do Windows Server 2016 ou superior. Se todos os controladores de domínio estiverem no nível inferior, nenhuma chave é provisionada.

Como configurar o dispositivo para usar apenas a chave pública

Se a configuração de Política de Grupo Suporte para autenticação de dispositivo usando o certificado estiver definida como Forçar, o dispositivo precisará encontrar um controlador de domínio que execute o Windows Server 2016 ou posterior para autenticação. A configuração se encontra em Modelos Administrativos > Sistema > Kerberos.

Como configurar o dispositivo para usar apenas a senha

Se a configuração de Política de Grupo Suporte para autenticação de dispositivo usando o certificado estiver desabilitada, a senha sempre será usada. A configuração se encontra em Modelos Administrativos > Sistema > Kerberos.

Autenticação de dispositivo ingressado no domínio usando a chave pública

Quando o Windows tem um certificado para o dispositivo ingressado no domínio, primeiro, o Kerberos se autentica usando o certificado e, em caso de falha, tenta novamente com a senha. Isso permite que o dispositivo se autentique em controladores de domínio de nível inferior.

Como as chaves públicas provisionadas automaticamente têm um certificado autoassinado, ocorre uma falha da validação do certificado nos controladores de domínio que não dão suporte ao mapeamento de conta da Relação de Confiança de Chave. Por padrão, o Windows tenta novamente a autenticação usando a senha de domínio do dispositivo.