Настройка единого входа для устройств, присоединенных к Microsoft Entra

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

В этой статье описаны Windows Hello для бизнеса функциональные возможности или сценарии, которые применяются к:

Windows Hello для бизнеса в сочетании с устройствами, присоединенными к Microsoft Entra, упрощает пользователям безопасный доступ к облачным ресурсам с помощью надежных двухфакторных учетных данных. По мере того как организации переходят ресурсы в облако, некоторые ресурсы могут оставаться локальными, и Microsoft Entra присоединенным устройствам может потребоваться доступ к ним. С помощью дополнительных конфигураций гибридного развертывания вы можете предоставить единый вход в локальные ресурсы для Microsoft Entra присоединенных устройств с помощью Windows Hello для бизнеса, с помощью ключа или сертификата.

Примечание.

Эти действия не требуются при использовании облачной модели доверия Kerberos.

Предварительные условия

В отличие от Microsoft Entra устройств с гибридным присоединением, Microsoft Entra присоединенные устройства не имеют связи с доменом Active Directory. От этого зависит способ проверки подлинности пользователей в Active Directory. Проверьте следующие конфигурации, чтобы убедиться, что они поддерживают Microsoft Entra присоединенных устройств:

  • Точка распространения списка отзыва сертификатов (CRL)
  • Сертификаты контроллера домена
  • Сетевая инфраструктура на месте для доступа к локальным контроллерам домена. Если компьютеры являются внешними, можно использовать любое VPN-решение.

Точка распространения CRL (CDP)

Сертификаты, выданные центром сертификации, могут быть отозваны. Когда центр сертификации отзывает сертификат, он записывает сведения о сертификате в список отзыва сертификатов (CRL).
Во время проверки сертификата Windows сравнивает текущий сертификат со сведениями в списке отзыва сертификатов, чтобы определить, действителен ли сертификат.

Снимок экрана: свойство CDP сертификата.

На снимке экрана свойство CDP сертификата контроллера домена показывает путь LDAP. Если использовать Active Directory для устройств, присоединенных к домену, вы получаете высокодоступную точку распространения CRL. Однако Microsoft Entra присоединенные устройства не могут считывать данные из Active Directory, а проверка сертификата не дает возможности пройти проверку подлинности перед чтением списка отзыва сертификатов. Проверка подлинности становится циклической проблемой: пользователь пытается пройти проверку подлинности, но для завершения проверки подлинности должен прочитать Active Directory, но пользователь не может прочитать Active Directory, так как он не прошел проверку подлинности.

Чтобы устранить эту проблему, точка распространения списка отзыва сертификатов должна быть расположением, доступным для Microsoft Entra присоединенных устройств, которые не требуют проверки подлинности. Простейшее решение — опубликовать точку распространения CRL на веб-сервере, использующем протокол HTTP (а не HTTPS).

Если в вашей точке распространения списка отзыва сертификатов не указана точка распространения HTTP, необходимо перенастроить центр сертификации, выдающий сертификат, чтобы в список точек распространения была включена точка распространения CRL HTTP, предпочтительно первая.

Примечание.

Если ваш ЦС опубликовал как base , так и delta CRL, обязательно опубликуйте delta CRL в пути HTTP. Включите веб-сервер для получения разностного списка отзыва сертификатов , разрешив двойной экранирование на веб-сервере (IIS).

Сертификаты контроллера домена

Центры сертификации записывают сведения CDP в сертификаты по мере их выдачи. Если точка распространения изменяется, ранее выданные сертификаты должны быть повторно выданы, чтобы центр сертификации включал новую CDP. Сертификат контроллера домена является одним из важнейших компонентов Microsoft Entra присоединенных устройств, которые будут выполнять проверку подлинности в Active Directory.

Почему системе Windows необходимо проверять сертификат контроллера домена?

Windows Hello для бизнеса применяет строгую функцию проверки KDC при проверке подлинности из Microsoft Entra присоединенного устройства к домену. Это применение накладывает более строгие критерии, которым должен соответствовать Центр распространения ключей (KDC). При проверке подлинности с помощью Windows Hello для бизнеса на устройстве, присоединенном к Microsoft Entra, клиент Windows проверяет ответ от контроллера домена, гарантируя выполнение всех следующих действий:

  • Контроллер домена имеет закрытый ключ для предоставленного сертификата.
  • Корневой ЦС, выдающий сертификат контроллера домена, находится в доверенных корневых центрах сертификации устройства.
  • Используйте шаблон сертификата проверки подлинности Kerberos вместо любого другого более старого шаблона.
  • Сертификат контроллера домена имеет расширенное использование ключа проверки подлинности KDC (EKU)
  • Альтернативное имя субъекта сертификата контроллера домена имеет DNS-имя, соответствующее имени домена.
  • Хэш-алгоритм сигнатуры сертификата контроллера домена — sha256
  • Открытый ключ сертификата контроллера домена — RSA (2048 бит).

Важно.

Проверка подлинности с Microsoft Entra гибридного устройства, присоединенного к домену, с помощью Windows Hello для бизнеса не требует, чтобы сертификат контроллера домена включает EKU проверки подлинности KDC. Если вы добавляете Microsoft Entra присоединенных устройств в существующую доменную среду, убедитесь, что сертификат контроллера домена обновлен для включения EKU проверки подлинности KDC.

Настройка точки распространения списка отзыва сертификатов для выдающего ЦС

Используйте этот набор процедур, чтобы обновить ЦС, который выдает сертификаты контроллера домена, чтобы включить точку распространения CRL на основе HTTP.

Настройка Internet Information Services для размещения точки распространения списка отзыва

Необходимо разместить новый список отзыва сертификатов на веб-сервере, чтобы Microsoft Entra присоединенные устройства могли легко проверять сертификаты без проверки подлинности. Эти файлы можно разместить на веб-серверах множеством способов. Приведенные ниже действия являются лишь одним и могут быть полезны для администраторов, не знакомых с добавлением новой точки распространения списка отзыва сертификатов.

Важно.

Не настраивайте сервер IIS, на котором размещена точка распространения CRL, для использования протокола HTTPS или сертификата проверки подлинности сервера. Клиенты должны обращаться к точке распространения по протоколу HTTP.

Установка веб-сервера

  1. Войдите на сервер в качестве локального администратора и запустите диспетчер сервера, если он не был запущен во время входа.
  2. Выберите узел Локальный сервер в области навигации. Выберите Управление и добавить роли и компоненты.
  3. В мастере добавления ролей и компонентов выберите Выбор сервера. Убедитесь, что выбран локальный сервер. Выберите Роли сервера. Выберите поле проверка рядом с полем Веб-сервер (IIS)
  4. Выберите Далее с помощью остальных параметров мастера, приняв значения по умолчанию, и установите роль веб-сервера.

Настройка веб-сервера

  1. Из средств администрирования Windows откройте диспетчер служб IIS

  2. Разверните область навигации, чтобы отобразить Веб-сайт по умолчанию. Выберите и щелкните правой кнопкой мыши веб-сайт по умолчанию и выберите Добавить виртуальный каталог...

  3. В диалоговом окне Добавление виртуального каталога введите cdp в поле Псевдоним. Для физического пути введите или найдите расположение физического файла, в котором будет размещен список отзыва сертификатов. В этом примере используется путь c:\cdp . Нажмите кнопку ОКДобавить виртуальный каталог.

    Примечание.

    Запомните этот путь, поскольку позднее он понадобится для настройки разрешений доступа к общей папке и к файлам.

  4. Выберите CDP в разделе Веб-сайт по умолчанию в области навигации. Откройте раздел Просмотр каталогов в области содержимого. Выберите Включить в области сведений.

  5. Выберите CDP в разделе Веб-сайт по умолчанию в области навигации. Откройте Редактор конфигурации

  6. В списке Раздел перейдите по адресу system.webServer/security/requestFilteringКонфигурация IIS Редактор requestFiltering.

  7. В списке именованных пар значений в области содержимого установите для параметра allowDoubleEscaping значение Истина. Выберите Применить в области действий Конфигурация IIS Редактор двойного экранирования.

  8. Закрытие диспетчера служб IIS

Создание записи ресурса DNS для URL-адреса точки распространения CRL

  1. На DNS-сервере или с административной рабочей станции откройте диспетчер DNS из администрирования.
  2. Разверните элемент Зоны прямого просмотра, чтобы отобразить зону DNS для вашего домена. Щелкните правой кнопкой мыши доменное имя в области навигации и выберите Создать узел (A или AAAA)...
  3. В диалоговом окне Новый узел введите crl в поле Имя. Введите IP-адрес настроенного веб-сервера в поле IP-адрес. Выберите Добавить узел. Нажмите кнопку ОК , чтобы закрыть диалоговое окно DNS . Выберите ГотовоCreate запись узла DNS.
  4. Закрытие диспетчера DNS

Подготовка общей папки для размещения списка отзыва сертификатов

Эта процедура дает возможность настроить разрешения доступа NTFS и общих папок на веб-сервере, чтобы центр сертификации могут автоматически публиковать список отзыва сертификатов.

Настройка общей папки CDP

  1. На веб-сервере откройте windows Обозреватель и перейдите к папке cdp, созданной на шаге 3 настройки веб-сервера.
  2. Щелкните правой кнопкой мыши папку cdp и выберите Свойства. Перейдите на вкладку Общий доступ . Выберите Расширенный общий доступ.
  3. Выберите Открыть общий доступ к этой папке. Введите cdp$ в поле Имя общей папки. Выберите Разрешениядля общего доступа cdp.
  4. В диалоговом окне Разрешения для cdp$ выберите Добавить.
  5. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп выберите Типы объектов. В диалоговом окне Типы объектов выберите Компьютеры, а затем нажмите кнопку ОК.
  6. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп в поле Введите имена объектов для выбора введите имя сервера, на котором центр сертификации выдает список отзыва сертификатов, а затем выберите Проверить имена. Нажмите кнопку ОК.
  7. В диалоговом окне Разрешения для cdp$ выберите центр сертификации в списке Группы или пользователи. В разделе Разрешения для выберите Разрешить для параметра Полный доступ. Выберите ОКРазрешения cdp общей папки.
  8. В диалоговом окне Расширенный общий доступ нажмите кнопку ОК.

Совет

Убедитесь, что пользователи могут получить доступ к \\Server FQDN\sharename.

Отключение кэширования

  1. На веб-сервере откройте windows Обозреватель и перейдите к папке cdp, созданной на шаге 3 настройки веб-сервера.
  2. Щелкните правой кнопкой мыши папку cdp и выберите Свойства. Перейдите на вкладку Общий доступ . Выберите Расширенный общий доступ.
  3. Выберите Кэширование. Выберите Нет файлов или программ из общей папки доступны автономныеCDP отключить кэширование.
  4. Нажмите кнопку ОК.

Настройка разрешений NTFS для папки CDP

  1. На веб-сервере откройте windows Обозреватель и перейдите к папке cdp, созданной на шаге 3 настройки веб-сервера.
  2. Щелкните правой кнопкой мыши папку cdp и выберите Свойства. Перейдите на вкладку Безопасность .
  3. На вкладке Безопасность выберите Изменить.
  4. В диалоговом окне Разрешения для cdp выберите Добавитьразрешения CDP NTFS.
  5. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп выберите Типы объектов. В диалоговом окне Типы объектов выберите Компьютеры. Нажмите кнопку ОК.
  6. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп в поле Введите имена объектов для выбора введите имя центра сертификации, а затем выберите Проверить имена. Нажмите кнопку ОК.
  7. В диалоговом окне Разрешения для cdp выберите имя центра сертификации в списке Группы или пользователи. В разделе Разрешения для выберите Разрешить для параметра Полный доступ. Нажмите кнопку ОК.
  8. Нажмите кнопку Закрыть в диалоговом окне "Свойства cdp"

Настройка нового CDP и расположения публикации в выдающем ЦС

Веб-сервер готов к размещению точки распространения CRL. Теперь настройте центр сертификации, выдающий сертификат, чтобы опубликовать список отзыва сертификатов в новом расположении и включить новую точку распространения списка отзыва сертификатов.

Настройка точки распространения CRL

  1. В центре сертификации войдите в систему с правами локального администратора. Запустите консоль центра сертификации из администрирования
  2. В области навигации щелкните правой кнопкой мыши имя центра сертификации и выберите Пункт Свойства.
  3. Выберите Расширения. На вкладке Расширения выберите CRL Distribution Point (CDP) в списке Select extension (Выбрать расширение ).
  4. На вкладке Расширения выберите Добавить. Введите http://crl.[имя_домена]/cdp/ в расположении. Например, <http://crl.corp.contoso.com/cdp/> или <http://crl.contoso.com/cdp/> диалоговое окно (не забывайте о косой черте).
  5. Выберите <CaName> в списке Переменная и нажмите кнопку Вставка. Выберите <CRLNameSuffix> в списке Переменная и нажмите кнопку Вставка. Выберите <DeltaCRLAllowed> в списке Переменная и нажмите кнопку Вставка.
  6. Введите .crl в конце текста в поле Расположение. Нажмите кнопку ОК.
  7. Выберите только что созданную cdp-точку HTTP.
  8. Выберите Включить в списки отзыва сертификатов. Клиенты используют его для поиска расположений разностного списка отзыва сертификатов.
  9. Выберите Включить в расширение CDP выданных сертификатов.
  10. Выберите Применить сохранить выбранные параметры. Выберите Нет при запросе на перезапуск службы.

Примечание.

Кроме того, при необходимости можно удалить ненужные точки распространения CRL и расположения публикации.

Настройка расположения публикации CRL

  1. В центре сертификации войдите в систему с правами локального администратора. Запустите консоль центра сертификации из администрирования
  2. В области навигации щелкните правой кнопкой мыши имя центра сертификации и выберите Пункт Свойства.
  3. Выберите Расширения. На вкладке Расширения выберите CRL Distribution Point (CDP) в списке Select extension (Выбрать расширение ).
  4. На вкладке Расширения выберите Добавить. Введите имя компьютера и общей папки точки распространения CRL в поле Настройка файлового ресурса CDP. Например, \\app\cdp$\ (не забывайте обратную косую черту)
  5. Выберите <CaName> в списке Переменная и нажмите кнопку Вставка. Выберите <CRLNameSuffix> в списке Переменная и нажмите кнопку Вставка. Выберите <DeltaCRLAllowed> в списке Переменная и нажмите кнопку Вставка.
  6. Введите .crl в конце текста в поле Расположение. Нажмите кнопку ОК.
  7. Выберите расположение публикации CDP, которое вы только что создали.
  8. Выберите Опубликовать списки отзыва сертификатов в этом расположении.
  9. Выберите Опубликовать разностные списки отзыва сертификатов в этом расположении.
  10. Выберите Применить сохранить выбранные параметры. При запросе на перезапуск службы выберите Да . Нажмите кнопку ОК , чтобы закрыть диалоговое окно свойств.

Публикация нового CRL

  1. В центре сертификации войдите в систему с правами локального администратора. Запустите консоль центра сертификации из администрирования
  2. В области навигации щелкните правой кнопкой мыши отозванные сертификаты, наведите указатель мыши на все задачи и выберите Опубликоватьопубликовать новый список отзыва сертификатов.
  3. В диалоговом окне Публикация списка отзыва сертификатов выберите Создать список отзыва сертификатов и нажмите кнопку ОК.

Проверка публикации CDP

Убедитесь, что новая точка распространения списка отзыва сертификатов работает.

  1. Откройте браузер. Перейдите к http://crl.[yourdomain].com/cdp. Вы увидите два файла, созданные при публикации нового списка отзыва сертификатов Проверка нового списка отзыва сертификатов.

Повторная выдача сертификатов контроллера домена

При правильной настройке ЦС с допустимой точкой распространения CRL на основе HTTP необходимо перевыпускать сертификаты контроллерам домена, так как старый сертификат не имеет обновленной точки распространения CRL.

  1. Вход в контроллер домена с использованием учетных данных администратора
  2. Открывает диалоговое окно Выполнить Введите certlm.msc , чтобы открыть диспетчер сертификатов для локального компьютера.
  3. В области навигации разверните узел Личные. Выберите Сертификаты. В области сведений выберите существующий сертификат контроллера домена, включающий проверку подлинности KDC, в списке Личного хранилища диспетчера сертификатовпредполагаемых целей.
  4. Щелкните выбранный сертификат правой кнопкой мыши. Наведите указатель мыши на все задачи и выберите Продлить сертификат с помощью нового ключа.... В мастере регистрации сертификатов выберите Далеепродлить с помощью нового ключа.
  5. На странице Запрос сертификатов этого мастера проверьте, что у выбранного сертификата правильный шаблон. Убедитесь, что его состояние — "Доступен". Выберите Регистрация
  6. После завершения регистрации нажмите кнопку Готово , чтобы закрыть мастер.
  7. Повторите эту процедуру на всех контроллерах домена

Примечание.

Можно настроить контроллеры доменов для автоматической регистрации и продления сертификатов. Автоматическая регистрация сертификатов дает возможность избежать неполадок проверкой подлинности, обусловленных окончанием срока действия сертификатов. Сведения о развертывании автоматической регистрации сертификатов для контроллеров домена см. в руководствах по развертыванию Windows Hello.

Важно.

Если вы не используете автоматическую регистрацию сертификатов, создайте напоминание в календаре, чтобы получить уведомление за два месяца до даты окончания срока действия сертификата. Отправьте напоминание нескольким пользователям в организации: дата окончания срока действия сертификатов должна быть известна нескольким сотрудникам.

Проверка CDP в новом сертификате

  1. Вход в контроллер домена с использованием учетных данных администратора

  2. Открывает диалоговое окно Выполнить Введите certlm.msc , чтобы открыть диспетчер сертификатов для локального компьютера.

  3. В области навигации разверните узел Личные. Выберите Сертификаты. В области сведений дважды щелкните существующий сертификат контроллера домена, включающий проверку подлинности KDC в списке предполагаемых целей.

  4. Перейдите на вкладку Сведения . Прокрутите список вниз, пока не будут отображаться точки распространения списка CRL в столбце Поле списка. Выбор точки распространения списка отзыва отзыва сертификатов

  5. Проверьте информацию под списком, и убедитесь, что в сертификате указан новый URL-адрес точки распространения CRL. Нажмите кнопку ОК.

    Новый сертификат с обновленным CDP.

Развертывание сертификата корневого ЦС на устройствах, присоединенных к Microsoft Entra

Контроллеры домена имеют сертификат, включающий новую точку распространения CRL. Затем вам потребуется корпоративный корневой сертификат, чтобы его можно было развернуть на Microsoft Entra присоединенных устройствах. При развертывании корпоративных корневых сертификатов на устройстве устройство гарантирует, что устройство доверяет всем сертификатам, выданным центром сертификации. Без сертификата Microsoft Entra присоединенные устройства не доверяют сертификатам контроллера домена, и проверка подлинности завершается сбоем.

Экспорт корневого сертификата предприятия

  1. Вход в контроллер домена с использованием учетных данных администратора
  2. Открывает диалоговое окно Выполнить Введите certlm.msc , чтобы открыть диспетчер сертификатов для локального компьютера.
  3. В области навигации разверните узел Личные. Выберите Сертификаты. В области сведений дважды щелкните существующий сертификат контроллера домена, включающий проверку подлинности KDC в списке предполагаемых целей.
  4. Перейдите на вкладку Путь сертификации . В представлении Путь сертификации выберите самый верхний узел и выберите Просмотретьпуть к сертификату.
  5. В диалоговом окне Новый сертификат выберите вкладку Сведения . Выберите Копировать на вкладкуСведения о файле и скопируйте в файл.
  6. В мастере экспорта сертификатов нажмите кнопку Далее.
  7. На странице Экспорт формата файла мастера нажмите кнопку Далее.
  8. На странице Файл для экспорта в мастере введите имя и расположение корневого сертификата и нажмите кнопку Далее. Нажмите кнопку Готово , а затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Экспорта корневого сертификата.
  9. Нажмите кнопку ОК два раза, чтобы вернуться к диспетчеру сертификатов для локального компьютера. Закрытие диспетчера сертификатов

Развертывание сертификата с помощью Intune

Чтобы настроить устройства с помощью Microsoft Intune, используйте настраиваемую политику:

  1. Перейдите в Центр администрирования Microsoft Intune
  2. Выберите Профили > конфигурации устройств > Create профиль
  3. Выберите Платформа > Windows 8.1 и более поздних версий и Тип > профиля Доверенный сертификат.
  4. Выберите Create
  5. В разделе Параметры конфигурации щелкните значок папки и найдите файл корневого сертификата предприятия. Выбрав файл, нажмите кнопку Открыть, чтобы отправить его в Intune
  6. В раскрывающемся списке Целевое хранилище выберите Хранилище сертификатов компьютера — корневой каталог.
  7. Нажмите кнопку Далее
  8. В разделе Назначение выберите группу безопасности, содержащую в качестве участников устройства или пользователей, которые вы хотите настроить Далее>.
  9. Просмотрите конфигурацию политики и выберите Create

Если вы планируете использовать сертификаты для единого входа в локальной среде, выполните дополнительные действия, описанные в статье Использование сертификатов для единого входа в локальной среде. В противном случае вы можете войти на устройство, присоединенное к Microsoft Entra, с помощью Windows Hello для бизнеса и проверить единый вход в локальный ресурс.