Partilhar via


autenticação Windows Hello para Empresas

Windows Hello para Empresas autenticação é uma autenticação de dois fatores sem palavra-passe. A autenticação com Windows Hello para Empresas proporciona uma experiência de início de sessão conveniente que autentica o utilizador para recursos do Microsoft Entra ID e do Active Directory.

Microsoft Entra dispositivos associados autenticam-se para Microsoft Entra ID durante o início de sessão e podem, opcionalmente, autenticar-se no Active Directory. Microsoft Entra dispositivos associados híbridos autenticam-se no Active Directory durante o início de sessão e autenticam-se para Microsoft Entra ID em segundo plano.

Microsoft Entra associar a autenticação ao Microsoft Entra ID

Diagrama de uma Microsoft Entra associar o dispositivo à autenticação no Microsoft Entra ID.

Observação

Todos os dispositivos associados Microsoft Entra autenticam com Windows Hello para Empresas para Microsoft Entra ID da mesma forma. O tipo de fidedignidade Windows Hello para Empresas só afeta a forma como o dispositivo se autentica no AD no local.

Fase Descrição
A A autenticação começa quando o utilizador dispensa o ecrã de bloqueio, o que aciona o Winlogon para mostrar o fornecedor de credenciais Windows Hello para Empresas. O utilizador fornece o gesto de Windows Hello (PIN ou biometria). O fornecedor de credenciais empacota estas credenciais e devolve-as ao Winlogon. O Winlogon transmite as credenciais recolhidas para lSASS. O LSASS transmite as credenciais recolhidas ao fornecedor de suporte de segurança de Autenticação na Cloud, referido como fornecedor de AP de Cloud.
B O fornecedor de AP da Cloud pede um nonce ao Microsoft Entra ID. Microsoft Entra ID devolve um nonce. O fornecedor de AP da Cloud assina o nonce com a chave privada do utilizador e devolve o nonce assinado ao Microsoft Entra ID.
C Microsoft Entra ID valida o nonce assinado com a chave pública registada em segurança do utilizador relativamente à assinatura nonce. Microsoft Entra ID, em seguida, valida o nonce assinado devolvido e cria um PRT com a chave de sessão que é encriptada para a chave de transporte do dispositivo e devolve-a ao fornecedor de AP na Cloud.
D O fornecedor de AP da Cloud recebe o PRT encriptado com a chave de sessão. Com a chave de transporte privada do dispositivo, o fornecedor de AP da Cloud desencripta a chave de sessão e protege a chave de sessão com o TPM do dispositivo.
E O fornecedor de AP da Cloud devolve uma resposta de autenticação bem-sucedida ao LSASS. O LSASS coloca o PRT em cache e informa o Winlogon da autenticação com êxito. O Winlogon cria uma sessão de início de sessão, carrega o perfil do utilizador e começa explorer.exe.

Microsoft Entra associar a autenticação ao Active Directory com a confiança kerberos na cloud

Diagrama de um Microsoft Entra associar a autenticação de dispositivos ao Active Directory com a confiança kerberos na cloud.

Fase Descrição
A A autenticação no Active Directory a partir de um dispositivo associado Microsoft Entra começa com as primeiras tentativas do utilizador de utilizar um recurso que precisa de autenticação Kerberos. O fornecedor de suporte de segurança Kerberos, alojado no LSASS, utiliza metadados da chave de Windows Hello para Empresas para obter uma sugestão do domínio do utilizador. Com a sugestão, o fornecedor utiliza o serviço DClocator para localizar um controlador de domínio.
B Depois de localizar um controlador de domínio, o fornecedor Kerberos envia um TGT parcial que recebeu de Microsoft Entra ID de uma autenticação Microsoft Entra anterior para o controlador de domínio. O TGT parcial contém apenas o SID do utilizador e é assinado por Microsoft Entra Kerberos. O controlador de domínio verifica se o TGT parcial é válido. Com êxito, o KDC devolve um TGT ao cliente.

Microsoft Entra associar a autenticação ao Active Directory com uma chave

Diagrama de um Microsoft Entra associar a autenticação de dispositivos ao Active Directory através da fidedignidade da chave.

Fase Descrição
A A autenticação no Active Directory a partir de um dispositivo associado Microsoft Entra começa com as primeiras tentativas do utilizador de utilizar um recurso que precisa de autenticação Kerberos. O fornecedor de suporte de segurança Kerberos, alojado no LSASS, utiliza metadados da chave de Windows Hello para Empresas para obter uma sugestão do domínio do utilizador. Com a sugestão, o fornecedor utiliza o serviço DClocator para localizar um controlador de domínio. Depois de o fornecedor localizar um controlador de domínio, o fornecedor utiliza a chave privada para assinar os dados de pré-autenticação Kerberos.
B O fornecedor Kerberos envia os dados de pré-autenticação assinados e a respetiva chave pública (sob a forma de um certificado autoassinado) para o serviço do Centro de Distribuição de Chaves (KDC) em execução no controlador de domínio sob a forma de um KERB_AS_REQ.
O controlador de domínio determina que o certificado é um certificado autoassinado. Obtém a chave pública do certificado incluído no KERB_AS_REQ e procura a chave pública no Active Directory. Valida o UPN para o pedido de autenticação que corresponde ao UPN registado no Active Directory e valida os dados de pré-autenticação assinados com a chave pública do Active Directory. Com êxito, o KDC devolve um TGT ao cliente com o respetivo certificado num KERB_AS_REP.
C O fornecedor Kerberos garante que pode confiar na resposta do controlador de domínio. Em primeiro lugar, garante que o certificado KDC é associado a um certificado de raiz fidedigno pelo dispositivo. Em seguida, garante que o certificado está dentro do respetivo período de validade e que não foi revogado. Em seguida, o fornecedor Kerberos verifica se o certificado tem a Autenticação KDC presente e que o nome alternativo do requerente listado no certificado do KDC corresponde ao nome de domínio ao qual o utilizador está a autenticar. Depois de transmitir estes critérios, Kerberos devolve o TGT para LSASS, onde é colocado em cache e utilizado para pedidos de pedidos de assistência subsequentes.

Observação

Poderá ter um domínio no local federado com Microsoft Entra ID. Depois de aprovisionar com êxito Windows Hello para Empresas PIN/Bio no dispositivo associado Microsoft Entra, qualquer início de sessão futuro do Windows Hello para Empresas (PIN/Bio) será autenticado diretamente no Microsoft Entra ID para obter PRT e acionar a autenticação no dc (se LOS para DC estiver disponível) para obter Kerberos. Já não utiliza o AD FS para autenticar para inícios de sessão Windows Hello para Empresas.

Microsoft Entra associar a autenticação ao Active Directory com um certificado

Diagrama de um Microsoft Entra associar o dispositivo à autenticação no Active Directory através da fidedignidade do certificado.

Fase Descrição
A A autenticação no Active Directory a partir de um dispositivo associado Microsoft Entra começa com as primeiras tentativas do utilizador de utilizar um recurso que precisa de autenticação Kerberos. O fornecedor de suporte de segurança Kerberos, alojado no LSASS, utiliza informações do certificado para obter uma sugestão do domínio do utilizador. O Kerberos pode utilizar o nome único do utilizador encontrado no assunto do certificado ou pode utilizar o nome principal de utilizador do utilizador encontrado no nome alternativo do requerente do certificado. Com a sugestão, o fornecedor utiliza o serviço DClocator para localizar um controlador de domínio. Depois de o fornecedor localizar um controlador de domínio ativo, o fornecedor utiliza a chave privada para assinar os dados de pré-autenticação Kerberos.
B O fornecedor Kerberos envia os dados de pré-autenticação assinados e o certificado do utilizador, que inclui a chave pública, para o serviço do Centro de Distribuição de Chaves (KDC) em execução no controlador de domínio sob a forma de um KERB_AS_REQ.
O controlador de domínio determina que o certificado não é certificado autoassinado. O controlador de domínio garante que o certificado está ligado ao certificado de raiz fidedigna, está dentro do respetivo período de validade, pode ser utilizado para autenticação e não foi revogado. Obtém a chave pública e o UPN do certificado incluído no KERB_AS_REQ e procura o UPN no Active Directory. Valida os dados de pré-autenticação assinados com a chave pública do certificado. Com êxito, o KDC devolve um TGT ao cliente com o respetivo certificado num KERB_AS_REP.
C O fornecedor Kerberos garante que pode confiar na resposta do controlador de domínio. Em primeiro lugar, garante que o certificado KDC é associado a um certificado de raiz fidedigno pelo dispositivo. Em seguida, garante que o certificado está dentro do respetivo período de validade e que não foi revogado. Em seguida, o fornecedor Kerberos verifica se o certificado tem a Autenticação KDC presente e que o nome alternativo do requerente listado no certificado do KDC corresponde ao nome de domínio ao qual o utilizador está a autenticar. Depois de transmitir estes critérios, Kerberos devolve o TGT para LSASS, onde é colocado em cache e utilizado para pedidos de pedidos de assistência subsequentes.

Observação

Pode ter um domínio no local federado com Microsoft Entra ID. Depois de aprovisionar com êxito Windows Hello para Empresas PIN/Bio, qualquer início de sessão futuro do início de sessão do Windows Hello para Empresas (PIN/Bio) será autenticado diretamente no Microsoft Entra ID para obter PRT, bem como autenticar-se no seu DC (se LOS para DC estiver disponível) para obter o Kerberos, conforme mencionado anteriormente. A federação do AD FS só é utilizada quando as chamadas de PRT Empresarial são efetuadas a partir do cliente. Tem de ter a repetição de escrita do dispositivo ativada para obter o "PRT Empresarial" da sua federação.

Microsoft Entra autenticação de associação híbrida com a confiança do Kerberos na cloud

Diagrama de um dispositivo de associação híbrida Microsoft Entra a autenticar no Active Directory com a confiança kerberos na cloud.

Fase Descrição
A A autenticação começa quando o utilizador dispensa o ecrã de bloqueio, o que aciona o Winlogon para mostrar o fornecedor de credenciais Windows Hello para Empresas. O utilizador fornece o gesto de Windows Hello (PIN ou biometria). O fornecedor de credenciais empacota estas credenciais e devolve-as ao Winlogon. O Winlogon transmite as credenciais recolhidas para lSASS. As consultas LSASS Windows Hello para Empresas política para marcar se a confiança do Kerberos na cloud estiver ativada. Se a confiança do Kerberos na cloud estiver ativada, o LSASS transmite as credenciais recolhidas para o fornecedor de suporte de segurança de Autenticação na Cloud ou AP da Cloud. A AP da Cloud pede um nonce ao Microsoft Entra ID. Microsoft Entra ID devolve um nonce.
B O AP da Cloud assina o nonce com a chave privada do utilizador e devolve o nonce assinado para Microsoft Entra ID.
C Microsoft Entra ID valida o nonce assinado com a chave pública registada em segurança do utilizador relativamente à assinatura nonce. Depois de validar a assinatura, Microsoft Entra ID valida o nonce assinado devolvido. Depois de validar o nonce, Microsoft Entra ID cria um PRT com a chave de sessão que é encriptada para a chave de transporte do dispositivo e cria um TGT Parcial a partir de Microsoft Entra Kerberos e devolve-os à AP da Cloud.
D A CLOUD AP recebe o PRT encriptado com a chave de sessão. Com a chave de transporte privada do dispositivo, a Cloud AP desencripta a chave de sessão e protege a chave de sessão através do TPM do dispositivo (se disponível). O AP de Cloud devolve uma resposta de autenticação bem-sucedida ao LSASS. O LSASS coloca em cache o PRT e o TGT Parcial.
E O fornecedor de suporte de segurança Kerberos, alojado no LSASS, utiliza metadados da chave de Windows Hello para Empresas para obter uma sugestão do domínio do utilizador. Com a sugestão, o fornecedor utiliza o serviço DClocator para localizar um controlador de domínio. Depois de localizar um controlador de domínio ativo, o fornecedor Kerberos envia o TGT parcial que recebeu do Microsoft Entra ID para o controlador de domínio. O TGT parcial contém apenas o SID do utilizador e é assinado por Microsoft Entra Kerberos. O controlador de domínio verifica se o TGT parcial é válido. Com êxito, o KDC devolve um TGT ao cliente. Kerberos devolve o TGT para LSASS, onde é colocado em cache e utilizado para pedidos de pedidos de assistência subsequentes. O LSASS informa o Winlogon da autenticação com êxito. O Winlogon cria uma sessão de início de sessão, carrega o perfil do utilizador e começa explorer.exe.

Microsoft Entra autenticação de associação híbrida com uma chave

Diagrama de um dispositivo de associação híbrida Microsoft Entra a autenticar no Active Directory através da fidedignidade da chave.

Fase Descrição
A A autenticação começa quando o utilizador dispensa o ecrã de bloqueio, o que aciona o Winlogon para mostrar o fornecedor de credenciais Windows Hello para Empresas. O utilizador fornece o gesto de Windows Hello (PIN ou biometria). O fornecedor de credenciais empacota estas credenciais e devolve-as ao Winlogon. O Winlogon transmite as credenciais recolhidas para lSASS. O LSASS transmite as credenciais recolhidas ao fornecedor de suporte de segurança Kerberos. O fornecedor Kerberos obtém sugestões de domínio da estação de trabalho associada a um domínio para localizar um controlador de domínio para o utilizador.
B O fornecedor Kerberos envia os dados de pré-autenticação assinados e a chave pública do utilizador (sob a forma de um certificado autoassinado) para o serviço do Centro de Distribuição de Chaves (KDC) em execução no controlador de domínio sob a forma de um KERB_AS_REQ.
O controlador de domínio determina que o certificado é um certificado autoassinado. Obtém a chave pública do certificado incluído no KERB_AS_REQ e procura a chave pública no Active Directory. Valida o UPN para o pedido de autenticação que corresponde ao UPN registado no Active Directory e valida os dados de pré-autenticação assinados com a chave pública do Active Directory. Com êxito, o KDC devolve um TGT ao cliente com o respetivo certificado num KERB_AS_REP.
C O fornecedor Kerberos garante que pode confiar na resposta do controlador de domínio. Em primeiro lugar, garante que o certificado KDC é associado a um certificado de raiz fidedigno pelo dispositivo. Em seguida, garante que o certificado está dentro do respetivo período de validade e que não foi revogado. Em seguida, o fornecedor Kerberos verifica se o certificado tem a Autenticação KDC presente e que o nome alternativo do requerente listado no certificado do KDC corresponde ao nome de domínio ao qual o utilizador está a autenticar.
D Depois de transmitir estes critérios, Kerberos devolve o TGT para LSASS, onde é colocado em cache e utilizado para pedidos de pedidos de assistência subsequentes.
E O LSASS informa o Winlogon da autenticação com êxito. O Winlogon cria uma sessão de início de sessão, carrega o perfil do utilizador e começa explorer.exe.
F Enquanto o Windows carrega o ambiente de trabalho do utilizador, o LSASS transmite as credenciais recolhidas para o fornecedor de suporte de segurança de Autenticação na Cloud, referido como fornecedor de AP na Cloud. O fornecedor de AP da Cloud pede um nonce ao Microsoft Entra ID. Microsoft Entra ID devolve um nonce.
G O fornecedor de AP da Cloud assina o nonce com a chave privada do utilizador e devolve o nonce assinado ao Microsoft Entra ID. Microsoft Entra ID valida o nonce assinado com a chave pública registada em segurança do utilizador relativamente à assinatura nonce. Depois de validar a assinatura, Microsoft Entra ID valida o nonce assinado devolvido. Depois de validar o nonce, Microsoft Entra ID cria um PRT com a chave de sessão que é encriptada para a chave de transporte do dispositivo e devolve-a ao fornecedor de AP da Cloud.
O fornecedor de AP da Cloud recebe o PRT encriptado com a chave de sessão. Com a chave de transporte privada do dispositivo, o fornecedor de AP da Cloud desencripta a chave de sessão e protege a chave de sessão com o TPM do dispositivo.
O fornecedor de AP da Cloud devolve uma resposta de autenticação bem-sucedida ao LSASS. O LSASS coloca o PRT em cache.

Importante

No modelo de implementação acima, um utilizador recém-aprovisionado não poderá iniciar sessão com Windows Hello para Empresas até (a) Microsoft Entra o Connect sincronizar com êxito a chave pública com a Active Directory local e (b) o dispositivo tiver linha de visão para o controlador de domínio pela primeira vez.

Microsoft Entra autenticação de associação híbrida com um certificado

Diagrama de um dispositivo de associação híbrida Microsoft Entra a autenticar no Active Directory com a confiança do certificado.

Fase Descrição
A A autenticação começa quando o utilizador dispensa o ecrã de bloqueio, o que aciona o Winlogon para mostrar o fornecedor de credenciais Windows Hello para Empresas. O utilizador fornece o gesto de Windows Hello (PIN ou biometria). O fornecedor de credenciais empacota estas credenciais e devolve-as ao Winlogon. O Winlogon transmite as credenciais recolhidas para lSASS. O LSASS transmite as credenciais recolhidas ao fornecedor de suporte de segurança Kerberos. O fornecedor Kerberos obtém sugestões de domínio da estação de trabalho associada a um domínio para localizar um controlador de domínio para o utilizador.
B O fornecedor Kerberos envia os dados de pré-autenticação assinados e o certificado do utilizador, que inclui a chave pública, para o serviço do Centro de Distribuição de Chaves (KDC) em execução no controlador de domínio sob a forma de um KERB_AS_REQ.
O controlador de domínio determina que o certificado não é certificado autoassinado. O controlador de domínio garante que o certificado está ligado ao certificado de raiz fidedigna, está dentro do respetivo período de validade, pode ser utilizado para autenticação e não foi revogado. Obtém a chave pública e o UPN do certificado incluído no KERB_AS_REQ e procura o UPN no Active Directory. Valida os dados de pré-autenticação assinados com a chave pública do certificado. Com êxito, o KDC devolve um TGT ao cliente com o respetivo certificado num KERB_AS_REP.
C O fornecedor Kerberos garante que pode confiar na resposta do controlador de domínio. Em primeiro lugar, garante que o certificado KDC é associado a um certificado de raiz fidedigno pelo dispositivo. Em seguida, garante que o certificado está dentro do respetivo período de validade e que não foi revogado. Em seguida, o fornecedor Kerberos verifica se o certificado tem a Autenticação KDC presente e que o nome alternativo do requerente listado no certificado do KDC corresponde ao nome de domínio ao qual o utilizador está a autenticar.
D Depois de transmitir estes critérios, Kerberos devolve o TGT para LSASS, onde é colocado em cache e utilizado para pedidos de pedidos de assistência subsequentes.
E O LSASS informa o Winlogon da autenticação com êxito. O Winlogon cria uma sessão de início de sessão, carrega o perfil do utilizador e começa explorer.exe.
F Enquanto o Windows carrega o ambiente de trabalho do utilizador, o LSASS transmite as credenciais recolhidas para o fornecedor de suporte de segurança de Autenticação na Cloud, referido como fornecedor de AP na Cloud. O fornecedor de AP da Cloud pede um nonce ao Microsoft Entra ID. Microsoft Entra ID devolve um nonce.
G O fornecedor de AP da Cloud assina o nonce com a chave privada do utilizador e devolve o nonce assinado ao Microsoft Entra ID. Microsoft Entra ID valida o nonce assinado com a chave pública registada em segurança do utilizador relativamente à assinatura nonce. Depois de validar a assinatura, Microsoft Entra ID valida o nonce assinado devolvido. Depois de validar o nonce, Microsoft Entra ID cria um PRT com a chave de sessão que é encriptada para a chave de transporte do dispositivo e devolve-a ao fornecedor de AP da Cloud.
O fornecedor de AP da Cloud recebe o PRT encriptado com a chave de sessão. Com a chave de transporte privada do dispositivo, o fornecedor de AP da Cloud desencripta a chave de sessão e protege a chave de sessão com o TPM do dispositivo.
O fornecedor de AP da Cloud devolve uma resposta de autenticação bem-sucedida ao LSASS. O LSASS coloca o PRT em cache.

Importante

Neste modelo de implementação, um utilizador recém-aprovisionado não poderá iniciar sessão com Windows Hello para Empresas a menos que o dispositivo tenha uma linha de visão para o controlador de domínio.