Compartilhar via


Configurar os Serviços de Federação do Active Directory num modelo de confiança de certificado híbrido

Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:


As implementações baseadas em certificados do Windows Hello para Empresas utilizam o AD FS como autoridade de registo de certificados (CRA). A CRA é responsável pela emissão e revogação de certificados para os utilizadores. Depois que a autoridade de registro verifica a solicitação de certificado, ele assina a solicitação de certificado usando o certificado de agente de registro e o envia para a autoridade de certificação.
A CRA inscreve-se num certificado de agente de inscrição e o modelo de certificado de autenticação do Windows Hello para Empresas está configurado para emitir apenas certificados para pedidos assinados com um certificado de agente de inscrição.

Observação

Para que o AD FS verifique os pedidos de certificado de utilizador para o Windows Hello para Empresas, tem de conseguir aceder ao https://enterpriseregistration.windows.net ponto final.

Configurar a autoridade de registo de certificados

Inicie sessão no servidor do AD FS com credenciais equivalentes de administrador de domínio .

Abra uma linha de comandos do Windows PowerShell e escreva o seguinte comando:

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

Observação

Se deu nomes diferentes ao Agente de Inscrição do Windows Hello para Empresas e aos modelos de certificado de Autenticação do Windows Hello para Empresas, substitua WHFBEnrollmentAgent e WHFBAuthentication no comando acima pelo nome dos modelos de certificado. É importante que você use o nome do modelo em vez do nome de exibição do modelo. Pode ver o nome do modelo no separador Geral do modelo de certificado com a consola de gestão do Modelo de Certificado (certtmpl.msc). Em alternativa, pode ver o nome do modelo com o cmdlet do Get-CATemplate PowerShell numa AC.

Inscrição de certificados do agente de inscrição

O AD FS executa a sua própria gestão do ciclo de vida do certificado. Depois que a autoridade de registro é configurada com o modelo de certificado adequado, o servidor do AD FS tenta registrar o certificado na primeira solicitação de certificado ou quando o serviço é iniciado pela primeira vez.

Aproximadamente 60 dias antes da expiração do certificado do agente de inscrição, o serviço do AD FS tenta renovar o certificado até ter êxito. Se o certificado não for renovado e o certificado expirar, o servidor do AD FS pedirá um novo certificado do agente de inscrição. É possível exibir os logs de eventos do AD FS para determinar o status do certificado do agente de registro.

Associações de Grupo para a conta de serviço do AD FS

A conta de serviço do AD FS tem de ser membro do grupo de segurança visado pela inscrição automática do modelo de certificado de autenticação (por exemplo, Utilizadores do Windows Hello para Empresas). O grupo de segurança fornece ao serviço do AD FS as permissões necessárias para inscrever um certificado de autenticação do Windows Hello para Empresas em nome do utilizador de aprovisionamento.

Dica

A conta adfssvc é a conta de serviço do AD FS.

Entre em um controlador de domínio ou em uma estação de trabalho de gerenciamento com credenciais equivalentes da de Administrador de domínio.

  1. Abra Usuários e Computadores do Active Directory.
  2. Procure o grupo de segurança visado pela inscrição automática do modelo de certificado de autenticação (por exemplo, Utilizadores do Windows Hello para Empresas)
  3. Selecione o separador Membros e selecione Adicionar
  4. Na caixa de texto Introduza os nomes dos objetos para selecionar, escreva adfssvc ou substitua o nome da conta de serviço do AD FS na implementação > do AD FS OK
  5. Selecione OK para regressar a Utilizadores e Computadores do Active Directory
  6. Reiniciar o servidor do AD FS

Observação

Para o AD FS 2019 e posterior num modelo de fidedignidade de certificado, existe um problema conhecido do PRT. Poderá deparar-se com este erro nos registos de eventos do Administrador do AD FS: recebeu um pedido Oauth inválido. O cliente "NAME" está proibido de aceder ao recurso com o âmbito "ugs". Para obter mais informações sobre o isse e a respetiva resolução, veja Certificate trust provisioning with AD FS broken on windows server 2019 (Aprovisionamento de confiança de certificados com o AD FS danificado no Windows Server 2019).

Revisão da secção e passos seguintes

Antes de avançar para a secção seguinte, certifique-se de que os seguintes passos estão concluídos:

  • Configurar a autoridade de registo de certificados
  • Atualizar as associações de grupo para a conta de serviço do AD FS