Início de sessão no Ambiente de Trabalho Remoto com Windows Hello para Empresas

Pode utilizar Windows Hello para Empresas para iniciar sessão numa sessão de ambiente de trabalho remoto, utilizando as capacidades de card inteligentes redirecionadas do Protocolo RDP (Remote Desktop Protocol). Isto é possível ao implementar um certificado no dispositivo do utilizador, que é depois utilizado como a credencial fornecida ao estabelecer a ligação RDP a outro dispositivo Windows.

Este artigo descreve duas abordagens de implementação de certificados, em que os certificados de autenticação são implementados no contentor de Windows Hello para Empresas:

  • Utilizar Microsoft Intune com conectores SCEP ou PKCS
  • Utilizar uma política de inscrição dos Serviços de Certificados do Active Directory (AD CS)

Importante

Se implementar o certificado com Microsoft Intune e tiver o Controlo de Conta de Utilizador configurado para Pedir credenciais no ambiente de trabalho seguro, não poderá utilizar a funcionalidade executar como. Neste cenário, quando tentar executar uma aplicação com privilégios elevados e escolher a credencial Windows Hello para Empresas, receberá a mensagem de erro: O nome de utilizador ou palavra-passe está incorreto.

Dica

Considere utilizar o Credential Guard Remoto em vez de Windows Hello para Empresas para o início de sessão RDP. O Remote Credential Guard fornece início de sessão único (SSO) para sessões RDP através da autenticação Kerberos e não requer a implementação de certificados. Para obter mais informações, veja Remote Credential Guard.

Como funciona

O Windows gera e armazena chaves criptográficas com um componente de software denominado fornecedor de armazenamento de chaves (KSP):

  • As chaves baseadas em software são criadas e armazenadas com o Fornecedor de Armazenamento de Chaves de Software da Microsoft
  • As chaves de card inteligentes são criadas e armazenadas com o Fornecedor de Armazenamento de Chaves de Smart Card da Microsoft
  • As chaves criadas e protegidas por Windows Hello para Empresas são criadas e armazenadas com o Fornecedor de Armazenamento de Chaves do Microsoft Passport

Um certificado num card inteligente começa com a criação de um par de chaves assimétricas com o KSP do Microsoft Smart Card. O Windows pede um certificado com base no par de chaves das empresas que emitem a autoridade de certificação, que devolve um certificado armazenado no arquivo de certificados Pessoal do utilizador. A chave privada permanece no card inteligente e a chave pública é armazenada com o certificado. Os metadados no certificado (e na chave) armazenam o fornecedor de armazenamento de chaves utilizado para criar a chave (lembre-se de que o certificado contém a chave pública).

O mesmo conceito aplica-se a Windows Hello para Empresas, exceto que as chaves são criadas com o KSP do Microsoft Passport. A chave privada do utilizador permanece protegida pelo módulo de segurança (TPM) do dispositivo e pelo gesto do utilizador (PIN/biométrico). As APIs de certificado ocultam a complexidade. Quando uma aplicação utiliza um certificado, as APIs de certificado localizam as chaves com o fornecedor de armazenamento de chaves guardado. Os principais fornecedores de armazenamento direcionam as APIs de certificado no fornecedor que utilizam para localizar a chave privada associada ao certificado. É assim que o Windows sabe que tem um certificado de card inteligente sem a card inteligente inserida e pede-lhe para inserir a card inteligente.

Windows Hello para Empresas emula um card inteligente para compatibilidade de aplicações e o KSP do Microsoft Passport pede ao utilizador o seu gesto biométrico ou PIN.

Observação

O Ambiente de Trabalho Remoto com biometria não funciona com a Inscrição Dupla ou cenários em que o utilizador fornece credenciais alternativas.

Requisitos

Eis uma lista de requisitos para ativar o início de sessão rdp com Windows Hello para Empresas:

  • Uma infraestrutura PKI baseada no AD CS ou de terceiros
  • Windows Hello para Empresas implementados nos clientes
  • Se planear suportar Microsoft Entra dispositivos associados, os controladores de domínio têm de ter um certificado, que serve de raiz de confiança para os clientes. O certificado garante que os clientes não comunicam com controladores de domínio não autorizados

Se planear implementar certificados com Microsoft Intune, eis mais requisitos:

  • Confirme que tem a infraestrutura para suportar a implementação do SCEP ou do PKCS
  • Implementar o certificado de AC de raiz e quaisquer outros certificados de autoridade de certificação intermédia para Microsoft Entra dispositivos associados com uma política de certificado de raiz fidedigna

Criar um modelo de certificado

O processo de criação de um modelo de certificado aplica-se a cenários em que utiliza uma infraestrutura dos Serviços de Certificados Active Directory local (AD CS).
Primeiro, tem de criar um modelo de certificado e, em seguida, implementar certificados com base nesse modelo no contentor Windows Hello para Empresas.

A configuração do modelo de certificado é diferente consoante implemente certificados com Microsoft Intune ou uma política de inscrição do Active Directory. Selecione a opção mais adequada às suas necessidades.

  1. Inicie sessão na autoridade de certificação (AC) emissora e abra Gerenciador do Servidor

  2. Selecione Ferramentas > Autoridade de Certificação. A Consola de Gestão da Microsoft (MMC) da Autoridade de Certificação é aberta

  3. No MMC, expanda o nome da AC e clique com o botão direito do rato em Gestão de Modelos > de Certificado

  4. É aberta a consola Modelos de Certificado. Todos os modelos de certificado são apresentados no painel de detalhes

  5. Clique com o botão direito do rato no modelo de Início de Sessão do SmartCard e selecione Duplicar Modelo

  6. Utilize a tabela seguinte para configurar o modelo:

    Nome do Separador Configurações
    Compatibilidade
    • Desmarque a caixa de marcar Mostrar alterações resultantes
    • Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista Autoridade de Certificação
    • Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista Destinatários da Certificação
    Geral
    • Especifique um Nome a apresentar do Modelo, por exemplo Autenticação de Certificado WHfB
    • Defina o período de validade para o valor pretendido
    • Tome nota do nome do modelo para mais tarde, que deve ser o mesmo que os espaços de subtração do nome a apresentar do modelo (WHfBCertificateAuthentication neste exemplo)
    Extensões Verifique se a extensão de Políticas de Aplicação inclui o Início de Sessão do Smart Card.
    Nome do Requerente Selecione Fornecer no pedido.
    Processamento de Pedidos
    • Defina o Objetivo como Assinatura e início de sessão de smartcard e selecione Sim quando lhe for pedido para alterar a finalidade do certificado
    • Selecione a caixa Renovar com a mesma chave marcar
    • Selecione Perguntar ao utilizador durante a inscrição

    Nota: Se implementar certificados com um perfil PKCS, selecione a opção Permitir a exportação da chave privada
    Criptografia
    • Defina a Categoria do Fornecedor como Fornecedor de Armazenamento de Chaves
    • Defina o Nome do algoritmo como RSA
    • Defina o tamanho mínimo da chave como 2048
    • Selecionar Pedidos tem de utilizar um dos seguintes fornecedores
    • Selecione Fornecedor de Armazenamento de Chaves de Software microsoft
    • Defina o Hash do pedido como SHA256
    Segurança Adicionar o principal de segurança utilizado para o acesso de Inscrição scep ou PKCS
  7. Selecione OK para finalizar as alterações e criar o novo modelo. O seu novo modelo deverá agora aparecer na lista de Modelos de Certificado

  8. Fechar a consola de Modelos de Certificado

Emitir o modelo de certificado

  1. Na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, selecione Novo > Modelo de Certificado para Emitir
  2. Na lista de modelos, selecione o modelo que criou anteriormente (Autenticação de Certificado WHFB) e selecione OK. Pode demorar algum tempo até que o modelo seja replicado para todos os servidores e fique disponível nesta lista
  3. Após a replicação do modelo, na MMC, clique com o botão direito do rato na lista Autoridade de Certificação e selecione Todas as Tarefas > Parar Serviço. Clique com o botão direito do rato no nome da AC novamente, selecione Todas as Tarefas > Iniciar Serviço

Implementar certificados

O processo de implementação de certificados é diferente consoante utilize Microsoft Intune ou uma política de inscrição do Active Directory. Selecione a opção mais adequada às suas necessidades.

Esta secção descreve como configurar uma política SCEP no Intune. Podem ser seguidos passos semelhantes para configurar uma política PKCS.

  1. Aceda ao centro de administração do Microsoft Intune

  2. Selecionar Perfis de Configuração de Dispositivos >> Criar perfil

  3. Selecione Plataforma > Windows 10 e posterior e Tipo > de perfil Modelos > Certificado SCEP

  4. Selecione Criar

  5. No painel Noções Básicas , forneça um Nome e, opcionalmente, uma Descrição > Seguinte

  6. No painel Definições de configuração , utilize a seguinte tabela para configurar a política:

    Configuração Configurações
    Tipo de Certificado Usuário
    Formato do nome do requerente CN={{UserPrincipalName}}

    Nota: se existir um erro de correspondência entre o sufixo UPN do utilizador e o FQDN do domínio do Active Directory, utilize CN={{OnPrem_Distinguished_Name}} antes.
    Nome alternativo do requerente Na lista pendente, selecione Nome principal de utilizador (UPN) com um valor de {{UserPrincipalName}}
    Período de validade do certificado Configurar um valor à sua escolha
    Fornecedor de armazenamento de chaves (KSP) Inscrever-se no Windows Hello para Empresas, caso contrário, falha
    Utilização da chave Assinatura Digital
    Tamanho da chave (bits) 2048
    Para algoritmo Hash SHA-2
    Certificado de Raiz Selecione +Certificado de Raiz e selecione o perfil de certificado fidedigno criado anteriormente para o Certificado de AC de Raiz
    Utilização da chave expandida
    • Nome:Início de Sessão do Smart Card
    • Identificador de Objeto:1.3.6.1.4.1.311.20.2.2
    • Valores Predefinidos:Não configurado

    • Nome:Autenticação de Cliente
    • Identificador de Objeto:1.3.6.1.5.5.7.3.2
    • Valores Predefinidos:Autenticação de Cliente
    Limiar de renovação (%) Configurar um valor à sua escolha
    URLs do Servidor SCEP Indique os pontos finais públicos que configurou durante a implementação da infraestrutura scep
  7. Selecione Seguinte

  8. No painel Atribuições , atribua a política a um grupo de segurança que contenha como membros os dispositivos ou utilizadores que pretende configurar e selecione Seguinte

  9. No painel Regras de Aplicabilidade , configure as restrições de emissão, se necessário, e selecione Seguinte

  10. No painel Rever + criar , reveja a configuração da política e selecione Criar

Para obter mais informações sobre como configurar políticas SCEP, veja Configurar perfis de certificado SCEP no Intune. Para configurar políticas PKCS, veja Configurar e utilizar o certificado PKCS com Intune.

Cuidado

Se implementar certificados através de Intune e configurar Windows Hello para Empresas através da política de grupo, os dispositivos não conseguirão obter um certificado, registando o código 0x82ab0011 de erro no DeviceManagement-Enterprise-Diagnostic-Provider registo.
Para evitar o erro, configure Windows Hello para Empresas através de Intune em vez da política de grupo.

Utilizar autoridades de certificação não Microsoft

Se estiver a utilizar um PKI não Microsoft, os modelos de certificado publicados no Active Directory local poderão não estar disponíveis. Para obter orientações sobre a integração de Intune/SCEP com implementações de PKI não Microsoft, veja Utilizar autoridades de certificação (AC) não Microsoft com o SCEP no Microsoft Intune.

Como alternativa à utilização do SCEP ou se nenhuma das soluções anteriormente abrangidas funcionar no seu ambiente, pode gerar manualmente Pedidos de Assinatura de Certificados (CSR) para submissão para o seu PKI. Para ajudar nesta abordagem, pode utilizar o commandlet Generate-CertificateRequest do PowerShell.

O Generate-CertificateRequest commandlet gera um .inf ficheiro para uma chave de Windows Hello para Empresas pré-existente. O .inf pode ser utilizado para gerar um pedido de certificado manualmente com certreq.exe. O commandlet também gera um .req ficheiro, que pode ser submetido à PKI para obter um certificado.

Verificar se o certificado está implementado

Para verificar se o certificado está corretamente implementado no contentor Windows Hello para Empresas, utilize o seguinte comando:

certutil -store -user my

O resultado lista chaves e certificados armazenados no arquivo de utilizadores. Se um certificado emitido a partir da AC for implementado no contentor Windows Hello para Empresas, a saída apresenta o certificado com um Provider valor de Microsoft Passport Key Storage Provider.

Por exemplo:

C:\Users\amanda.brady>certutil -store -user my
my "Personal"
================ Certificate 0 ================
Serial Number: 110000001f4c4eccc46fc8f93a00000000001f
Issuer: CN=Contoso - Issuing CA, DC=CONTOSO, DC=COM
 NotBefore: 12/8/2023 6:16 AM
 NotAfter: 12/7/2024 6:16 AM
Subject: CN=amanda.brady@contoso.com
Non-root Certificate
Template: 1.3.6.1.4.1.311.21.8.2835349.12167323.7094945.1118853.678601.83.11484210.8005739
Cert Hash(sha1): 63c6ce5fc512933179d3c0a5e94ecba98092f93d
Key Container = S-1-12-1-../../login.windows.net/../amanda.brady@contoso.com
Provider = Microsoft Passport Key Storage Provider
Private key is NOT exportable
Encryption test passed

Experiência do usuário

Assim que os utilizadores obtiverem o certificado, podem fazer RDP para qualquer dispositivo Windows na mesma floresta do Active Directory que a conta do Active Directory dos utilizadores ao abrir a Ligação ao Ambiente de Trabalho Remoto (mstsc.exe). Ao ligar ao anfitrião remoto, é-lhes pedido que utilizem Windows Hello para Empresas para desbloquear a chave privada do certificado.

Microsoft Entra dispositivo associado

O utilizador pode autenticar através de qualquer Windows Hello gestos de desbloqueio disponíveis, incluindo biometria.

Microsoft Entra dispositivo associado híbrido

O pedido de credenciais identifica o fornecedor de credenciais Windows Hello como Credencial de dispositivo de segurança. O utilizador tem de utilizar o fornecedor de credenciais de PIN para desbloquear.

Captura de ecrã do pedido de autenticação da Ligação ao Ambiente de Trabalho Remoto com biometria.

Captura de ecrã do pedido de autenticação da Ligação ao Ambiente de Trabalho Remoto com um PIN.

Eis um breve vídeo que mostra a experiência do utilizador de um dispositivo associado Microsoft Entra utilizando a impressão digital como fator de desbloqueio:

Observação

O utilizador tem de estar autorizado a ligar ao servidor remoto através do protocolo ambiente de trabalho remoto, por exemplo, ao ser membro do grupo local Utilizadores do Ambiente de Trabalho Remoto no anfitrião remoto.

Compatibilidade

Embora os utilizadores apreciem a conveniência da biometria e os administradores valorizem a segurança, poderá deparar-se com problemas de compatibilidade com aplicações e certificados Windows Hello para Empresas. Nestes cenários, pode implementar uma definição de política para reverter ao comportamento anterior para os utilizadores que precisam dela.

Para obter mais informações, veja Utilizar certificados Windows Hello para Empresas como certificado de card inteligente

Problemas conhecidos

Existe um problema conhecido ao tentar efetuar a autenticação de cliente TLS 1.3 com um certificado de Hello através de RDP. A autenticação falha com o erro: ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED. A Microsoft está a investigar possíveis soluções.