Guia de implementação de confiança de certificados híbridos
Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:
- Tipo de implementação:híbrido
- Tipo de
- Tipo de associação:associados híbridos ao Microsoft Entra
Importante
A confiança kerberos na cloud do Windows Hello para Empresas é o modelo de implementação recomendado em comparação com o modelo de fidedignidade chave. Também é o modelo de implementação recomendado se não precisar de implementar certificados para os utilizadores finais. Para obter mais informações, veja cloud Kerberos trust deployment (Implementação de confiança kerberos na cloud).
Requisitos
Antes de iniciar a implementação, reveja os requisitos descritos no artigo Planear uma Implementação do Windows Hello para Empresas .
Certifique-se de que os seguintes requisitos são cumpridos antes de começar:
Etapas de implantação
Assim que os pré-requisitos forem cumpridos, a implementação do Windows Hello para Empresas consiste nos seguintes passos:
Autenticação federada no Microsoft Entra ID
A confiança de certificados híbridos do Windows Hello para Empresas requer que o Active Directory seja federado com o Microsoft Entra ID através do AD FS. Também tem de configurar o farm do AD FS para suportar dispositivos registados no Microsoft Entra.
Se não estiver familiarizado com o AD FS e os serviços de federação:
- Rever os principais conceitos do AD FS antes de implementar o farm do AD FS
- Reveja o guia de estrutura do AD FS para conceber e planear o seu serviço de federação
Assim que tiver a estrutura do AD FS pronta, reveja a implementação de um farm de servidores de federação para configurar o AD FS no seu ambiente
O farm do AD FS usado com o Windows Hello para Empresas deve ser o Windows Server 2016 com a atualização mínima KB4088889 (14393.2155).
Registo de dispositivos e repetição de escrita de dispositivos
Os dispositivos Windows têm de estar registados no Microsoft Entra ID. Os dispositivos podem ser registados no Microsoft Entra ID através da associação do Microsoft Entra ou da associação híbrida do Microsoft Entra.
Para dispositivos associados híbridos do Microsoft Entra, reveja a documentação de orientação sobre o plano da sua página de implementação de associação híbrida do Microsoft Entra .
Veja o guia Configurar a associação híbrida do Microsoft Entra para domínios federados para saber mais sobre como utilizar o Microsoft Entra Connect Sync para configurar o registo de dispositivos do Microsoft Entra.
Para obter uma configuração manual do farm do AD FS para suportar o registo de dispositivos, veja o guia Configurar o AD FS para o registo de dispositivos do Microsoft Entra .
As implementações de confiança de certificados híbridas requerem a funcionalidade de write-back do dispositivo . A autenticação no AD FS precisa que o utilizador e o dispositivo se autentiquem. Em geral, os usuários estão sincronizados, diferente dos dispositivos. Isto impede o AD FS de autenticar o dispositivo e resulta em falhas de inscrição de certificados do Windows Hello para Empresas. Por este motivo, as implementações do Windows Hello para Empresas precisam de repetição de escrita de dispositivos.
Observação
O Windows Hello para Empresas está ligado entre um utilizador e um dispositivo. Tanto o utilizador como o dispositivo têm de ser sincronizados entre o Microsoft Entra ID e o Active Directory. A repetição de escrita do dispositivo é utilizada para atualizar o msDS-KeyCredentialLink
atributo no objeto do computador.
Se tiver configurado manualmente o AD FS ou se tiver executado a Sincronização do Microsoft Entra Connect através das Definições Personalizadas, tem de se certificar de que configura a repetição de escrita de dispositivos e a autenticação de dispositivos no farm do AD FS. Para obter mais informações, veja Configurar a Repetição de Escrita de Dispositivos e a Autenticação de Dispositivos.
Infraestrutura de chave pública
É necessária uma infraestrutura de chaves públicas (PKI) empresarial como âncora de fidedignidade para autenticação. Os controladores de domínio necessitam de um certificado para os clientes Windows confiarem nos mesmos.
A PKI empresarial e uma autoridade de registo de certificados (CRA) são necessárias para emitir certificados de autenticação para os utilizadores. A implementação de confiança de certificados híbridos utiliza o AD FS como uma CRA.
Durante o aprovisionamento do Windows Hello para Empresas, os utilizadores recebem um certificado de início de sessão através da CRA.
Próximas etapas
Assim que os pré-requisitos forem cumpridos, a implementação do Windows Hello para Empresas com um modelo de fidedignidade de chave híbrida consiste nos seguintes passos:
- Configurar e validar o PKI
- Configurar o AD FS
- Definir as configurações do Windows Hello para Empresas
- Aprovisionar o Windows Hello para Empresas em clientes Windows
- Configurar o início de sessão único (SSO) para dispositivos associados ao Microsoft Entra