Mobilny dostęp do poświadczeń umożliwia organizacjom przechowywanie certyfikatów i kluczy prywatnych w Usługach domenowych w usłudze Active Directory (AD DS) niezależnie od danych o stanie aplikacji oraz informacji na temat konfiguracji.

Sposób działania mobilnego dostępu do poświadczeń

Funkcja mobilnego dostępu do poświadczeń korzysta z istniejących mechanizmów logowania i autorejestrowania w celu bezpiecznego pobierania certyfikatów i kluczy na komputer lokalny podczas logowania się użytkownika oraz w razie potrzeby w celu usuwania certyfikatów i kluczy po wylogowaniu się użytkownika. Oprócz tego jest zawsze zapewniona integralność poświadczeń, między innymi przy aktualizacji certyfikatów lub kiedy użytkownicy logują się na wielu komputerach jednocześnie.

W poniższych krokach opisano działanie mobilnego dostępu do poświadczeń.

  1. Użytkownik loguje się na komputerze klienckim połączonym z domeną usługi Active Directory.

  2. W ramach procesu logowania na komputerze użytkownika są stosowane zasady grupy mobilnego dostępu do poświadczeń.

  3. Jeśli mobilny dostęp do poświadczeń jest używany po raz pierwszy, certyfikaty z magazynu użytkownika na komputerze klienckim są kopiowane do usług AD DS.

  4. Jeśli użytkownik ma już certyfikaty w usługach AD DS, certyfikaty z magazynu certyfikatów użytkownika na komputerze klienckim są porównywane z certyfikatami użytkownika przechowywanymi w usługach AD DS.

  5. Jeśli certyfikaty w magazynie certyfikatów użytkownika są aktualne, nie są podejmowane żadne dalsze czynności. Jeśli jednak w usługach AD DS są przechowywane nowsze certyfikaty użytkownika, poświadczenia te są kopiowane na komputer kliencki. Jeśli nowsze certyfikaty użytkownika są przechowywane na komputerze klienckim, poświadczenia te są kopiowane do usług AD DS.

  6. Jeśli na komputerze klienckim są potrzebne dodatkowe certyfikaty, następuje przetwarzanie oczekujących żądań autorejestracji certyfikatu.

    Uwaga

    Nowo wydane certyfikaty są przechowywane w magazynie certyfikatów na komputerze klienckim i są replikowane do usług AD DS.

  7. Gdy użytkownik zaloguje się później na innym komputerze klienckim połączonym z domeną, zostanie zastosowane takie samo ustawienie zasad grupy, a poświadczenia zostaną ponownie zreplikowane z usług AD DS. Mobilny dostęp do poświadczeń zapewnia synchronizację i rozwiązywanie konfliktów między certyfikatami i kluczami prywatnymi pochodzącymi z dowolnej liczby komputerów klienckich, na których użytkownik się zalogował, a także z usług AD DS.

    Ważne

    W środowiskach wielodomenowych i w domenach z wieloma kontrolerami domeny poświadczenia mogą nie być dostępne natychmiast po zalogowaniu się użytkownika do sieci przy użyciu jednego z kontrolerów domeny wkrótce po otrzymaniu certyfikatu na komputerze, który sprawdza tożsamość użytkownika przy użyciu innego kontrolera domeny. Poświadczenia zostaną udostępnione po zakończeniu replikacji między dwiema domenami lub kontrolerami domeny.

  8. Gdy certyfikat użytkownika wygaśnie, jest on automatycznie archiwizowany w profilu użytkownika na komputerze i w usługach AD DS.

Mobilny dostęp do poświadczeń jest uruchamiany przy każdej zmianie klucza prywatnego lub certyfikatu w lokalnym magazynie certyfikatów użytkownika, po zablokowaniu lub odblokowaniu komputera przez użytkownika oraz podczas odświeżania zasad grupy.

Cała komunikacja związana z certyfikatami między składnikami na komputerze lokalnym oraz między komputerem lokalnym i usługami AD DS jest podpisywana i szyfrowana.

Spis treści