Preparar e implementar os Serviços de Federação do Active Directory – fidedignidade da chave no local

Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:


O Windows Hello para Empresas funciona exclusivamente com a função serviço de Federação do Active Directory (AD FS) incluída no Windows Server. O modelo de implementação de fidedignidade de chave no local utiliza o AD FS para registo de chaves e registo de dispositivos.

A seguinte documentação de orientação descreve a implementação de uma nova instância do AD FS com a Base de Dados de Informações do Windows (WID) como base de dados de configuração.
A WID é ideal para ambientes com não mais de 30 servidores de federação e não mais de 100 fidedignidades de entidade confiadora. Se o seu ambiente exceder um destes fatores ou precisar de fornecer resolução de artefactos SAML, deteção de repetição de tokens ou precisar do AD FS para funcionar como uma função de fornecedor federado, a implementação requer a utilização do SQL como uma base de dados de configuração.
Para implementar o AD FS com o SQL como base de dados de configuração, veja a lista de verificação Implementar um Farm de Servidores de Federação .

Um novo farm do AD FS deve ter um mínimo de dois servidores de federação para um balanceamento de carga adequado, que pode ser realizado com periféricos de rede externos ou com a utilização da Função de Balanceamento de Carga na Rede incluída no Windows Server.

Prepare a implementação do AD FS ao instalar e atualizar dois Windows Servers.

Inscrever-se num certificado de autenticação do servidor TLS

Em geral, um serviço de federação é uma função de borda. No entanto, os serviços de federação e a instância usada com a implantação no local do Windows Hello para Empresas não precisa de conexão com a Internet.

A função do AD FS precisa de um certificado de autenticação de servidor para os serviços de federação e pode utilizar um certificado emitido pela AC empresarial (interna). O certificado de autenticação de servidor deve ter os seguintes nomes incluídos no certificado, se estiver a pedir um certificado individual para cada nó no farm de federação:

  • Nome do Requerente: o FQDN interno do servidor de federação
  • Nome Alternativo do Requerente: o nome do serviço de federação (por exemplo , sts.corp.contoso.com) ou uma entrada de caráter universal adequada (por exemplo, *.corp.contoso.com)

O nome do serviço de federação é definido quando a função do AD FS está configurada. É possível escolher qualquer nome, mas esse nome deve ser diferente do nome do servidor ou host. Por exemplo, pode atribuir o nome adfs ao servidor anfitrião e aos sts do serviço de federação. Neste exemplo, o FQDN do anfitrião é adfs.corp.contoso.com e o FQDN do serviço de federação é sts.corp.contoso.com.

Também pode emitir um certificado para todos os anfitriões no farm. Se escolheu esta opção, deixe o nome do requerente em branco e inclua todos os nomes no nome alternativo do requerente ao criar o pedido de certificado. Todos os nomes devem incluir o FQDN de cada host no farm e o nome do serviço de federação.

Ao criar um certificado de caráter universal, marque a chave privada como exportável, para que o mesmo certificado possa ser implementado em cada servidor de federação e proxy de aplicações Web no farm do AD FS. Observe que o certificado deve ser confiável (vincular a uma CA confiável de raiz). Depois de solicitar e registrar com sucesso o certificado de autenticação do servidor em um nó, é possível exportar o certificado e a chave privada para um arquivo PFX usando o console do Gerenciador de certificados. É possível importar o certificado em nós restantes no farm do AD FS.

Certifique-se de que inscreve ou importa o certificado para o arquivo de certificados de computador do servidor do AD FS. Além disso, verifique se todos os nós no farm têm o certificado de autenticação de servidor TLS adequado.

Inscrição de certificados de autenticação do AD FS

Inicie sessão no servidor de federação com credenciais equivalentes de administrador de domínio .

  1. Iniciar o Gestor de Certificados de Computador Local (certlm.msc)
  2. Expandir o nó Pessoal no painel de navegação
  3. Clique com o botão direito em Pessoal. Selecionar Todas as Tarefas > Pedir Novo Certificado
  4. Selecione Seguinte na página Antes de Começar
  5. Selecione Seguinte na página Selecionar Política de Inscrição de Certificados
  6. Na página Pedir Certificados, selecione a caixa de verificação Servidor Web Interno
  7. Selecione a⚠ opção para inscrever mais informações para este certificado. Clique aqui para configurar a ligação DefiniçõesExemplo do Separador Assunto das Propriedades do Certificado – isto é o que mostra quando seleciona a ligação acima.
  8. Em Nome do assunto, selecione Nome comum na lista Tipo. Escreva o FQDN do computador que aloja a função do AD FS e, em seguida, selecione Adicionar
  9. Em Nome alternativo, selecione DNS na lista Tipo. Escreva o FQDN do nome que irá utilizar para os seus serviços de federação (sts.corp.contoso.com). O nome que utiliza aqui TEM de corresponder ao nome que utiliza ao configurar a função de servidor do AD FS. Selecione Adicionar e OK quando terminar
  10. Selecione Inscrever

Um certificado de autenticação de servidor deve aparecer no arquivo de certificados pessoal do computador.

Implementar a função do AD FS

Importante

Conclua a configuração do AD FS no primeiro servidor do farm antes de adicionar o segundo servidor ao farm do AD FS. Depois de concluído, o segundo servidor recebe a configuração pelo banco de dados de configuração compartilhada quando é adicionado ao farm do AD FS.

Inicie sessão no servidor de federação com credenciais equivalentes do Administrador do Enterprise .

  1. Inicie o Gerenciador do servidor. Selecione Servidor Local no painel de navegação
  2. Selecione Gerir > Adicionar Funções e Funcionalidades
  3. Selecione Seguinte na página Antes de começar
  4. Na página Selecionar tipo de instalação , selecione Instalação > baseada em funções ou funcionalidades Seguinte
  5. Na página Selecionar servidor de destino, escolha Selecionar um servidor no pool de servidor. Selecione o servidor de federação na lista Conjunto de Servidores e Seguinte
  6. Na página Selecionar funções de servidor , selecione Serviços de Federação do Active Directory e Seguinte
  7. Selecione Seguinte na página Selecionar funcionalidades
  8. Selecione Seguinte na página Serviço de Federação do Active Directory
  9. Selecione Instalar para iniciar a instalação da função

Rever para validar a implementação do AD FS

Antes de continuar com a implantação, valide seu progresso de implantação analisando os seguintes itens:

  • Confirme se o farm do AD FS utiliza a configuração de base de dados correta
  • Confirme que o farm do AD FS tem um número adequado de nós e se está corretamente com balanceamento de carga para a carga prevista
  • Confirme que todos os servidores do AD FS no farm têm as atualizações mais recentes instaladas
  • Confirme se todos os servidores do AD FS têm um certificado de autenticação de servidor válido

Pré-requisitos da conta do serviço de registo de dispositivos

A utilização de Contas de Serviço Geridas de Grupo (GMSA) é a forma preferencial de implementar contas de serviço para serviços que as suportam. As GMSAs têm vantagens de segurança em vez das contas de utilizador normais porque o Windows processa a gestão de palavras-passe. Isso significa que a senha é grande, complexa e muda periodicamente. O AD FS suporta GMSAs e deve ser configurado utilizando-os para segurança adicional.

O GSMA utiliza o Serviço de Distribuição de Chaves da Microsoft que está localizado nos controladores de domínio. Antes de criar um GSMA, primeiro você deve criar uma chave de raiz para o serviço. Você pode ignorar isso se o ambiente já usa GSMA.

Criar a chave raiz do KDS (serviço de distribuição de chave)

Inicie sessão num controlador de domínio com credenciais equivalentes do Administrador do Enterprise .

Inicie uma consola elevada do PowerShell e execute o seguinte comando:

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

Configurar a função de Serviços de Federação do Active Directory (AD FS)

Utilize os seguintes procedimentos para configurar o AD FS.

Inicie sessão no servidor de federação com credenciais equivalentes de Administrador de Domínio . Estes procedimentos consideram que você está configurando o primeiro servidor de federação em um farm de servidores de federação.

  1. Iniciar Gestor de Servidores
  2. Selecione o sinalizador de notificação no canto superior direito e selecione Configurar os serviços de federação neste servidor
  3. Na página Bem-vindo , selecione Criar o primeiro farm > de servidores de federação Seguinte
  4. Na página Ligar aos Serviços de Domínio do Active Directory , selecione Seguinte
  5. Sobre a página Especificar propriedades do serviço, selecione o certificado recentemente registrado ou importado da lista Certificado SSL. Provavelmente, o certificado tem o nome do serviço de federação, como sts.corp.contoso.com
  6. Selecione o nome do serviço de federação na lista Nome do Serviço de Federação
  7. Escreva o Nome a Apresentar do Serviço de Federação na caixa de texto. Esse é o nome que os usuários exibem durante o logon. Selecione Seguinte
  8. Na página Especificar a conta de serviço, selecione Criar uma conta de serviço gerenciado do grupo. Na caixa Nome da Conta , escreva adfssvc
  9. Na página Especificar Base de Dados de Configuração , selecione Criar uma base de dados neste servidor com a Base de Dados Interna do Windows e selecione Seguinte
  10. Na página Opções de Revisão , selecione Seguinte
  11. Na página Verificações de Pré-requisitos , selecione Configurar
  12. Quando o processo estiver concluído, selecione Fechar

Adicionar a conta de serviço do AD FS ao grupo Admins de Chaves

Durante a inscrição do Windows Hello para Empresas, a chave pública é registada num atributo do objeto de utilizador no Active Directory. Para garantir que o serviço do AD FS pode adicionar e remover chaves faz parte do fluxo de trabalho normal, tem de ser membro do grupo global Admins chave.

Inicie sessão num controlador de domínio ou estação de trabalho de gestão com credenciais equivalentes do Administrador de Domínio .

  1. Abra Usuários e Computadores do Active Directory.
  2. Selecione o contentor Utilizadores no painel de navegação
  3. Clique com o botão direito do rato em Administradores de Chaves no painel de detalhes e selecione Propriedades
  4. Selecione a opção Adicionar Membros > ...
  5. Na caixa de texto Insira os nomes do objeto para selecionar, digite adfssvc. Selecione OK
  6. Selecione OK para regressar a Utilizadores e Computadores do Active Directory
  7. Mudar para o servidor que aloja a função do AD FS e reiniciá-la

Configurar o serviço de registo de dispositivos

Inicie sessão no servidor de federação com credenciais equivalentes do Administrador do Enterprise . Essas instruções consideram que você está configurando o primeiro servidor de federação em um farm de servidores de federação.

  1. Abrir a consola de gestão do AD FS
  2. No painel de navegação, expanda Serviço. Selecione Registo de Dispositivos
  3. No painel de detalhes, selecione Configurar o registo de dispositivos
  4. Na caixa de diálogo Configurar Registo de Dispositivos, selecioneOK

Captura de ecrã que mostra o registo de dispositivos do AD FS: configuração do ponto de ligação de serviço.

Acionar o registo de dispositivos a partir do AD FS, cria o ponto de ligação de serviço (SCP) na partição de configuração do Active Directory. O SCP é utilizado para armazenar as informações de registo do dispositivo que os clientes do Windows irão detetar automaticamente.

Captura de ecrã que mostra o registo de dispositivos do AD FS: objeto de ponto de ligação de serviço criado pelo AD FS.

Rever para validar a configuração do AD FS e do Active Directory

Antes de continuar com a implantação, valide seu progresso de implantação analisando os seguintes itens:

  • Registe as informações sobre o certificado do AD FS e defina um lembrete de renovação pelo menos seis semanas antes de expirar. As informações relevantes incluem: número de série do certificado, thumbprint, nome comum, nome alternativo do requerente, nome do servidor anfitrião físico, data de emissão, data de expiração e fornecedor de AC emissor (se não for um certificado da Microsoft)
  • Confirme que adicionou a conta de serviço do AD FS ao grupo KeyAdmins
  • Confirme que ativou o serviço registo de dispositivos

Servidores de federação adicionais

As organizações devem implantar mais de um servidor de federação no farm de federação para oferecer alta disponibilidade. Você deve ter pelo menos dois serviços de federação em seu farm do AD FS, porém a probabilidade é que a maioria das organizações tenham mais. Isso depende amplamente do número de dispositivos e usuários que usam os serviços fornecidos pelo farm do AD FS.

Certificado de autenticação de servidor

Cada servidor que você adicionar ao farm do AD FS deve ter um certificado de autenticação de servidor adequado. Consulte a seção Registro de certificado de autenticação de servidor TLS deste documento para determinar os requisitos para o certificado de autenticação do servidor. Como já mencionado, servidores do AD FS usados exclusivamente para implantações locais do Windows Hello para Empresas podem usar certificados de autenticação de servidor empresarial em vez de certificados de autenticação de servidor emitidos por autoridades de certificação pública.

Instalar servidores adicionais

A adição de servidores de federação ao farm do AD FS existente começa por garantir que o servidor está totalmente corrigido, para incluir a Atualização do Windows Server 2016 necessária para suportar implementações do Windows Hello para Empresas (https://aka.ms/whfbadfs1703). Em seguida, instale a função do Serviços de Federação do Active Directory (AD FS) nos servidores adicionais e configure o servidor como um servidor adicional em um farm existente.

Balanceamento de carga do AD FS

Muitos ambientes fazem o balanceamento de carga com dispositivos de hardware. Ambientes sem recursos de balanceamento de carga de hardware podem aproveitar o recurso de balanceamento de carga de rede incluído no Windows Server para fazer o balanceamento de carga dos servidores do AD FS no farm de federação. Instale o recurso de Balanceamento de carga de rede do Windows em todos os nós que participam do farm do AD FS que deve ser balanceado.

Instalar o Recurso de balanceamento de carga de rede em servidores do AD FS

Inicie sessão no servidor de federação com credenciais equivalentes do Administrador do Enterprise .

  1. Inicie o Gerenciador do servidor. Selecione Servidor Local no painel de navegação
  2. Selecione Gerir e, em seguida, selecione Adicionar Funções e Funcionalidades
  3. Selecione Seguinte na página Antes de começar
  4. Na página Selecionar tipo de instalação , selecione Instalação baseada em funções ou funcionalidades e selecione Seguinte
  5. Na página Selecionar servidor de destino, escolha Selecionar um servidor no pool de servidor. Selecione o servidor de federação na lista Pool de servidores. Selecione Seguinte
  6. Na página Selecionar funções de servidor , selecione Seguinte
  7. Selecione Balanceamento de Carga na Rede na página Selecionar funcionalidades
  8. Selecione Instalar para iniciar a instalação da funcionalidade

Configurar o balanceamento de carga de rede do AD FS

Antes de fazer o balanceamento de carga de todos os nós no farm do AD FS, primeiro você deve criar um novo cluster de balanceamento de carga. Depois de criar o cluster, você pode adicionar novos nós a esse cluster.

Inicie sessão num nó do farm de federação com credenciais equivalentes de Administrador .

  1. Abrir o Gestor de Balanceamento de Carga na Rede a partir das Ferramentas Administrativas
  2. Clique com o botão direito do rato em Clusters de Balanceamento de Carga na Rede e, em seguida, selecione Novo Cluster
  3. Para ligar ao anfitrião que vai fazer parte do novo cluster, na caixa de texto Anfitrião , escreva o nome do anfitrião e, em seguida, selecione Ligar
  4. Selecione a interface que pretende utilizar com o cluster e, em seguida, selecione Seguinte (a interface aloja o endereço IP virtual e recebe o tráfego de cliente para balanceamento de carga)
  5. Em Parâmetros de host, selecione um valor em Prioridade (identificador de host exclusivo). Esse parâmetro especifica uma ID exclusiva para cada host. O host com a menor prioridade numérica entre os atuais membros do cluster trata de todo o tráfego de rede do cluster não coberto por uma regra de porta. Selecione Seguinte
  6. Em Endereços IP do Cluster, selecione Adicionar e escreva o endereço IP do cluster que é partilhado por todos os anfitriões no cluster. O NLB adiciona esse endereço IP à pilha de TCP/IP na interface selecionada de todos os hosts escolhidos para fazer parte do cluster. Selecione Seguinte
  7. Em Parâmetros de Cluster, selecione os valores em Endereço IP e Máscara de sub-rede (para endereços IPv6, um valor de máscara de sub-rede não é necessário). Escreva o nome completo da Internet que os utilizadores utilizarão para aceder a este cluster NLB
  8. No modo de operação cluster, selecione Unicast para especificar que deve ser utilizado um endereço MAC (controlo de acesso a suportes de dados unicast) para operações de cluster. No unicast, o endereço MAC do cluster é atribuído ao adaptador de rede do computador e o endereço MAC interno do adaptador de rede não é usado. Recomendamos que você aceite as configurações unicast padrão. Selecione Seguinte
  9. Em Regras de Porta, selecione Editar para modificar as regras de porta predefinidas para utilizar a porta 443

Servidores AD FS adicionais

  1. Para adicionar mais anfitriões ao cluster, clique com o botão direito do rato no novo cluster e, em seguida, selecione Adicionar Anfitrião ao Cluster
  2. Configure os parâmetros de host (incluindo a prioridade de host, os endereços IP dedicados e peso da carga) para hosts adicionais seguindo as mesmas instruções que você usou para configurar o host inicial. Uma vez que está a adicionar anfitriões a um cluster já configurado, todos os parâmetros ao nível do cluster permanecem os mesmos

Configurar DNS para registro do dispositivo

Inicie sessão no controlador de domínio ou estação de trabalho administrativa com credenciais equivalentes de administrador de domínio.
Precisará do nome do serviço de federação para concluir esta tarefa. Pode ver o nome do serviço de federação ao selecionar Editar Propriedades do Serviço de Federação no painel Ação da consola de gestão do AD FS ou ao utilizar (Get-AdfsProperties).Hostname. o (PowerShell) no servidor do AD FS.

  1. Abrir a consola de Gestão de DNS
  2. No painel de navegação, expanda o nó nome do controlador de domínio e Reencaminhar Zonas de Pesquisa
  3. No painel de navegação, selecione o nó que tem o nome do seu nome de domínio interno do Active Directory
  4. No painel de navegação, clique com o botão direito do rato no nó de nome de domínio e selecione Novo Anfitrião (A ou AAAA)
  5. Na caixa de texto nome, digite o nome do serviço de federação. Na caixa Endereço IP, digite o endereço IP do seu servidor de federação. Selecione Adicionar Anfitrião
  6. Clique com o botão direito do rato no <domain_name> nó e selecione Novo Alias (CNAME)
  7. Na caixa de diálogo Novo Registo de Recursos, escreva enterpriseregistration na caixa Nome do alias
  8. No nome de domínio completamente qualificado (FQDN) da caixa de anfitrião de destino, escreva federation_service_farm_name.<domain_name_fqdne selecione OK
  9. Feche o Console de gerenciamento do DNS

Observação

Se a floresta tiver vários sufixos UPN, certifique-se de que enterpriseregistration.<upnsuffix_fqdn> está presente para cada sufixo.

Configurar a zona da Intranet para incluir o serviço de federação

O provisionamento do Windows Hello apresenta páginas da Web do serviço de federação. A configuração da zona da intranet para incluir o serviço de federação permite que o usuário autentique o serviço de federação usando a autenticação integrada. Sem essa configuração, a conexão com o serviço de federação durante o provisionamento do Windows Hello solicita a autenticação do usuário.

Criar uma Política de grupo de zona da Intranet

Inicie sessão no controlador de domínio ou estação de trabalho administrativa com credenciais equivalentes do Administrador de Domínio :

  1. Iniciar a Consola de Gestão de Políticas de Grupo (gpmc.msc)
  2. Expanda o domínio e selecione o nó Objeto de Política de Grupo no painel de navegação
  3. Clique com o botão direito do mouse no Objeto de política de grupo e selecione Novo
  4. Escreva Definições de Zona da Intranet na caixa de nome e selecione OK
  5. No painel de conteúdo, clique com o botão direito do rato no objeto Política de Grupo Definições da Zona intranet e selecione Editar
  6. No painel de navegação, expanda Políticas em Configuração do Computador
  7. Expanda Modelos Administrativos > Componente > do Windows Página de Segurança do Painel de Controlo da Internet do >Internet Explorer>. Abrir a Lista de Atribuições de Site para Zona
  8. Selecione Ativar > Apresentação. Na coluna Nome do valor, digite o url do serviço de federação começando com https. Na coluna Valor, digite o número 1. Selecione OK duas vezes e, em seguida, feche o Editor de Gestão de Políticas de Grupo

Implante o objeto da política de grupo da Zona da intranet.

  1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
  2. No painel de navegação, expanda o domínio e clique com o botão direito do rato no nó que tem o seu nome de domínio do Active Directory e selecione Ligar um GPO existente...
  3. Na caixa de diálogo Selecionar GPO , selecione Definições de Zona da Intranet ou o nome do objeto Política de Grupo do Windows Hello para Empresas que criou anteriormente e selecione OK

Validar e implementar a autenticação multifator (MFA)

O Windows Hello para Empresas requer que os utilizadores executem a autenticação multifator (MFA) antes de se inscreverem no serviço. As implementações no local podem ser utilizadas como opção de MFA:

  • certificados

    Observação

    Ao utilizar esta opção, os certificados têm de ser implementados para os utilizadores. Por exemplo, os utilizadores podem utilizar o smart card ou o smart card virtual como uma opção de autenticação de certificado.

  • fornecedores de autenticação não Microsoft para o AD FS
  • fornecedor de autenticação personalizado para o AD FS

Importante

A partir de 1 de julho de 2019, a Microsoft deixará de oferecer o Servidor MFA para novas implementações. Os novos clientes que pretendam exigir a autenticação multifator dos seus utilizadores devem utilizar a autenticação multifator do Microsoft Entra baseada na cloud. Os clientes existentes que tenham ativado o Servidor MFA antes de 1 de julho poderão transferir a versão mais recente, atualizações futuras e gerar credenciais de ativação como habitualmente.

Para obter informações sobre os métodos de autenticação não Microsoft disponíveis, veja Configurar Métodos de Autenticação Adicionais para o AD FS. Para criar um método de autenticação personalizado, veja Build a Custom Authentication Method for AD FS in Windows Server (Criar um Método de Autenticação Personalizada para o AD FS no Windows Server)

Siga o guia de integração e implementação do fornecedor de autenticação que selecionou para integrá-lo e implementá-lo no AD FS. Confirme que o fornecedor de autenticação está selecionado como uma opção de autenticação multifator na política de autenticação do AD FS. Para obter informações sobre como configurar políticas de autenticação do AD FS, veja Configurar Políticas de Autenticação.

Rever para validar a configuração

Antes de continuar com a implantação, valide seu progresso de implantação analisando os seguintes itens:

  • Confirme que todos os servidores do AD FS têm um certificado de autenticação de servidor válido. O assunto do certificado é o nome comum (FQDN) do host ou um nome curinga. O nome alternativo do certificado contém um curinga ou o FQDN do serviço de federação
  • Confirme que o farm do AD FS tem um número adequado de nós e se está corretamente com balanceamento de carga para a carga prevista
  • Confirme que reiniciou o serviço do AD FS
  • Confirme se você criou um Registro DNS A para o serviço de federação e o endereço IP usado é o endereço IP de balanceamento de carga
  • Confirme que criou e implementou as definições da Zona de Intranet para impedir a autenticação dupla no servidor de federação
  • Confirmar que implementou uma solução de MFA para o AD FS