加入網域的裝置公開金鑰驗證

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 10

Kerberos 已新增已加入網域的裝置支援，以使用從 Windows Server 2012 和 Windows 8 開始的憑證登入。這項變更可讓協力廠商廠商建立解決方案，為加入網域的裝置佈建和初始化憑證，以用於網域驗證。

自動公開金鑰佈建

從 Windows 10 版本 1507 和 Windows Server 2016 開始，加入網域的裝置會自動將繫結的公開金鑰佈建至 Windows Server 2016 網域控制站 (DC)。佈建金鑰之後，Windows 就可以對網域使用公開金鑰驗證。

如果裝置執行 Credential Guard，則會建立受 Credential Guard 保護的公開/私密金鑰組。

如果 Credential Guard 不可用，而 TPM 可用，則建立受 TPM 保護的公開/私密金鑰組。

如果兩者都無法使用，則不會產生金鑰組，且裝置只能使用密碼進行驗證。

當 Windows 啟動時，它會檢查是否已為其電腦帳戶佈建公開金鑰。如果沒有，則會產生繫結的公開金鑰，並使用 Windows Server 2016 或更新版本的 DC 在 AD 中為其帳戶進行設定。如果所有 DC 都是下層，則不會佈建任何金鑰。

如果群組原則設定使用憑證進行裝置驗證的支援設定為 Force，則裝置必須尋找執行 Windows Server 2016 或更新版本的 DC 以進行驗證。此設定位於 [系統管理範本] > [系統] > [Kerberos] 底下。

如果群組原則設定已停用使用憑證進行裝置驗證的支援，則一律會使用密碼。此設定位於 [系統管理範本] > [系統] > [Kerberos] 底下。

當 Windows 有已加入網域裝置的憑證時，Kerberos 會先使用憑證進行驗證，並在失敗時重試密碼。這可讓裝置向下層 DC 進行驗證。

由於自動佈建的公開金鑰具有自我簽署憑證，因此不支援金鑰信任帳戶對應的網域控制站上的憑證驗證失敗。根據預設，Windows 會使用裝置的網域密碼重試驗證。