Problemas de implementação conhecidos do Windows Hello para Empresas
O conteúdo deste artigo é para ajudar a resolver problemas de implementação conhecidos do Windows Hello para Empresas.
Falha na reposição do PIN nos dispositivos associados ao Microsoft Entra com Erro Não é possível abrir essa página neste momento
A reposição do PIN em dispositivos associados ao Microsoft Entra utiliza um fluxo chamado início de sessão na Web para autenticar o utilizador acima do bloqueio. O início de sessão na Web só permite a navegação para domínios específicos. Se o início de sessão na Web tentar navegar para um domínio que não é permitido, apresenta uma página com a mensagem de erro Não é possível abrir essa página neste momento.
Identificar problema de domínios permitidos de Reposição de PIN
O utilizador pode iniciar o fluxo de reposição do PIN a partir do ecrã de bloqueio com a ligação Esqueci-me do PIN no fornecedor de credenciais de PIN. Selecionar a ligação inicia uma IU em ecrã inteiro para a experiência de PIN em dispositivos de associação ao Microsoft Entra. Normalmente, a IU apresenta uma página de autenticação, na qual o utilizador autentica com as credenciais do Microsoft Entra e conclui a MFA.
Em ambientes federados, a autenticação pode ser configurada para encaminhar para o AD FS ou para um fornecedor de identidade que não seja da Microsoft. Se o fluxo de reposição do PIN for iniciado e tentar navegar para uma página de servidor de fornecedor de identidade federado, este falha e apresenta o erro Não é possível abrir essa página neste momento , se o domínio da página do servidor não estiver incluído numa lista de permissões.
Se for cliente da cloud do Azure US Government , a reposição do PIN também tenta navegar para um domínio que não está incluído na lista de permissões predefinida. O resultado é a mensagem Não é possível abrir essa página neste momento.
Resolver problema relacionado com a Reposição de PIN nos domínios permitidos
Para resolver o erro, pode configurar uma lista de domínios permitidos para a reposição do PIN com a política ConfigureWebSignInAllowedUrls . Para obter informações sobre como configurar a política, veja Configurar URLs permitidos para fornecedores de identidade federados em dispositivos associados ao Microsoft Entra.
Início de sessão de fidedignidade de chave híbrida quebrado devido à eliminação da chave pública do utilizador
Aplica-se a:
- Implementações de fidedignidade de chave híbrida
- Windows Server 2016, compila 14393.3930 para 14393.4048
- Windows Server 2019, compila 17763.1457 para 17763.1613
Em Implementações de fidedignidade de chave híbrida com controladores de domínio a executar determinadas compilações do Windows Server 2016 e Windows Server 2019, a chave do Windows Hello para Empresas do utilizador é eliminada após o início de sessão. Os inícios de sessão subsequentes falharão até que a chave do utilizador seja sincronizada durante o próximo ciclo de sincronização delta do Microsoft Entra Connect.
Identificar problema de eliminação da chave pública do utilizador
Depois de o utilizador aprovisionar uma credencial do Windows Hello para Empresas num ambiente de fidedignidade de chave híbrida, a chave tem de ser sincronizada do Microsoft Entra ID para o Active Directory durante um ciclo de Sincronização do Microsoft Entra Connect. A chave pública do utilizador é escrita no msDS-KeyCredentialLink
atributo do objeto de utilizador.
Antes da sincronização da chave do Windows Hello para Empresas do utilizador, os inícios de sessão com o Windows Hello para Empresas falham com a mensagem de erro Essa opção está temporariamente indisponível. Por agora, utilize um método diferente para iniciar sessão. Após a sincronização da chave com êxito, o utilizador pode iniciar sessão e desbloquear com o PIN ou a biometria inscrita.
Em ambientes com o problema, após o primeiro início de sessão com o Windows Hello para Empresas e o aprovisionamento estar concluído, a próxima tentativa de início de sessão falha. Em ambientes onde os controladores de domínio estão a executar uma combinação de compilações, alguns utilizadores podem ser afetados pelo problema e as tentativas de início de sessão subsequentes podem ser enviadas para diferentes controladores de domínio. O resultado são falhas intermitentes de início de sessão.
Após a tentativa inicial de início de sessão, a chave pública do Windows Hello para Empresas do utilizador é eliminada do msDS-KeyCredentialLink attribute
. Pode verificar a eliminação ao consultar o atributo de um utilizador antes e depois do msDS-KeyCredentialLink
início de sessão. Pode consultar o msDS-KeyCredentialLink
no AD com Get-ADUser e especificar msds-keycredentiallink
para o -Properties
parâmetro .
Resolver problema de eliminação da chave pública do utilizador
Para resolver o problema, atualize os controladores de domínio do Windows Server 2016 e 2019 com os patches mais recentes. Para o Windows Server 2016, o comportamento é corrigido na compilação 14393.4104 (KB4593226) e posterior. Para o Windows Server 2019, o comportamento é corrigido na compilação 17763.1637 (KB4592440).
O Microsoft Entra associou o acesso de dispositivos a recursos no local através da fidedignidade da chave e da Autoridade de Certificação (AC) não Microsoft
Aplica-se a:
- Implementações de confiança chave associadas ao Microsoft Entra
- Autoridade de certificação (AC) não Microsoft a emitir certificados de controlador de domínio
O Windows Hello para Empresas utiliza a autenticação baseada em smart card para muitas operações. Este tipo de autenticação tem diretrizes especiais ao utilizar uma AC não Microsoft para a emissão de certificados, algumas das quais se aplicam aos controladores de domínio. Nem todos os tipos de implementação do Windows Hello para Empresas necessitam destas configurações. O acesso a recursos no local a partir de um dispositivo associado ao Microsoft Entra requer uma configuração especial ao utilizar uma AC que não seja da Microsoft para emitir certificados de controlador de domínio.
Para obter mais informações, leia Diretrizes para ativar o início de sessão de smart card com autoridades de certificação não Microsoft.
Identificar problemas de acesso a recursos no local com ACs não Microsoft
O problema pode ser identificado com rastreios de rede ou registos Kerberos do cliente. No rastreio de rede, o cliente não consegue efetuar um TGS_REQ
pedido quando um utilizador tenta aceder a um recurso. No cliente, pode ser observado no registo Application and Services/Microsoft/Windows/Security-Kerberos/Operational
de eventos da operação Kerberos em . Os registos estão desativados por predefinição. O evento de falha para este caso inclui as seguintes informações:
Log Name: Microsoft-Windows-Kerberos/Operational
Source: Microsoft-Windows-Security-Kerberos
Event ID: 107
GUID: {98e6cfcb-ee0a-41e0-a57b-622d4e1b30b1}
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Description:
The Kerberos client received a KDC certificate that does not have a matched domain name.
Expected Domain Name: ad.contoso.com
Error Code: 0xC000006D
Resolver problema de acesso a recursos no local com ACs não Microsoft
Para resolver o problema, os certificados do controlador de domínio têm de ser atualizados para que o requerente do certificado contenha o caminho do diretório do objeto de servidor (nome único).
Assunto de Exemplo: CN=DC1,OU=Domain Controllers,DC=ad,DC=contoso,DC=com
Em alternativa, pode definir o nome alternativo do requerente (SAN) do certificado do controlador de domínio para conter o nome de domínio completamente qualificado do objeto de servidor e o nome NETBIOS do domínio. Nome Alternativo do Requerente de Exemplo:
dns=dc1.ad.contoso.com
dns=ad.contoso.com
dns=ad
Autenticação de fidedignidade chave quebrada para o Windows Server 2019
Aplica-se a:
- Windows Server 2019
- Implementações de fidedignidade de chave híbrida
- Implementações de fidedignidade chave no local
Os controladores de domínio com versões anteriores do Windows Server 2019 têm um problema que impede que a autenticação de fidedignidade de chave funcione corretamente. Os rastreios de redes comunicam KDC_ERR_CLIENT_NAME_MISMATCH.
Identificar o problema de autenticação da chave de confiança do Windows Server 2019
No cliente, a autenticação com o Windows Hello para Empresas falha com a mensagem de erro. Essa opção está temporariamente indisponível. Por agora, utilize um método diferente para iniciar sessão.
O erro é apresentado em dispositivos associados híbridos do Microsoft Entra em implementações de fidedignidade chave após o aprovisionamento do Windows Hello para Empresas, mas antes de a chave de um utilizador ser sincronizada do ID do Microsoft Entra para o Active Directory. Se a chave de um utilizador não for sincronizada a partir do Microsoft Entra ID e o msDS-keycredentiallink
atributo no objeto de utilizador no AD estiver preenchido para NGC, é possível que o erro ocorra.
Outro indicador da falha pode ser identificado através de rastreios de rede. Se capturar rastreios de rede para um evento de início de sessão de fidedignidade chave, os rastreios mostram que o Kerberos está a falhar com o erro KDC_ERR_CLIENT_NAME_MISMATCH.
Resolver problema de autenticação de fidedignidade de chave do Server 2019
O problema é resolvido no Windows Server 2019, compilação 17763.316 (KB4487044). Atualize todos os controladores de domínio do Windows Server 2019 para a compilação 17763.316 ou mais recente para resolver o problema.
Aprovisionamento de confiança de certificados com o AD FS danificado no Windows Server 2019
Aplica-se a:
- Windows Server 2019
- Implementações de confiança de certificados híbridos
- Implementações de confiança de certificados no local
O AD FS em execução no Windows Server 2019 não consegue concluir a autenticação do dispositivo devido a uma verificação inválida dos âmbitos de entrada no pedido. A autenticação de dispositivos no AD FS é um requisito para o Windows Hello para Empresas inscrever um certificado com o AD FS. O cliente bloqueia o aprovisionamento do Windows Hello para Empresas até que a autenticação seja efetuada com êxito.
Identificar a confiança do certificado com o problema de inscrição do AD FS 2019
A experiência de aprovisionamento do Windows Hello para Empresas é iniciada se as verificações de pré-requisitos forem efetuadas com êxito. O resultado das verificações de aprovisionamentoAdmin está disponível nos registos de eventos em Registo de Dispositivos Microsoft-Windows-Utilizador. Se o aprovisionamento estiver bloqueado porque a autenticação do dispositivo não é bem-sucedida, o ID do evento 362 é registado a indicar que o Utilizador foi autenticado com êxito para o STS da empresa: Não.
Log Name: Microsoft-Windows-User Device Registration/Admin
Source: Microsoft-Windows-User Device Registration
Date: <Date and time>
Event ID: 362
Task Category: None
Level: Warning
Keywords:
User: <User SID>
Computer: <Computer name>
Description:
Windows Hello for Business provisioning will not be launched.
Device is Azure Active Directory-joined ( AADJ or DJ++ ): Yes
User has logged on with Azure Active Directory credentials: Yes
Windows Hello for Business policy is enabled: Yes
Windows Hello for Business post-logon provisioning is enabled: Yes
Local computer meets Windows hello for business hardware requirements: Yes
User is not connected to the machine via Remote Desktop: Yes
User certificate for on premise auth policy is enabled: Yes
Enterprise user logon certificate enrollment endpoint is ready: Not Tested
Enterprise user logon certificate template is : No ( 1 : StateNoPolicy )
User has successfully authenticated to the enterprise STS: No
Certificate enrollment method: enrollment authority
See https://go.microsoft.com/fwlink/?linkid=832647 for more details.
Se um dispositivo tiver aderido recentemente a um domínio, poderá haver um atraso antes de ocorrer a autenticação do dispositivo. Se o estado de falha desta verificação de pré-requisitos persistir, poderá indicar um problema com a configuração do AD FS.
Se o problema de âmbito do AD FS estiver presente, os registos de eventos no servidor do AD FS indicam uma falha de autenticação do cliente. O erro é registado nos registos de eventos no AD FS/Admin como ID do evento 1021 e o evento especifica que o cliente é proibido de aceder ao recurso http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope
com o âmbito ugs
:
Log Name: AD FS/Admin
Source: AD FS
Date: <Date and time>
Event ID: 1021
Task Category: None
Level: Error
Keywords: AD FS
User: <ADFS service Account>
Computer: <Date and time>
Description:
Encountered error during OAuth token request.
Additional Data
Exception details:
Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthUnauthorizedClientException: MSIS9368: Received invalid OAuth request. The client '38aa3b87-a06d-4817-b275-7a316988d93b' is forbidden to access the resource 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' with scope 'ugs'.
at Microsoft.IdentityServer.Web.Protocols.OAuth.OAuthProtocolContext.ValidateScopes(String scopeParameter, String clientId, String relyingPartyId)
at Microsoft.IdentityServer.Web.Protocols.OAuth.OAuthToken.OAuthJWTBearerRequestContext.ValidateCore()
Resolver o problema de confiança do certificado com a inscrição do AD FS 2019
Este problema foi corrigido no Windows Server, versão 1903 e posterior. Para o Windows Server 2019, o problema pode ser remediado ao adicionar manualmente o âmbito ugs.
Inicie a consola de gestão do AD FS. Navegue para Descrições do Âmbito dos Serviços>.
Selecione Descrições do Âmbito à direita e selecione Adicionar Descrição do Âmbito.
Em nome, escreva ugs e selecione Aplicar > OK.
Inicie o PowerShell como administrador.
Obtenha o ObjectIdentifier da permissão da aplicação com o parâmetro ClientRoleIdentifier igual a "38aa3b87-a06d-4817-b275-7a316988d93b":
(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
Execute o comando
Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'
.Reinicie o serviço do AD FS.
No cliente: reinicie o cliente. O utilizador deve ser solicitado a aprovisionar o Windows Hello para Empresas.