Preparar e implantar Serviços de Federação do Active Directory (AD FS) - confiança de chave local

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

  • Tipo de implantação:
  • Tipo de
  • Tipo de junção:

Windows Hello para Empresas funciona exclusivamente com a função AD FS (Active Directory Federation Service) incluída no Windows Server. O modelo de implantação de confiança de chave local usa o AD FS para registro de chave e registro de dispositivo.

As diretrizes a seguir descrevem a implantação de uma nova instância do AD FS usando o WID (Banco de Dados de Informações do Windows) como o banco de dados de configuração.
O WID é ideal para ambientes com no máximo 30 servidores de federação e não mais de 100 trusts de partes confiáveis. Se o ambiente exceder um desses fatores ou precisar fornecer resolução de artefato SAML, detecção de replay de token ou precisar do AD FS para operar como uma função de provedor federado, a implantação exigirá o uso do SQL como um banco de dados de configuração.
Para implantar o AD FS usando o SQL como seu banco de dados de configuração, examine a lista de verificação Implantando um Farm do Federation Server .

Um novo farm do AD FS deve ter um mínimo de dois servidores de federação para o balanceamento de carga adequado, o que pode ser feito com periféricos de rede externos ou com o uso da Função de Balanceamento de Carga de Rede incluída no Windows Server.

Prepare a implantação do AD FS instalando e atualizando dois Windows Servers.

Registrar-se para um certificado de autenticação de servidor TLS

Em geral, um serviço de federação é uma função de borda. No entanto, os serviços de federação e a instância usada com a implantação no local do Windows Hello para Empresas não precisa de conexão com a Internet.

A função do AD FS precisa de um certificado de autenticação de servidor para os serviços de federação e você pode usar um certificado emitido pela AC corporativa (interna). O certificado de autenticação do servidor deve ter os seguintes nomes incluídos no certificado, se você estiver solicitando um certificado individual para cada nó no farm de federação:

  • Nome do assunto: o FQDN interno do servidor de federação
  • Nome alternativo do assunto: o nome do serviço de federação (por exemplo , sts.corp.contoso.com) ou uma entrada curinga apropriada (por exemplo, *.corp.contoso.com)

O nome do serviço de federação é definido quando a função AD FS é configurada. É possível escolher qualquer nome, mas esse nome deve ser diferente do nome do servidor ou host. Por exemplo, você pode nomear os adfs do servidor host e os sts de serviço de federação. Neste exemplo, o FQDN do host é adfs.corp.contoso.com e o FQDN do serviço de federação é sts.corp.contoso.com.

Você também pode emitir um certificado para todos os hosts no farm. Se você escolheu essa opção, deixe o nome da entidade em branco e inclua todos os nomes no nome alternativo da entidade ao criar a solicitação de certificado. Todos os nomes devem incluir o FQDN de cada host no farm e o nome do serviço de federação.

Ao criar um certificado curinga, marque a chave privada como exportável para que o mesmo certificado possa ser implantado em cada servidor de federação e proxy de aplicativo Web no farm do AD FS. Observe que o certificado deve ser confiável (vincular a uma CA confiável de raiz). Depois de solicitar e registrar com sucesso o certificado de autenticação do servidor em um nó, é possível exportar o certificado e a chave privada para um arquivo PFX usando o console do Gerenciador de certificados. É possível importar o certificado em nós restantes no farm do AD FS.

Certifique-se de registrar ou importar o certificado para o repositório de certificados de computador do servidor AD FS. Além disso, verifique se todos os nós no farm têm o certificado de autenticação de servidor TLS adequado.

Registro de certificado de autenticação do AD FS

Entre no servidor de federação com credenciais equivalentes do administrador de domínio .

  1. Iniciar o Gerenciador de Certificados de Computador Local (certlm.msc)
  2. Expandir o nó Pessoal no painel de navegação
  3. Clique com o botão direito em Pessoal. Selecionar todas as tarefas > solicitar novo certificado
  4. Selecione Avançar na página Antes de Começar
  5. Selecione Avançar na página Selecionar Política de Registro de Certificado
  6. Na página Certificados de Solicitação, selecione a caixa marcar interna do Servidor Web
  7. Selecione o ⚠️ Mais informações são necessárias para se inscrever para este certificado. Clique aqui para configurar o link de configuraçõesExemplo de Guia de Entidade de Propriedades de Certificado – é isso que mostra quando você seleciona o link acima.
  8. Em Nome do assunto, selecione Nome comum na lista Tipo. Digite o FQDN do computador que hospeda a função AD FS e selecione Adicionar
  9. Em Nome alternativo, selecione DNS na lista Tipo. Digite o FQDN do nome que você usará para seus serviços de federação (sts.corp.contoso.com). O nome que você usa aqui DEVE corresponder ao nome usado ao configurar a função de servidor do AD FS. Selecione Adicionar e OK quando terminar
  10. Selecionar Registrar

Um certificado de autenticação de servidor deve aparecer no repositório de certificados pessoal do computador.

Implantar a função AD FS

Importante

Conclua a configuração do AD FS no primeiro servidor do farm antes de adicionar o segundo servidor ao farm do AD FS. Depois de concluído, o segundo servidor recebe a configuração pelo banco de dados de configuração compartilhada quando é adicionado ao farm do AD FS.

Entre no servidor de federação com credenciais equivalentes do Administrador Empresarial .

  1. Inicie o Gerenciador do servidor. Selecione Servidor Local no painel de navegação
  2. Selecione Gerenciar > Funções e Recursos de Adição
  3. Selecione Avançar na página Antes de começar
  4. Na página Selecionar tipo de instalação , selecione Instalação > baseada em função ou com base em recursos Próximo
  5. Na página Selecionar servidor de destino, escolha Selecionar um servidor no pool de servidor. Selecione o servidor de federação na lista Pool de Servidores e Avançar
  6. Na página Selecionar funções de servidor, selecione Serviços de Federação do Active Directory (AD FS) e Avançar
  7. Selecione Avançar na página Selecionar recursos
  8. Selecione Avançar na página Serviço de Federação do Active Directory
  9. Selecione Instalar para iniciar a instalação da função

Examinar para validar a implantação do AD FS

Antes de continuar com a implantação, valide seu progresso de implantação analisando os seguintes itens:

  • Confirmar que o farm do AD FS usa a configuração correta do banco de dados
  • Confirme se o farm do AD FS tem um número adequado de nós e está corretamente balanceado para a carga prevista
  • Confirme se todos os servidores do AD FS no farm têm as atualizações mais recentes instaladas
  • Confirme se todos os servidores do AD FS têm um certificado de autenticação de servidor válido

Pré-requisitos da conta de serviço de registro de dispositivo

O uso de GMSA (Contas de Serviço Gerenciado em Grupo) é a maneira preferida de implantar contas de serviço para serviços que dão suporte a elas. Os GMSAs têm vantagens de segurança sobre contas de usuário normais porque o Windows manipula o gerenciamento de senhas. Isso significa que a senha é grande, complexa e muda periodicamente. O AD FS dá suporte a GMSAs e deve ser configurado usando-os para segurança adicional.

O GSMA usa o Serviço de Distribuição de Chaves da Microsoft que está localizado nos controladores de domínio. Antes de criar um GSMA, primeiro você deve criar uma chave de raiz para o serviço. Você pode ignorar isso se o ambiente já usa GSMA.

Criar a chave raiz do KDS (serviço de distribuição de chave)

Entrar em um controlador de domínio com credenciais equivalentes do Administrador Empresarial .

Inicie um console do PowerShell elevado e execute o seguinte comando:

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

Configurar a função de Serviços de Federação do Active Directory (AD FS)

Use os procedimentos a seguir para configurar o AD FS.

Entre no servidor de federação com credenciais equivalentes do Administrador de Domínio . Estes procedimentos consideram que você está configurando o primeiro servidor de federação em um farm de servidores de federação.

  1. Iniciar Gerenciador do Servidor
  2. Selecione o sinalizador de notificação no canto superior direito e selecione Configurar os serviços de federação neste servidor
  3. Na página Bem-vindo , selecione Criar o primeiro farm > de servidores de federação Próximo
  4. Na página Conectar a Active Directory Domain Services, selecione Avançar
  5. Sobre a página Especificar propriedades do serviço, selecione o certificado recentemente registrado ou importado da lista Certificado SSL. O certificado provavelmente tem o nome do serviço de federação, como sts.corp.contoso.com
  6. Selecione o nome do serviço de federação na lista Nome do Serviço de Federação
  7. Digite o Nome de Exibição do Serviço de Federação na caixa de texto. Esse é o nome que os usuários exibem durante o logon. Selecionar Avançar
  8. Na página Especificar a conta de serviço, selecione Criar uma conta de serviço gerenciado do grupo. Na caixa Nome da Conta , digite adfssvc
  9. Na página Especificar Banco de Dados de Configuração, selecione Criar um banco de dados neste servidor usando Banco de Dados Interno do Windows e selecione Avançar
  10. Na página Opções de Revisão , selecione Avançar
  11. Na página Verificações de pré-requisito , selecione Configurar
  12. Quando o processo for concluído, selecione Fechar

Adicionar a conta de serviço do AD FS ao grupo de administradores de chaves

Durante Windows Hello para Empresas registro, a chave pública é registrada em um atributo do objeto de usuário no Active Directory. Para garantir que o serviço do AD FS possa adicionar e remover chaves faz parte de seu fluxo de trabalho normal, ele deve ser um membro do grupo global key Admins .

Entre em um controlador de domínio ou estação de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

  1. Abra Usuários e Computadores do Active Directory.
  2. Selecione o contêiner Usuários no painel de navegação
  3. Clique com o botão direito do mouse em Administradores de Chaves no painel de detalhes e selecione Propriedades
  4. Selecione os Membros > Adicionar...
  5. Na caixa de texto Insira os nomes do objeto para selecionar, digite adfssvc. Selecione OK
  6. Selecione OK para retornar ao Usuários e Computadores do Active Directory
  7. Alterar para o servidor que hospeda a função AD FS e reiniciá-la

Configurar o serviço de registro de dispositivo

Entre no servidor de federação com credenciais equivalentes do Administrador Empresarial . Essas instruções consideram que você está configurando o primeiro servidor de federação em um farm de servidores de federação.

  1. Abrir o console de gerenciamento do AD FS
  2. No painel de navegação, expanda Serviço. Selecionar Registro de Dispositivo
  3. No painel de detalhes, selecione Configurar registro de dispositivo
  4. Na caixa de diálogo Configurar Registro de Dispositivo, selecioneOK

Captura de tela que mostra o registro do dispositivo do AD FS: configuração do ponto de conexão de serviço.

Disparar o registro de dispositivo do AD FS cria o SCP (ponto de conexão de serviço) na partição de configuração do Active Directory. O SCP é usado para armazenar as informações de registro do dispositivo que os clientes Windows descobrirão automaticamente.

Captura de tela que mostra o registro de dispositivo do AD FS: objeto de ponto de conexão de serviço criado pelo AD FS.

Examinar para validar a configuração do AD FS e do Active Directory

Antes de continuar com a implantação, valide seu progresso de implantação analisando os seguintes itens:

  • Registre as informações sobre o certificado do AD FS e defina um lembrete de renovação pelo menos seis semanas antes de expirar. As informações relevantes incluem: número de série de certificado, impressão digital, nome comum, nome alternativo do assunto, nome do servidor host físico, a data emitida, a data de validade e a emissão do fornecedor de AC (se um certificado não Microsoft)
  • Confirme se você adicionou a conta de serviço do AD FS ao grupo KeyAdmins
  • Confirme se você habilitou o serviço de Registro de Dispositivo

Servidores de federação adicionais

As organizações devem implantar mais de um servidor de federação no farm de federação para oferecer alta disponibilidade. Você deve ter pelo menos dois serviços de federação em seu farm do AD FS, porém a probabilidade é que a maioria das organizações tenham mais. Isso depende amplamente do número de dispositivos e usuários que usam os serviços fornecidos pelo farm do AD FS.

Certificado de autenticação do servidor

Cada servidor que você adicionar ao farm do AD FS deve ter um certificado de autenticação de servidor adequado. Consulte a seção Registro de certificado de autenticação de servidor TLS deste documento para determinar os requisitos para o certificado de autenticação do servidor. Como já mencionado, servidores do AD FS usados exclusivamente para implantações locais do Windows Hello para Empresas podem usar certificados de autenticação de servidor empresarial em vez de certificados de autenticação de servidor emitidos por autoridades de certificação pública.

Instalar servidores adicionais

A adição de servidores de federação ao farm existente do AD FS começa com a garantia de que o servidor esteja totalmente corrigido, para incluir Windows Server 2016 Atualização necessária para dar suporte a implantações de Windows Hello para Empresas (https://aka.ms/whfbadfs1703). Em seguida, instale a função do Serviços de Federação do Active Directory (AD FS) nos servidores adicionais e configure o servidor como um servidor adicional em um farm existente.

Balanceamento de carga AD FS

Muitos ambientes fazem o balanceamento de carga com dispositivos de hardware. Ambientes sem recursos de balanceamento de carga de hardware podem aproveitar o recurso de balanceamento de carga de rede incluído no Windows Server para fazer o balanceamento de carga dos servidores do AD FS no farm de federação. Instale o recurso de Balanceamento de carga de rede do Windows em todos os nós que participam do farm do AD FS que deve ser balanceado.

Instalar o Recurso de balanceamento de carga de rede em servidores do AD FS

Entre no servidor de federação com credenciais equivalentes do Administrador Empresarial .

  1. Inicie o Gerenciador do servidor. Selecione Servidor Local no painel de navegação
  2. Selecione Gerenciar e selecione Adicionar Funções e Recursos
  3. Selecione Avançar na página Antes de começar
  4. Na página Selecionar tipo de instalação , selecione Instalação baseada em função ou recurso e selecione Avançar
  5. Na página Selecionar servidor de destino, escolha Selecionar um servidor no pool de servidor. Selecione o servidor de federação na lista Pool de servidores. Selecionar Avançar
  6. Na página Selecionar funções de servidor , selecione Avançar
  7. Selecione Balanceamento de Carga de Rede na página Selecionar recursos
  8. Selecione Instalar para iniciar a instalação do recurso

Configurar o balanceamento de carga de rede do AD FS

Antes de fazer o balanceamento de carga de todos os nós no farm do AD FS, primeiro você deve criar um novo cluster de balanceamento de carga. Depois de criar o cluster, você pode adicionar novos nós a esse cluster.

Entrar em um nó do farm de federação com credenciais equivalentes do Administrador .

  1. Abrir o Gerenciador de Balanceamento de Carga de Rede de Ferramentas Administrativas
  2. Clique com o botão direito do mouse em Clusters de Balanceamento de Carga de Rede e selecione Novo Cluster
  3. Para se conectar ao host que deve fazer parte do novo cluster, na caixa de texto Host, digite o nome do host e selecione Conectar
  4. Selecione a interface que você deseja usar com o cluster e selecione Avançar (a interface hospeda o endereço IP virtual e recebe o tráfego do cliente para o saldo de carga)
  5. Em Parâmetros de host, selecione um valor em Prioridade (identificador de host exclusivo). Esse parâmetro especifica uma ID exclusiva para cada host. O host com a menor prioridade numérica entre os atuais membros do cluster trata de todo o tráfego de rede do cluster não coberto por uma regra de porta. Selecionar Avançar
  6. Em Endereços IP de Cluster, selecione Adicionar e digite o endereço IP do cluster compartilhado por cada host no cluster. O NLB adiciona esse endereço IP à pilha de TCP/IP na interface selecionada de todos os hosts escolhidos para fazer parte do cluster. Selecionar Avançar
  7. Em Parâmetros de Cluster, selecione os valores em Endereço IP e Máscara de sub-rede (para endereços IPv6, um valor de máscara de sub-rede não é necessário). Digite o nome completo da Internet que os usuários usarão para acessar este cluster NLB
  8. No modo de operação de cluster, selecione Unicast para especificar que um endereço MAC (controle de acesso de mídia unicast) deve ser usado para operações de cluster. No unicast, o endereço MAC do cluster é atribuído ao adaptador de rede do computador e o endereço MAC interno do adaptador de rede não é usado. Recomendamos que você aceite as configurações unicast padrão. Selecionar Avançar
  9. Em Regras de Porta, selecione Editar para modificar as regras de porta padrão para usar a porta 443

Servidores AD FS adicionais

  1. Para adicionar mais hosts ao cluster, clique com o botão direito do mouse no novo cluster e selecione Adicionar Host ao Cluster
  2. Configure os parâmetros de host (incluindo a prioridade de host, os endereços IP dedicados e peso da carga) para hosts adicionais seguindo as mesmas instruções que você usou para configurar o host inicial. Como você está adicionando hosts a um cluster já configurado, todos os parâmetros em todo o cluster permanecem os mesmos

Configurar DNS para registro do dispositivo

Entre no controlador de domínio ou na estação de trabalho administrativa com credenciais equivalentes do administrador de domínio.
Você precisará do nome do serviço de federação para concluir essa tarefa. Você pode exibir o nome do serviço de federação selecionando Editar Propriedades do Serviço de Federação no painel Ação do AD FS console de gerenciamento ou usando (Get-AdfsProperties).Hostname. (PowerShell) no servidor do AD FS.

  1. Abrir o console de Gerenciamento de DNS
  2. No painel de navegação, expanda o nó nome do controlador de domínio e Encaminhar Zonas de Pesquisa
  3. No painel de navegação, selecione o nó que tem o nome do nome de domínio interno do Active Directory
  4. No painel de navegação, clique com o botão direito do mouse no nó nome do domínio e selecione Novo Host (A ou AAAA)
  5. Na caixa de texto nome, digite o nome do serviço de federação. Na caixa Endereço IP, digite o endereço IP do seu servidor de federação. Selecione Adicionar Host
  6. Clique com o botão direito do mouse no <domain_name> nó e selecione Novo Alias (CNAME)
  7. Na caixa de diálogo Novo Registro de Recurso, digite enterpriseregistration na caixa nome do Alias
  8. No FQDN (nome de domínio totalmente qualificado) da caixa de host de destino, digite federation_service_farm_name.<domain_name_fqdne selecione OK
  9. Feche o Console de gerenciamento do DNS

Observação

Se sua floresta tiver vários sufixos UPN, certifique-se de que enterpriseregistration.<upnsuffix_fqdn> está presente para cada sufixo.

Configurar a zona da Intranet para incluir o serviço de federação

O provisionamento do Windows Hello apresenta páginas da Web do serviço de federação. A configuração da zona da intranet para incluir o serviço de federação permite que o usuário autentique o serviço de federação usando a autenticação integrada. Sem essa configuração, a conexão com o serviço de federação durante o provisionamento do Windows Hello solicita a autenticação do usuário.

Criar uma Política de grupo de zona da Intranet

Entrar no controlador de domínio ou na estação de trabalho administrativa com o Domínio Administração credenciais equivalentes:

  1. Iniciar o console de gerenciamento de Política de Grupo (gpmc.msc)
  2. Expanda o domínio e selecione o nó objeto Política de Grupo no painel de navegação
  3. Clique com o botão direito do mouse no Objeto de política de grupo e selecione Novo
  4. Digite Configurações de Zona da Intranet na caixa nome e selecione OK
  5. No painel de conteúdo, clique com o botão direito do mouse no objeto Configurações da Zona da Intranet Política de Grupo e selecione Editar
  6. No painel de navegação, expanda Políticas em Configuração de Computador
  7. Expanda Modelos Administrativos > Windows Component > Internet Explorer > Internet Painel de Controle >Página de Segurança. Abrir lista de atribuições de site para zona
  8. Selecione Habilitar > Mostrar. Na coluna Nome do valor, digite o url do serviço de federação começando com https. Na coluna Valor, digite o número 1. Selecione OK duas vezes e feche o Editor de Gerenciamento de Política de Grupo

Implante o objeto da política de grupo da Zona da intranet.

  1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
  2. No painel de navegação, expanda o domínio e clique com o botão direito do mouse no nó que tem o nome de domínio do Active Directory e selecione Vincular um GPO existente...
  3. Na caixa de diálogo Selecionar GPO, selecioneConfigurações da Zona da Intranet ou o nome do objeto Windows Hello para Empresas Política de Grupo que você criou anteriormente e selecione OK

Validar e implantar a MFA (autenticação multifator)

Windows Hello para Empresas exige que os usuários executem MFA (autenticação multifator) antes de se registrarem no serviço. Implantações locais podem ser usadas como opção MFA:

  • Certificados
  • provedores de autenticação não Microsoft para AD FS
  • provedor de autenticação personalizado para AD FS

Importante

A partir de 1º de julho de 2019, a Microsoft não oferecerá mais o MFA Server para novas implantações. Novos clientes que gostariam de exigir autenticação multifator de seus usuários devem usar a autenticação multifator baseada em nuvem Microsoft Entra. Os clientes existentes que ativaram o MFA Server antes de 1º de julho poderão baixar a versão mais recente, atualizações futuras e gerar credenciais de ativação normalmente.

Para obter informações sobre métodos de autenticação não Microsoft disponíveis, consulte Configurar métodos adicionais de autenticação para AD FS. Para criar um método de autenticação personalizado, consulte Criar um método de autenticação personalizado para AD FS no Windows Server

Siga o guia de integração e implantação do provedor de autenticação selecionado para integrá-lo e implantá-lo no AD FS. Verifique se o provedor de autenticação está selecionado como uma opção de autenticação multifator na política de autenticação do AD FS. Para obter informações sobre como configurar políticas de autenticação do AD FS, consulte Configurar políticas de autenticação.

Examinar para validar a configuração

Antes de continuar com a implantação, valide seu progresso de implantação analisando os seguintes itens:

  • Confirme se todos os servidores do AD FS têm um certificado de autenticação de servidor válido. O assunto do certificado é o nome comum (FQDN) do host ou um nome curinga. O nome alternativo do certificado contém um curinga ou o FQDN do serviço de federação
  • Confirme se o farm do AD FS tem um número adequado de nós e está corretamente balanceado para a carga prevista
  • Confirme se você reiniciou o serviço do AD FS
  • Confirme se você criou um Registro DNS A para o serviço de federação e o endereço IP usado é o endereço IP de balanceamento de carga
  • Confirme se você criou e implantou as configurações da Zona intranet para evitar a autenticação dupla no servidor de federação
  • Confirme se você implantou uma solução MFA para AD FS

Próximo: configurar e registrar-se no Windows Hello para Empresas >