Partilhar via


Utilizar Certificados para Microsoft Entra início de sessão único no local associado

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:


Se planear utilizar certificados para o início de sessão único no local, siga estes passos adicionais para configurar o ambiente para inscrever certificados Windows Hello para Empresas para Microsoft Entra dispositivos associados.

Importante

Certifique-se de que efetuou as configurações em dispositivos associados Microsoft Entra para Single-Sign No local antes de continuar.

Os passos que irá executar incluem:

Requisitos

Tem de instalar e configurar uma infraestrutura adicional para fornecer Microsoft Entra dispositivos associados com início de sessão único no local.

  • Uma Autoridade de Certificação Empresarial do Windows Server existente
  • Um domínio associado ao Windows Server que aloja a função Serviços de Inscrição de Dispositivos de Rede (NDES)

Elevada Disponibilidade

A função de servidor do NDES atua como uma autoridade de registo de certificados (CRA). Os servidores de registo de certificados inscrevem certificados em nome do utilizador. Os utilizadores pedem certificados ao serviço do NDES em vez de diretamente da autoridade de certificação emissora.

A arquitetura do servidor do NDES impede que seja agrupado ou balanceado de carga para elevada disponibilidade. Para fornecer elevada disponibilidade, tem de instalar mais do que um servidor do NDES configurado de forma idêntica e utilizar Microsoft Intune para fazer o balanceamento de carga (de forma round robin).

A função de servidor do Serviço de Inscrição de Dispositivos de Rede (NDES) pode emitir até três modelos de certificado exclusivos. A função de servidor consegue-o ao mapear a finalidade do pedido de certificado para um modelo de certificado configurado. A finalidade do pedido de certificado tem três opções:

  • Assinatura
  • Criptografia
  • Assinatura e Encriptação

Se precisar de implementar mais de três tipos de certificados no dispositivo associado Microsoft Entra, precisa de servidores do NDES adicionais. Em alternativa, considere consolidar modelos de certificado para reduzir o número de modelos de certificado.

Requisitos de Rede

Toda a comunicação ocorre de forma segura através da porta 443.

Preparar o Microsoft Entra Connect

A autenticação com êxito nos recursos no local através de um certificado requer que o certificado forneça uma sugestão sobre o domínio no local. A sugestão pode ser o nome único do Active Directory do utilizador como requerente do certificado ou a sugestão pode ser o nome principal de utilizador do utilizador em que o sufixo corresponde ao nome de domínio do Active Directory.

A maioria dos ambientes altera o sufixo do nome principal de utilizador para corresponder ao nome de domínio externo (ou domínio intuitivo) da organização, o que impede o nome principal de utilizador como uma sugestão para localizar um controlador de domínio. Por conseguinte, o certificado precisa do nome único no local do utilizador no assunto para localizar corretamente um controlador de domínio.

Para incluir o nome único no local no assunto do certificado, Microsoft Entra Connect tem de replicar o atributo distinguishedName do Active Directory para o atributo Microsoft Entra ID onPremisesDistinguishedName. Microsoft Entra Connect versão 1.1.819 inclui as regras de sincronização adequadas necessárias para estes atributos.

Verificar a versão do Microsoft Entra Connect

Inicie sessão no computador com o Microsoft Entra Ligar com acesso equivalente ao administrador local.

  1. Abra os Serviços de Sincronização a partir da pasta Microsoft Entra Connect.
  2. Na Service Manager Sincronização, selecione Ajuda e, em seguida, selecione Acerca de.
  3. Se o número da versão não for 1.1.819 ou posterior, atualize Microsoft Entra Ligar à versão mais recente.

Verifique se o atributo onPremisesDistinguishedName está sincronizado

A forma mais fácil de verificar se o atributo onPremisesDistingushedNamne está sincronizado é utilizar o Graph Explorer para Microsoft Graph.

  1. Abra um browser e navegue para Graph Explorer.

  2. Selecione Iniciar sessão no Graph Explorer e forneça credenciais de Microsoft Entra ID.

    Observação

    Para consultar com êxito o API do Graph, têm de ser concedidas permissões adequadas

  3. Selecione Modificar permissões (Pré-visualização). Desloque-se para baixo e localize User.Read.All (ou qualquer outra permissão necessária) e selecione Consentimento. Ser-lhe-á pedido o consentimento das permissões delegadas

  4. No Graph Explorer URL, introduza https://graph.microsoft.com/v1.0/users/[userid]?$select=displayName,userPrincipalName,onPremisesDistinguishedName, em que [userid] é o nome principal de utilizador de um utilizador no Microsoft Entra ID. Selecione Executar consulta.

    Observação

    Uma vez que o ponto final v1.0 do API do Graph fornece apenas um conjunto limitado de parâmetros, iremos utilizar o parâmetro de consulta OData opcional $select. Para sua comodidade, é possível mudar o seletor da versão da API da v1.0 para a versão beta antes de efetuar a consulta. Esta ação irá fornecer todas as informações de utilizador disponíveis, mas lembre-se de que as consultas de ponto final beta não devem ser utilizadas em cenários de produção.

    Solicitação

    GET https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}?$select=displayName,userPrincipalName,onPremisesDistinguishedName
    
  5. Nos resultados devolvidos, reveja os dados JSON do atributo onPremisesDistinguishedName . Confirme que o atributo tem um valor e que o valor é preciso para o utilizador especificado. Se o atributo onPremisesDistinguishedName não for sincronizado, o valor será nulo.

    Resposta

    HTTP/1.1 200 OK
    Content-type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,userPrincipalName,onPremisesDistinguishedName)/$entity",
        "displayName": "Nestor Wilke",
        "userPrincipalName": "NestorW@contoso.com",
        "onPremisesDistinguishedName" : "CN=Nestor Wilke,OU=Operations,DC=contoso,DC=com"
    }
    

Preparar a Conta de Serviço dos Serviços de Inscrição de Dispositivos de Rede (NDES)

Criar o grupo de segurança global dos Servidores do NDES

A implementação utiliza o grupo de segurança Servidores do NDES para atribuir ao serviço do NDES as atribuições adequadas do direito de utilizador.

Inicie sessão num controlador de domínio ou estação de trabalho de gestão com acesso equivalente ao administrador de domínio.

  1. Abra Usuários e Computadores do Active Directory.
  2. Expanda o nó do domínio no painel de navegação.
  3. Clique com botão direito do mouse no contêiner Usuários. Paire o cursor sobre Novo e selecione Grupo.
  4. Escreva Servidores do NDES na caixa de texto Nome do Grupo .
  5. Clique em OK.

Adicionar o servidor do NDES ao grupo de segurança global servidores do NDES

Inicie sessão num controlador de domínio ou estação de trabalho de gestão com acesso equivalente ao administrador de domínio.

  1. Abra Usuários e Computadores do Active Directory.

  2. Expanda o nó do domínio no painel de navegação.

  3. Selecione Computadores no painel de navegação. Clique com o botão direito do rato no nome do servidor do NDES que irá alojar a função de servidor do NDES. Selecione Adicionar a um grupo.

  4. Escreva Servidores do NDES em Introduza os nomes dos objetos a selecionar. Clique em OK. Selecione OK na caixa de diálogo Active Directory Domain Services êxito.

    Observação

    Para elevada disponibilidade, deve ter mais do que um servidor do NDES para atender Windows Hello para Empresas pedidos de certificado. Deve adicionar mais Windows Hello para Empresas servidores do NDES a este grupo para garantir que recebem a configuração adequada.

Criar a Conta de Serviço do NDES

A função Serviços de Inscrição de Dispositivos de Rede (NDES) é executada numa conta de serviço. Normalmente, é preferencial executar serviços com uma Conta de Serviço Gerida de Grupo (GMSA). Embora a função do NDES possa ser configurada para ser executada com um GMSA, o Intune Certificate Connector não foi concebido nem testado com um GMSA e é considerado uma configuração não suportada. A implementação utiliza uma conta de serviços normal.

Inicie sessão num controlador de domínio ou estação de trabalho de gestão com acesso equivalente ao administrador de domínio.

  1. No painel de navegação, expanda o nó que tem o seu nome de domínio. Clique em Selecionar Usuários.
  2. Clique com botão direito do mouse no contêiner Usuários. Paire o cursor sobre Novo e, em seguida, selecione Utilizador. Escreva NDESSvc em Nome Completo e Nome de início de sessão do utilizador. Selecione Avançar.
  3. Escreva uma palavra-passe segura na Palavra-passe. Confirme a palavra-passe segura em Confirmar Palavra-passe. Limpar O usuário deve alterar a senha no próximo logon. Selecione Avançar.
  4. Selecione Concluir.

Importante

Configurar a palavra-passe da conta do serviço para a Palavra-passe nunca expira pode ser mais conveniente, mas representa um risco de segurança. As palavras-passe normais da conta de serviço devem expirar de acordo com a política de expiração de palavras-passe de utilizador das organizações. Crie um lembrete para alterar a palavra-passe da conta de serviço duas semanas antes de esta expirar. Partilhe o lembrete com outras pessoas com permissão para alterar a palavra-passe para garantir que a palavra-passe é alterada antes de expirar.

Criar o objeto de Política de Grupo de Direitos de Utilizador do Serviço NDES

O objeto Política de Grupo garante que a conta de Serviço do NDES tem o direito de utilizador adequado para atribuir todos os servidores do NDES no grupo Servidores do NDES. À medida que adiciona novos servidores do NDES ao seu ambiente e a este grupo, a conta de serviço recebe automaticamente os direitos de utilizador adequados através do Política de Grupo.

Entre em um controlador de domínio ou em estações de trabalho de gerenciamento com credenciais equivalentes de Administrador de domínio.

  1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)

  2. Expanda o domínio e selecione o nó Objeto de política de grupo no painel de navegação.

  3. Clique com o botão direito do mouse em Objeto de política de grupo e selecione Novo.

  4. Escreva Direitos de Serviço do NDES na caixa nome e selecione OK.

  5. No painel de conteúdo, clique com o botão direito do rato no objeto direitos de serviço do NDES Política de Grupo e selecione Editar.

  6. No painel de navegação, expanda Políticas em Configuração do computador.

  7. Expanda Definições de Segurança definições > do Windows Políticas > Locais. Selecione Atribuições de Direitos de Utilizador.

  8. No painel de conteúdo, faça duplo clique em Permitir início de sessão localmente. Selecione Definir estas definições de política e selecione OK. Selecione Adicionar Utilizador ou Grupo.... Na caixa de diálogo Adicionar Utilizador ou Grupo , selecione Procurar. Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, escreva Administradores; Operadores de Cópia de Segurança; DOMAINNAME\NDESSvc; Utilizadores em que DOMAINNAME é o nome NetBios do domínio (Exemplo CONTOSO\NDESSvc) em Nomes de utilizador e de grupo. Selecione OK duas vezes.

  9. No painel de conteúdo, faça duplo clique em Iniciar sessão como uma tarefa de lote. Selecione Definir estas definições de política e selecione OK. Selecione Adicionar Utilizador ou Grupo.... Na caixa de diálogo Adicionar Utilizador ou Grupo , selecione Procurar. Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, escreva Administradores; Operadores de Cópia de Segurança; DOMAINNAME\NDESSvc; Registo de Desempenho Utilizadores em que DOMAINNAME é o nome NetBios do domínio (Exemplo CONTOSO\NDESSvc) em Nomes de utilizador e de grupo. Selecione OK duas vezes.

  10. No painel de conteúdo, faça duplo clique em Iniciar sessão como um serviço. Selecione Definir estas definições de política e selecione OK. Selecione Adicionar Utilizador ou Grupo.... Na caixa de diálogo Adicionar Utilizador ou Grupo , selecione Procurar. Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, escreva NT SERVICE\ALL SERVICES; DOMAINNAME\NDESSvc em que DOMAINNAME é o nome NetBios do domínio (Exemplo CONTOSO\NDESSvc) em Nomes de utilizador e de grupo. Selecione OK três vezes.

  11. Feche o Editor de Gerenciamento de Política de Grupo.

Configurar a segurança para o objeto de Política de Grupo de Direitos de Utilizador do Serviço NDES

A melhor forma de implementar o objeto de Política de Grupo de Direitos de Utilizador do Serviço do NDES é utilizar a filtragem de grupos de segurança. Isto permite-lhe gerir facilmente os computadores que recebem as definições de Política de Grupo ao adicioná-las a um grupo.

Inicie sessão num controlador de domínio ou estação de trabalho de gestão com acesso equivalente ao administrador de domínio.

  1. Inicie o Console de gerenciamento de política de grupo (gpmc.msc).
  2. Expanda o domínio e selecione o nó Objeto de política de grupo no painel de navegação.
  3. Faça duplo clique no objeto Política de Grupo direitos de utilizador do Serviço NDES.
  4. Na secção Filtragem de Segurança do painel de conteúdos, selecione Adicionar. Escreva Servidores do NDES ou o nome do grupo de segurança que criou anteriormente e selecione OK.
  5. Selecione o separador Delegação . Selecione Utilizadores Autenticados e selecione Avançadas.
  6. Na lista Nomes de grupo ou de usuário, selecione Usuários autenticados. Na lista Permissões para usuários autenticados, desmarque a caixa de seleção Permitir caixa da permissão Aplicar política de grupo. Selecione OK

Implementar o objeto de Política de Grupo de Direitos de Utilizador do Serviço do NDES

A aplicação do objeto direitos de utilizador do Serviço do NDES Política de Grupo utiliza a filtragem de grupos de segurança. Isto permite-lhe ligar o objeto Política de Grupo no domínio, garantindo que o objeto Política de Grupo está dentro do âmbito de todos os computadores. No entanto, a filtragem do grupo de segurança garante que apenas os computadores incluídos no grupo de segurança global servidores do NDES recebem e aplicam o objeto Política de Grupo, o que resulta em fornecer à conta de serviço do NDESSvc os direitos de utilizador adequados.

Inicie sessão num controlador de domínio ou estação de trabalho de gestão com acesso equivalente ao administrador de domínio.

  1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
  2. No painel de navegação, expanda o domínio e clique com o botão direito do rato no nó que tem o seu nome de domínio do Active Directory e selecione Ligar um GPO existente
  3. Na caixa de diálogo Selecionar GPO, selecione Direitos de Utilizador do Serviço do NDES ou o nome do objeto Política de Grupo que criou anteriormente e selecione OK

Importante

Ligar o objeto de Política de Grupo direitos de utilizador do Serviço NDES ao domínio garante que o objeto Política de Grupo está no âmbito de todos os computadores. No entanto, nem todos os computadores terão as definições de política aplicadas aos mesmos. Apenas os computadores que são membros do grupo de segurança global servidores do NDES recebem as definições de política. Todos os outros computadores ignoram o objeto Política de Grupo.

Preparar a Autoridade de Certificação do Active Directory

Tem de preparar a infraestrutura de chave pública e a autoridade de certificação emissora para suportar a emissão de certificados com Microsoft Intune e a função de servidor dos Serviços de Inscrição de Dispositivos de Rede (NDES). Nesta tarefa, irá

  • Configurar a autoridade de certificação para permitir que Intune forneçam períodos de validade
  • Criar um modelo de Certificado de Autenticação NDES-Intune
  • Criar um modelo de certificado de autenticação de Windows Hello para Empresas associado a Microsoft Entra
  • Publicar modelos de certificado

Configurar a autoridade de certificação para permitir que Intune forneçam períodos de validade

Ao implementar certificados com Microsoft Intune, tem a opção de fornecer o período de validade no perfil de certificado SCEP em vez de depender do período de validade no modelo de certificado. Se precisar de emitir o mesmo certificado com diferentes períodos de validade, poderá ser vantajoso utilizar o perfil SCEP, dado o número limitado de certificados que um único servidor do NDES pode emitir.

Observação

Ignore este passo se não quiser ativar Microsoft Intune para especificar o período de validade do certificado. Sem esta configuração, o pedido de certificado utiliza o período de validade configurado no modelo de certificado.

Inicie sessão na autoridade de certificação emissora com acesso equivalente ao administrador local.

  1. Abra uma linha de comandos elevada e escreva o seguinte comando:

    certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
    
  2. Reiniciar o serviço dos Serviços de Certificados do Active Directory

Criar um modelo de certificado de autenticação NDES-Intune

O NDES utiliza um certificado de autenticação de servidor para autenticar o ponto final do servidor, que encripta a comunicação entre o mesmo e o cliente de ligação. O Intune Certificate Connector utiliza um modelo de certificado de autenticação de cliente para autenticar no ponto de registo de certificados.

Inicie sessão na autoridade de certificação ou estações de trabalho de gestão emissoras com o Domínio Administração credenciais equivalentes.

  1. Abra o console de gerenciamento da Autoridade de certificação.

  2. Clique com o botão direito do rato em Modelos de Certificado e selecione Gerir.

  3. Na Consola do Modelo de Certificado, clique com o botão direito do rato no modelo Computador no painel de detalhes e selecione Duplicar Modelo.

  4. No separador Geral, escreva Autenticação Intune do NDES no Nome a apresentar do modelo. Ajuste a validade e o período de renovação para atender às necessidades da sua empresa.

    Observação

    Se utilizar nomes de modelos diferentes, terá de memorizar e substituir estes nomes por partes diferentes do laboratório.

  5. No separador Assunto , selecione Fornecer no pedido.

  6. No separador Criptografia , valide se o Tamanho mínimo da chave é 2048.

  7. No separador Segurança , selecione Adicionar.

  8. Selecione Tipos de Objeto e, em seguida, na janela apresentada, selecione Computadores e selecione OK.

  9. Escreva servidor do NDES na caixa de texto Introduza os nomes dos objetos para selecionar e selecione OK.

  10. Selecione Servidor do NDES na lista Nomes de grupos ou utilizadores . Na secção Permissões para, selecione a caixa Permitir marcar da permissão Inscrever. Desmarque a caixa Permitir marcar para as permissões inscrever e inscrever automaticamente para todos os outros itens na lista Nomes de grupos ou utilizadores se as caixas de marcar ainda não estiverem desmarcadas. Clique em OK.

  11. Selecione Aplicar para guardar as alterações e fechar a consola.

Criar um modelo de certificado de autenticação de Windows Hello para Empresas associado a Microsoft Entra

Durante Windows Hello para Empresas aprovisionamento, o Windows pede um certificado de autenticação de Microsoft Intune, que pede o certificado de autenticação em nome do utilizador. Essa tarefa configura o modelo de certificado de autenticação do Windows Hello para Empresas. Utilize o nome do modelo de certificado ao configurar o Servidor do NDES.

Inicie sessão numa autoridade de certificação ou estações de trabalho de gestão com o Domínio Administração credenciais equivalentes.

  1. Abra o console de gerenciamento da Autoridade de certificação.

  2. Clique com o botão direito do rato em Modelos de Certificado e selecione Gerir.

  3. Clique com o botão direito do mouse no modelo de Logon do cartão inteligente e escolha Duplicar modelo.

  4. Na guia Compatibilidade , desmarque a caixa de seleção Mostrar alterações resultantes . Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista Autoridade de certificação. Selecione Windows Server 2012 ou Windows Server 2012 R2 na lista Destinatários do Certificado.

  5. No separador Geral , escreva Entra JOINED WHFB Authentication em Nome a apresentar do modelo. Ajuste a validade e o período de renovação para atender às necessidades da sua empresa.

    Observação

    Se utilizar nomes de modelos diferentes, terá de memorizar e substituir estes nomes em partes diferentes da implementação

  6. Na guia Criptografia, selecione Provedor de armazenamento de chaves da lista Categoria de provedor. Selecione RSA na lista Nome do algoritmo. Digite 2048 na caixa de texto Tamanho mínimo de chave. Selecione SHA256 na lista Solicitar hash.

  7. Na guia Extensões, verifique se as extensões de Políticas de aplicativo incluem Logon com cartão inteligente.

  8. No separador Assunto , selecione Fornecer no pedido.

  9. No separador Processamento de Pedidos , selecione Assinatura e encriptação na lista Objetivos . Selecione a caixa de marcar Renovar com a mesma chave. Selecione Inscrever assunto sem necessidade de qualquer entrada de utilizador.

  10. No separador Segurança , selecione Adicionar. Escreva NDESSvc na caixa de texto Introduza os nomes dos objetos para selecionar e selecione OK.

  11. Selecione NDESSvc na lista Nomes de grupos ou utilizadores . Na secção Permissões para Servidores do NDES, selecione a caixa Permitir marcar para Leitura e Inscrição. Desmarque a caixa Permitir marcar para as permissões Inscrever e Inscrever automaticamente para todas as outras entradas na secção Nomes de grupos ou utilizadores se as caixas de marcar ainda não estiverem desmarcadas. Clique em OK.

  12. Feche o console.

Publicar modelos de certificado

A autoridade de certificação pode emitir somente certificados para os modelos de certificado publicados para a autoridade de certificação. Se você tiver mais de uma autoridade de certificação e desejar que essa autoridade de certificação emita certificados com base em um modelo de certificado específico, é necessário publicar o modelo de certificado para todas as autoridades de certificação que devem emitir o certificado.

Importante

Confirme que publica os modelos de certificado de Autenticação WHFB ENTRA JOINED na autoridade de certificação que Microsoft Intune utiliza através dos servidores do NDES. A configuração do NDES pede-lhe para escolher uma autoridade de certificação a partir da qual solicita certificados. Tem de publicar esses modelos de certificado nessa autoridade de certificação emissora. O certificado de Autenticação Intune do NDES está inscrito diretamente e pode ser publicado em qualquer autoridade de certificação.

Inicie sessão nas estações de trabalho de gestão ou autoridade de certificação com uma credencial equivalente a administrador da empresa .

  1. Abra o console de gerenciamento autoridade de certificação
  2. Expandir o nó principal a partir do painel de navegação
  3. Selecione Modelos de Certificado no painel de navegação
  4. Clique com botão direito do mouse no nó de Modelos de certificado. Selecione Novo e selecione Modelo de Certificado para emitir
  5. Na janela Ativar Modelos de Certificados, selecione os modelos autenticação do NDES-Intune e Autenticação WHFB ENTRA JOINED que criou nos passos anteriores. Selecione OK para publicar os modelos de certificado selecionados na autoridade de certificação
  6. Fechar a consola

Instalar e Configurar a Função do NDES

Esta secção inclui os seguintes artigos:

  • Instalar a Função do Serviço de Inscrição de Dispositivos de Rede
  • Configurar a conta de serviço do NDES
  • Configurar a função do NDES e os Modelos de Certificado
  • Criar um Proxy de Aplicativo Web para o URL interno do NDES
  • Inscrever-se num Certificado de Autenticação do NDES-Intune
  • Configurar o Certificado de Servidor Web para o NDES
  • Verificar a configuração

Instalar a Função serviços de inscrição de dispositivos de rede

Instale a função Serviço de Inscrição de Dispositivos de Rede num computador que não seja a autoridade de certificação emissora.

Inicie sessão nas estações de trabalho de gestão ou autoridade de certificação com uma credencial enterprise Administração equivalente.

  1. Abrir Gerenciador do Servidor no servidor do NDES

  2. Selecione Gerir. Selecione Adicionar Funções e Funcionalidades

  3. No Assistente para Adicionar Funções e Funcionalidades, na página Antes de começar , selecione Seguinte. Selecione Instalação baseada em funções ou funcionalidades na página Selecionar tipo de instalação . Selecione Avançar. Selecione Selecionar um servidor no conjunto de servidores. Selecione o servidor local na lista Conjunto de Servidores . Selecione Seguinte

    Gerenciador do Servidor servidor de destino.

  4. Na página Selecionar funções de servidor, selecione Serviços de Certificados do Active Directory na lista Funções

    Gerenciador do Servidor Função do AD CS.

    Selecione Adicionar Funcionalidades na caixa de diálogo Adicionar Funções e Assistente de Funcionalidades . Selecione Seguinte

    Gerenciador do Servidor Adicionar Funcionalidades.

  5. Na página Funcionalidades, expanda funcionalidades .NET Framework 3.5. Selecione Ativação HTTP. Selecione Adicionar Funcionalidades na caixa de diálogo Adicionar Funções e Assistente de Funcionalidades . Expanda funcionalidades do .NET Framework 4.5. Expanda Os Serviços WCF. Selecione Ativação HTTP. Selecione Adicionar Funcionalidades na caixa de diálogo Adicionar Funções e Assistente de Funcionalidades . Selecione Seguinte

    Gerenciador do Servidor Ativação HTTP da Funcionalidade.

  6. Na página Selecionar serviços de função, desmarque a caixa de marcar Autoridade de Certificação. Selecione o Serviço de Inscrição de Dispositivos de Rede. Selecione Adicionar Funcionalidades na caixa de diálogo Assistente para Adicionar Funções e Funcionalidades . Selecione Seguinte

    Gerenciador do Servidor Função do NDES do ADCS.

  7. Selecione Seguinte na página Função de Servidor Web (IIS)

  8. Na página Selecionar serviços de função para a função Serviço Web, selecione os seguintes serviços adicionais se ainda não estiverem selecionados e, em seguida, selecione Seguinte

    • Filtragem de Pedidos de Segurança > do Servidor > Web
    • Web Server > Application Development > ASP.NET 3.5
    • Web Server > Application Development > ASP.NET 4.5
    • Compatibilidade > com a Metabase do IIS 6 das Ferramentas > de Gestão do IIS 6
    • Compatibilidade > com a Gestão do IIS 6 das Ferramentas > de Gestão IIS 6 WMI

    Gerenciador do Servidor Função de Servidor Web.

  9. Selecione Instalar. Quando a instalação estiver concluída, continue com o procedimento seguinte. Não clique em Fechar

    Importante

    .NET Framework 3,5 não está incluído na instalação típica. Se o servidor estiver ligado à Internet, a instalação tenta obter os ficheiros com Windows Update. Se o servidor não estiver ligado à Internet, terá de Especificar um caminho de origem alternativo , como <driveLetter>:\Sources\SxS\

    .NET Lado a Lado.

Configurar a conta de serviço do NDES

Esta tarefa adiciona a conta de serviço do NDES ao grupo de IIS_USRS local. A tarefa também configura a conta de serviço do NDES para autenticação e delegação Kerberos

Adicionar a conta de serviço do NDES ao grupo IIS_USRS

Inicie sessão no servidor do NDES com acesso equivalente ao administrador local.

  1. Iniciar os Utilizadores Locais e Grupos console de gerenciamento (lusrmgr.msc)
  2. Selecione Grupos no painel de navegação. Faça duplo clique no grupo IIS_IUSRS
  3. Na caixa de diálogo Propriedades do IIS_IUSRS , selecione Adicionar. Escreva NDESSvc ou o nome da sua conta de serviço do NDES. Selecione Verificar Nomes para verificar o nome e, em seguida, selecione OK. Selecione OK para fechar a caixa de diálogo propriedades
  4. Feche o console de gerenciamento.

Registar um Nome principal de serviço na conta do Serviço do NDES

Inicie sessão no servidor do NDES com acesso equivalente a Administradores de Domínio.

  1. Abrir uma linha de comandos elevada

  2. Escreva o seguinte comando para registar o nome do principal de serviço

    setspn -s http/[FqdnOfNdesServer] [DomainName\\NdesServiceAccount]
    

    em que [FqdnOfNdesServer] é o nome de domínio completamente qualificado do servidor do NDES e [DomainName\NdesServiceAccount] é o nome de domínio e o nome da conta de serviço do NDES separados por uma barra invertida (\). Um exemplo do comando tem o seguinte aspeto:

    setspn -s http/ndes.corp.contoso.com contoso\ndessvc
    

Observação

Se utilizar a mesma conta de serviço para vários Servidores do NDES, repita a seguinte tarefa para cada servidor do NDES no qual o serviço do NDES é executado.

Defina a linha de comandos SPN.

Configurar a conta do Serviço do NDES para delegação

O serviço do NDES inscreve certificados em nome dos utilizadores. Por conseguinte, quer limitar as ações que pode realizar em nome do utilizador. Pode fazê-lo através da delegação.

Inicie sessão num controlador de domínio com um acesso mínimo equivalente aos Administradores de Domínio.

  1. Abra Usuários e Computadores do Active Directory.

  2. Localize a conta de Serviço do NDES (NDESSvc). Clique com o botão direito do rato e selecione Propriedades. Selecione o separador Delegação .

    Separador Delegação do NDES.

  3. Selecione Confiar neste utilizador para delegação apenas para serviços especificados

  4. Selecione Utilizar qualquer protocolo de autenticação

  5. Selecione Adicionar

  6. Selecione Utilizadores ou Computadores... Escreva o nome do Servidor do NDES que utiliza para emitir certificados de autenticação Windows Hello para Empresas para Microsoft Entra dispositivos associados. Na lista Serviços disponíveis , selecione ANFITRIÃO. Selecione OK

    Delegação do Serviço do NDES para o anfitrião do NDES.

  7. Repita os passos 5 e 6 para cada servidor do NDES com esta conta de serviço. Selecione Adicionar

  8. Selecione Utilizadores ou computadores... Escreva o nome da autoridade de certificação emissora que esta conta de serviço do NDES utiliza para emitir certificados de autenticação Windows Hello para Empresas para Microsoft Entra dispositivos associados. Na lista Serviços disponíveis , selecione dcom. Mantenha premida a tecla CTRL e selecione ANFITRIÃO. Selecione OK

  9. Repita os passos 8 e 9 para cada autoridade de certificação emissora a partir da qual um ou mais servidores do NDES solicitam certificados

    Delegação do Serviço do NDES concluída.

  10. Clique em OK. Fechar Usuários e Computadores do Active Directory

Configurar a Função do NDES e os Modelos de Certificado

Esta tarefa configura a função do NDES e o certificado cria os problemas do servidor do NDES.

Configurar a Função do NDES

Inicie sessão nas estações de trabalho de gestão ou autoridade de certificação com uma credencial enterprise Administração equivalente.

Observação

Se fechou o Server Manger do último conjunto de tarefas, inicie Gerenciador do Servidor e clique no sinalizador de ação que mostra um ponto de exclamação amarelo.

Gerenciador do Servidor sinalizador Amarelo Pós-instalação.

  1. Selecione a ligação Configurar Serviços de Certificados do Active Directory no servidor de destino

  2. Na página Credenciais , selecione Seguinte.

    Credenciais de Instalação do NDES.

  3. Na página Serviços de Função , selecione Serviço de Inscrição de Dispositivos de Rede e, em seguida, selecione Seguinte

    Serviços de Função do NDES.

  4. Na página Conta de Serviço do NDES , selecione Especificar conta de serviço (recomendado). Selecione Selecionar.... Escreva o nome de utilizador e a palavra-passe da conta de serviço do NDES na caixa de diálogo Segurança do Windows. Selecione Seguinte

    Conta de Serviço do NDES para o NDES.

  5. Na página AC para NDES , selecione Nome da AC. Selecione Selecionar.... Selecione a autoridade de certificação emissora a partir da qual o servidor do NDES pede certificados. Selecione Seguinte

    Seleção da AC do NDES.

  6. Nas Informações de RA, selecione Seguinte

  7. Na página Criptografia do NDES , selecione Seguinte

  8. Reveja a página Confirmação . Selecione Configurar

    Confirmação do NDES.

  9. Selecione Fechar após a conclusão da configuração

Configurar Modelos de Certificado no NDES

Um único servidor do NDES pode pedir um máximo de três modelos de certificado. O servidor do NDES determina qual o certificado a emitir com base no pedido de certificado recebido atribuído no perfil de certificado SCEP Microsoft Intune. O Microsoft Intune perfil de certificado SCEP tem três valores.

  • Assinatura Digital
  • Cifragem de Chaves
  • Cifragem de Chaves, Assinatura Digital

Cada valor mapeia para um nome de valor de registo no servidor do NDES. O servidor do NDES traduz um valor fornecido pelo SCEP de entrada para o modelo de certificado correspondente. A tabela abaixo mostra os valores do perfil SCEP dos nomes dos valores do registo do modelo de certificado do NDES.

Utilização da Chave de Perfil SCEP Nome do Valor do Registo do NDES
Assinatura Digital SignatureTemplate
Cifragem de Chaves EncryptionTemplate
Cifragem de Chaves
Assinatura Digital
GeneralPurposeTemplate

Idealmente, deve corresponder o pedido de certificado com o nome do valor do registo para manter a configuração intuitiva (os certificados de encriptação utilizam o modelo de encriptação, os certificados de assinatura utilizam o modelo de assinatura, etc.). O resultado deste design intuitivo é o potencial crescimento exponencial no servidor do NDES. Imagine uma organização que precisa de emitir nove certificados de assinatura exclusivos na empresa.

Se for necessário, pode configurar um certificado de assinatura no nome do valor do registo de encriptação ou num certificado de encriptação no valor do registo de assinatura para maximizar a utilização da infraestrutura do NDES. Este design não intuitivo requer a documentação atual e precisa da configuração para garantir que o perfil de certificado SCEP está configurado para inscrever o certificado correto, independentemente da finalidade real. Cada organização tem de equilibrar a facilidade de configuração e administração com uma infraestrutura adicional do NDES e a sobrecarga de gestão fornecida com a mesma.

Inicie sessão no Servidor do NDES com credenciais equivalentes de administrador local .

  1. Abrir uma linha de comandos elevada

  2. Com a tabela acima, decida qual o nome do valor do registo que irá utilizar para pedir certificados de autenticação Windows Hello para Empresas para dispositivos associados Microsoft Entra

  3. Digite o seguinte comando:

    reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v [registryValueName] /t REG_SZ /d [certificateTemplateName]
    

    em que registryValueName é um dos três nomes de valores da tabela acima e em que certificateTemplateName é o nome do modelo de certificado que criou para Windows Hello para Empresas Microsoft Entra dispositivos associados. Exemplo:

    reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v SignatureTemplate /t REG_SZ /d ENTRAJOINEDWHFBAuthentication
    
  4. Escreva Y quando o comando pedir permissão para substituir o valor existente

  5. Feche a linha de comandos.

Importante

Utilizar o nome do modelo de certificado; não o nome a apresentar. O nome do modelo de certificado não inclui espaços. Pode ver os nomes dos certificados ao consultar o separador Geral das propriedades do modelo de certificado na console de gerenciamentocerttmpl.msc().

Crie um Proxy de Aplicativo Web para o URL interno do NDES.

A inscrição de certificados para Microsoft Entra dispositivos associados ocorre através da Internet. Como resultado, os URLs internos do NDES têm de estar acessíveis externamente. Pode fazê-lo de forma fácil e segura com Microsoft Entra proxy de aplicações. Microsoft Entra proxy de aplicações fornece acesso remoto seguro e de início de sessão único para aplicações Web alojadas no local, como os Serviços de Inscrição de Dispositivos de Rede.

Idealmente, pode configurar o seu perfil de certificado scep Microsoft Intune para utilizar vários URLs do NDES externos. Isto permite Microsoft Intune balancear a carga round robin dos pedidos de certificado para Servidores do NDES configurados de forma idêntica (cada servidor do NDES pode acomodar aproximadamente 300 pedidos simultâneos). Microsoft Intune envia estes pedidos para Microsoft Entra Proxies da Aplicação.

Microsoft Entra os proxies da Aplicação são reparados por agentes do Conector Proxy de Aplicativo simples. Veja O que é Proxy de Aplicativo para obter mais detalhes. Estes agentes são instalados nos seus dispositivos no local e associados a um domínio e estabelecem uma ligação de saída segura autenticada ao Azure, a aguardar o processamento de pedidos do Microsoft Entra Proxies da Aplicação. Pode criar grupos de conectores no Microsoft Entra ID para atribuir conectores específicos a aplicações específicas do serviço.

Grupo de conectores round robin automaticamente, balanceamento de carga do Microsoft Entra pedidos de proxy de aplicações para os conectores dentro do grupo de conectores atribuído. Isto garante Windows Hello para Empresas pedidos de certificado têm vários conectores de proxy de aplicações dedicados Microsoft Entra exclusivamente disponíveis para satisfazer pedidos de inscrição. O balanceamento de carga dos servidores e conectores do NDES deve garantir que os utilizadores inscrevem os respetivos certificados de Windows Hello para Empresas em tempo útil.

Transferir e Instalar o Agente do Conector do Proxy de Aplicativo

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

  1. Acesso ao centro de administração do Microsoft Entra como, pelo menos, Administrador de Aplicações
  2. Selecione Todos os serviços. Escreva Microsoft Entra ID para filtrar a lista de serviços. Em SERVIÇOS, selecione Microsoft Entra ID
  3. Em GERIR, selecione Proxy de aplicações
  4. Selecione Transferir serviço do conector. Selecione Aceitar termos & Transferir. Guarde o ficheiro (AADApplicationProxyConnectorInstaller.exe) numa localização acessível por outras pessoas no domínio Aplicativo Azure Conectores Proxy.
  5. Iniciar sessão no computador que irá executar o conector com acesso equivalente a um utilizador de domínio

    Importante

    Instale um mínimo de dois conectores Proxy Microsoft Entra ID para cada Proxy de Aplicativo do NDES. Localize estrategicamente Microsoft Entra conectores de proxy de aplicações em toda a organização para garantir a máxima disponibilidade. Lembre-se de que os dispositivos que executam o conector têm de conseguir comunicar com o Azure e os servidores do NDES no local

  6. Iniciar AADApplicationProxyConnectorInstaller.exe
  7. Leia os termos de licenciamento e, em seguida, selecione Concordo com os termos e condições da licença. Selecione InstalarAplicativo Azure Conector Proxy: termos de licenciamento
  8. Iniciar sessão como, pelo menos, administrador de aplicaçõesAplicativo Azure Conector Proxy: início de sessão
  9. Quando a instalação estiver concluída. Leia as informações sobre os servidores proxy de saída. Selecione FecharAplicativo Azure Conector Proxy: ler
  10. Repita os passos 5 a 10 para cada dispositivo que irá executar o conector do proxy de aplicações Microsoft Entra para implementações de certificados Windows Hello para Empresas

Criar um Grupo de Conectores

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

  1. Acesso ao centro de administração do Microsoft Entra como, pelo menos, Administrador de Aplicações

  2. Selecione Todos os serviços. Escreva Microsoft Entra ID para filtrar a lista de serviços. Em SERVIÇOS, selecione Microsoft Entra ID

  3. Em GERIR, selecione Proxy de aplicações.

    Aplicativo Azure grupos do Conector Proxy.

  4. Selecione Novo Grupo de Conectores. Em Nome, escreva Conectores WHFB do NDES.

    Aplicativo Azure Novo Grupo de Conectores.

  5. Selecione cada agente do conector na lista Conectores que irá atender Windows Hello para Empresas pedidos de inscrição de certificados

  6. Selecione Salvar.

Criar o Proxy de Aplicativo Azure

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

  1. Acesso ao centro de administração do Microsoft Entra como, pelo menos, Administrador de Aplicações

  2. Selecione Todos os serviços. Escreva Microsoft Entra ID para filtrar a lista de serviços. Em SERVIÇOS, selecione Microsoft Entra ID

  3. Em GERIR, selecione Proxy de aplicações

  4. Selecione Configurar uma aplicação

  5. Em Definições Básicas junto a Nome, escreva WHFB NDES 01. Escolha um nome que correlacione esta definição de proxy de aplicações Microsoft Entra com o servidor do NDES no local. Cada servidor do NDES tem de ter o seu próprio Microsoft Entra proxy de aplicações, uma vez que dois servidores do NDES não podem partilhar o mesmo URL interno

  6. Junto a URL interno, escreva o nome DNS interno e completamente qualificado do servidor do NDES associado a este Microsoft Entra proxy de aplicações. Por exemplo, https://ndes.corp.mstepdemo.net. Tem de corresponder ao nome do anfitrião principal (Nome da Conta do Computador do AD) do servidor do NDES e prefixar o URL com https

  7. Em URL Interno, selecione https:// na primeira lista. Na caixa de texto junto a https://, escreva o nome do anfitrião que pretende utilizar como nome de anfitrião externo para o proxy da aplicação Microsoft Entra. Na lista junto ao nome do anfitrião que escreveu, selecione um sufixo DNS que pretende utilizar externamente para o Microsoft Entra proxy de aplicações. Recomenda-se que utilize a predefinição , -[tenantName].msapproxy.net, em que [tenantName] é o seu nome de inquilino de Microsoft Entra atual (-mstephendemo.msappproxy.net).

    Configuração do Proxy de Aplicativo do Azure NDES.

  8. Selecione Passthrough na lista Pré-autenticação

  9. Selecione Conectores WHFB do NDES na lista Grupo de Conectores

  10. Em Definições Adicionais, selecione Predefinição em Tempo Limite da Aplicação de Back-end. Na secção Traduzir URLs Em , selecione Sim junto a Cabeçalhos e selecione Não junto a Corpo da Aplicação

  11. Selecione Adicionar

  12. Saia do Portal do Azure.

    Importante

    Anote os URLs internos e externos. Irá precisar destas informações quando inscrever o certificado de Autenticação do NDES-Intune.

Inscrever o certificado de Autenticação do NDES-Intune

Esta tarefa inscreve um certificado de autenticação de cliente e servidor utilizado pelo conector Intune e pelo servidor do NDES.

Inicie sessão no servidor do NDES com acesso equivalente aos administradores locais.

  1. Iniciar o Gestor de Certificados de Computador Local (certlm.msc)

  2. Expandir o nó Pessoal no painel de navegação

  3. Clique com o botão direito em Pessoal. Selecione Todas as Tarefas e Pedir Novo Certificado

  4. Selecione Seguinte na página Antes de Começar

  5. Selecione Seguinte na página Selecionar Política de Inscrição de Certificados

  6. Na página Pedir Certificados, selecione a caixa de marcar Autenticação do NDES-Intune

  7. Selecione a opção Mais informações necessárias para se inscrever neste certificado. Clique aqui para configurar a ligação de definições

    Exemplo do Separador Assunto das Propriedades do Certificado – isto é o que mostra quando clica na ligação acima.

  8. Em Nome do assunto, selecione Nome comum na lista Tipo. Escreva o URL interno utilizado na tarefa anterior (sem o https://, por exemplo , ndes.corp.mstepdemo.net) e, em seguida, selecione Adicionar

  9. Em Nome alternativo, selecione DNS na lista Tipo. Escreva o URL interno utilizado na tarefa anterior (sem o https://, por exemplo , ndes.corp.mstepdemo.net). Selecione Adicionar. Escreva o URL externo utilizado na tarefa anterior (sem o https://, por exemplo , ndes-mstephendemo.msappproxy.net). Selecione Adicionar. Selecione OK quando terminar

  10. Selecione Inscrever

  11. Repita estes passos para todos os Servidores do NDES utilizados para pedir certificados de autenticação Windows Hello para Empresas para dispositivos associados Microsoft Entra

Configurar a Função de Servidor Web

Esta tarefa configura a função de Servidor Web no servidor do NDES para utilizar o certificado de autenticação de servidor.

Inicie sessão no servidor do NDES com acesso equivalente ao administrador local.

  1. Iniciar o Gestor de Serviços de Informação Internet (IIS) a partir das Ferramentas Administrativas

  2. Expanda o nó que tem o nome do servidor do NDES. Expandir Sites e selecionar Web Site Predefinido

    Consola do IIS do NDES

  3. Selecione Enlaces... em Ações. Selecione Adicionar.

    Consola do IIS do NDES: Adicionar

  4. Selecione https em Tipo. Confirme que o valor da Porta é 443

  5. Selecione o certificado que inscreveu anteriormente na lista de certificados SSL . Selecione OK

    Consola do IIS do NDES: Lista de Certificados

  6. Selecione http na lista Enlaces de Site . Selecione Remover

  7. Selecione Fechar na caixa de diálogo Enlaces de Site

  8. Fechar o Gestor de Serviços de Informação Internet (IIS)

Verificar a configuração

Esta tarefa confirma a configuração do TLS para o servidor do NDES.

Inicie sessão no servidor do NDES com acesso equivalente ao administrador local.

Desativar a Configuração de Segurança Avançada da Internet Explorer

  1. Abra Gerenciador do Servidor. Selecione Servidor Local no painel de navegação
  2. Selecione Ativado junto a Configuração de Segurança Avançada do IE na secção Propriedades
  3. Na caixa de diálogo Internet Explorer Configuração de Segurança Avançada, em Administradores, selecione Desativado. Selecione OK
  4. Fechar Gerenciador do Servidor

Testar o servidor Web do NDES

  1. Abrir Explorer internet

  2. Na barra de navegação, escreva

    https://[fqdnHostName]/certsrv/mscep/mscep.dll
    

    em que [fqdnHostName] é o nome de anfitrião DNS interno completamente qualificado do servidor do NDES.

Deve ser apresentada uma página Web semelhante à seguinte no browser. Se não vir uma página semelhante ou se receber uma mensagem 503 Serviço indisponível , certifique-se de que a conta de Serviço do NDES tem os direitos de utilizador adequados. Também pode rever o registo de eventos da Aplicação para eventos com a origem NetworkDeviceEnrollmentService .

Consola do IIS do NDES: Origem

Confirme que o site utiliza o certificado de autenticação de servidor.

Consola do IIS do NDES: Confirmar

Configurar os Serviços de Inscrição de Dispositivos de Rede para trabalhar com Microsoft Intune

Configurou com êxito os Serviços de Inscrição de Dispositivos de Rede. Agora, tem de modificar a configuração para funcionar com o Intune Certificate Connector. Nesta tarefa, irá ativar o servidor do NDES e http.sys para processar URLs longos.

  • Configurar o NDES para suportar URLs longos

Configurar o NDES e HTTP para suportar URLs longos

Inicie sessão no servidor do NDES com acesso equivalente ao administrador local.

Configurar o Web Site Predefinido

  1. Iniciar o Gestor de Serviços de Informação Internet (IIS) a partir das Ferramentas Administrativas

  2. Expanda o nó que tem o nome do servidor do NDES. Expandir Sites e selecionar Web Site Predefinido

  3. No painel de conteúdo, faça duplo clique em Filtragem de Pedidos. Selecione Editar Definições de Funcionalidade... no painel de ação

    Intune filtragem de Pedidos do NDES.

  4. Selecione Permitir extensões de nome de ficheiro não listadas

  5. Selecione Permitir verbos não listados

  6. Selecione Permitir carateres de bits altos

  7. Tipo 30000000 em Comprimento máximo permitido do conteúdo (Bytes)

  8. Tipo 65534 no Comprimento máximo do URL (Bytes)

  9. Tipo 65534 na cadeia de consulta máxima (Bytes)

  10. Clique em OK. Fechar o Gestor de Serviços de Informação Internet (IIS)

Configurar Parâmetros para HTTP.SYS

  1. Abrir uma linha de comandos elevada

  2. Execute os seguintes comandos:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxFieldLength /t REG_DWORD /d 65534
    reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxRequestBytes /t REG_DWORD /d 65534
    
  3. Reiniciar o servidor do NDES

Transferir, Instalar e Configurar o Intune Certificate Connector

A aplicação Intune Certificate Connector permite aos Microsoft Intune inscrever certificados com a PKI no local para utilizadores em dispositivos geridos por Microsoft Intune.

Para saber como transferir, instalar e configurar o Intune Certificate Connector, veja Instalar o Certificate Connector para Microsoft Intune.

Configurar o Conector do NDES para revogação de certificados (Opcional)

Opcionalmente (não obrigatório), pode configurar o conector Intune para revogação de certificados quando um dispositivo é eliminado, não inscrito ou quando o perfil de certificado fica fora do âmbito do utilizador visado (os utilizadores são removidos, eliminados ou o perfil é eliminado). Tem de selecionar a opção Revogação de certificados durante a configuração do conector para ativar a revogação automática de certificados para certificados emitidos a partir de uma Autoridade de Certificação do Microsoft Active Directory. Além disso, tem de ativar a conta do Serviço do NDES para revogação.

  1. Inicie sessão na autoridade de certificação utilizada pelo Conector do NDES com acesso equivalente ao administrador de domínio

  2. Iniciar a console de gerenciamento autoridade de certificação

  3. No painel de navegação, clique com o botão direito do rato no nome da autoridade de certificação e selecione Propriedades

  4. Selecione o separador Segurança e, em seguida, selecione Adicionar. Na caixa Introduzir os nomes dos objetos a selecionar , introduza NDESSvc (ou o nome que atribuiu à conta do Serviço do NDES). Selecione Verificar Nomes e, em seguida, selecione OK. Selecione a conta de Serviço do NDES na lista Nomes de grupos ou utilizadores . Selecione Permitir para a permissão Emitir e Gerir Certificados . Selecione OK

    Configure Intune revogação de certificados 02.

  5. Fechar a Autoridade de Certificação

Criar e Atribuir um Perfil de Certificado scep (Simple Certificate Enrollment Protocol)

Criar um Grupo de Utilizadores de Certificados WHFB ENTRA JOINED

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

  1. Acesso ao centro de administração do Microsoft Entra como, pelo menos, Administrador de Aplicações

  2. Selecione Todos os serviços. Escreva Microsoft Entra ID para filtrar a lista de serviços. Em SERVIÇOS, selecione Microsoft Entra ID

  3. Selecione Grupos. Selecione Novo grupo

  4. Selecione Segurança na lista Tipo de grupo

  5. Em Nome do Grupo, escreva o nome do grupo. Por exemplo, Utilizadores de Certificado WHFB ASSOCIADOs ao ENTRA

  6. Forneça uma descrição do Grupo, se aplicável

  7. Selecione Atribuído na lista Tipo de associação

    Microsoft Entra criação de novo grupo.

  8. Selecione Membros. Utilize o painel Selecionar membros para adicionar membros a este grupo. Quando terminar, selecione Selecionar

  9. Selecione Criar.

Criar um Perfil de Certificado SCEP

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

  1. Iniciar sessão no centro de administração do Microsoft Intune
  2. Selecione Dispositivos e, em seguida, selecione Perfis de Configuração
  3. Selecione Criar Perfil. Intune Configuração do Dispositivo Criar Perfil.
  4. Selecione Windows 10 e posterior na lista Plataforma
  5. Escolha o certificado SCEP na lista Perfil e selecione Criar
  6. O assistente certificado SCEP deve abrir. Junto a Nome, escreva Inscrição de Certificados WHFB
  7. Junto a Descrição, forneça uma descrição relevante para o seu ambiente e, em seguida, selecione Seguinte
  8. Selecionar Utilizador como um tipo de certificado
  9. Configure o período de validade do certificado para corresponder à sua organização.

    Importante

    Lembre-se de que tem de configurar a autoridade de certificação para permitir que Microsoft Intune configure a validade do certificado

  10. Selecione Inscrever para Windows Hello para Empresas, caso contrário, falhe (Windows 10 e posterior) na lista Fornecedor de armazenamento de chaves (KSP)
  11. Junto a Formato do nome do requerente, escreva CN={{OnPrem_Distinguished_Name}} para tornar o nome único no local no assunto do certificado emitido

    Observação

    Se o nome único contiver carateres especiais como um sinal de adição ("+"), vírgula (","), ponto e vírgula (";" ou sinal de igual ("="), o nome entre parênteses retos tem de estar entre aspas: CN="{{OnPrem_Distinguished_Name}}".

    Se o comprimento do nome único for superior a 64 carateres, a imposição do comprimento do nome na Autoridade de Certificação tem de ser desativada.

  12. Especifique o Nome Principal de Utilizador (UPN) como um parâmetro Nome Alternativo do Requerente . Defina o respetivo valor como {{UserPrincipalName}}
  13. Veja a tarefa "Configurar Modelos de Certificado no NDES" para saber como configurou o modelo de certificado de Autenticação WHFB ASSOCIADO AO ENTRA no registo. Selecione a combinação adequada de utilizações de chaves na lista Utilizações de Chaves que mapeiam para o modelo do NDES configurado no registo. Neste exemplo, o modelo de certificado autenticação WHFB ASSOCIADO ao ENTRA foi adicionado ao nome do valor do registo SignatureTemplate . A Utilização da chave que mapeia para esse nome de valor de registo é Assinatura Digital
  14. Selecione um perfil de certificado Fidedigno configurado anteriormente que corresponda ao certificado de raiz da autoridade de certificação emissora como um certificado de raiz para o perfil
  15. Em Utilização da chave expandida, escreva Início de Sessão do Smart Card em Nome. Escreva 1.3.6.1.4.1.311.20.2.2 em Identificador de objeto. Selecione Adicionar
  16. Escreva uma percentagem (sem o sinal de percentagem) junto a Limiar de Renovação para determinar quando o certificado deve tentar renovar. O valor recomendado é 20EKUs de Perfil DE CERTIFICADO SCEP WHFB.
  17. Em URLs do Servidor SCEP, escreva o nome externo completamente qualificado do Microsoft Entra proxy de aplicações que configurou. Acrescente ao nome /certsrv/mscep/mscep.dll. Por exemplo, https://ndes-mtephendemo.msappproxy.net/certsrv/mscep/mscep.dll. Selecione Adicionar. Repita este passo para cada proxy adicional do NDES Microsoft Entra aplicação que configurou para emitir certificados Windows Hello para Empresas. Microsoft Intune pedidos de balanceamento de carga round robin entre os URLs listados no perfil de certificado SCEP
  18. Selecione Seguinte
  19. Selecione Seguinte várias vezes para ignorar os passos Etiquetas de âmbito, Atribuições e Regras de Aplicabilidade do assistente e selecione Criar

Atribuir Grupo ao Perfil de Certificado de Inscrição de Certificados WHFB

Entrar uma estação de trabalho com acesso equivalente a um usuário de domínio.

  1. Iniciar sessão no centro de administração do Microsoft Intune
  2. Selecione Dispositivos e, em seguida, selecione Perfis de Configuração
  3. Selecione Inscrição de Certificados WHFB
  4. Selecione Propriedades e, em seguida, selecione Editar junto à secção Atribuições
  5. No painel Atribuições, selecione Selecionado Grupos na lista Atribuir a. Selecione Selecionar grupos a incluir. Atribuição de Perfil DO WHFB SCEP.
  6. Selecione o grupo Utilizadores de Certificado WHFB ASSOCIADO AO ENTRA . Selecione Selecionar
  7. Selecione Rever + Guardar e, em seguida, Guardar

Concluiu a configuração com êxito. Adicione utilizadores que precisam de inscrever um certificado de autenticação Windows Hello para Empresas ao grupo Utilizadores de Certificado WHFB ASSOCIADO AO ENTRA. Este grupo, combinado com a inscrição de dispositivos Windows Hello para Empresas configuração, pede ao utilizador para se inscrever para Windows Hello para Empresas e inscrever um certificado que pode ser utilizado para autenticação em recursos no local.

Observação

O fornecedor de serviços de configuração (CSP) do Passport for Work, que é utilizado para gerir Windows Hello para Empresas com o Mobile Gerenciamento de Dispositivos (MDM) contém uma política denominada UseCertificateForOnPremAuth. Esta política não é necessária ao implementar certificados para Windows Hello para Empresas utilizadores através das instruções descritas neste documento e não deve ser configurada. Os dispositivos geridos com MDM onde UseCertificateForOnPremAuth está ativado falharão um marcar de pré-requisitos para Windows Hello para Empresas aprovisionamento. Esta falha irá impedir os utilizadores de configurarem Windows Hello para Empresas se ainda não o tiverem configurado.

Revisão da seção

  • Requisitos
  • Preparar o Microsoft Entra Connect
  • Preparar a Conta de Serviço dos Serviços de Inscrição de Dispositivos de Rede (NDES)
  • Preparar a Autoridade de Certificação do Active Directory
  • Instalar e Configurar a Função do NDES
  • Configurar os Serviços de Inscrição de Dispositivos de Rede para trabalhar com Microsoft Intune
  • Transferir, Instalar e Configurar o Intune Certificate Connector
  • Criar e Atribuir um Protocolo de Inscrição de Certificados Simples (Perfil de Certificado SCEP)