As credenciais móveis permitem que as organizações armazenem certificados e chaves particulares no Active Directory, independentemente do estado do aplicativo ou das informações de configuração.

Como as credenciais móveis funcionam

As credenciais móveis usam mecanismos de logon e registro automático existentes e devem ser configuradas em um servidor que execute esta versão do Windows. Esses mecanismos possibilitam o download seguro de certificados e chaves para um computador local sempre que um usuário faz logon e, se desejado, a remoção dos mesmos quando o usuário faz logoff. Além disso, a integridade dessas credenciais é mantida sob qualquer condição, como quando certificados são atualizados e quando os usuários fazem logon em mais de um computador ao mesmo tempo.

As etapas a seguir descrevem o funcionamento das credenciais móveis digitais.

  1. Um usuário faz logon em um computador cliente conectado a um domínio do Active Directory.

  2. Como parte do processo de logon, a Diretiva de Grupo de credenciais móveis é aplicada ao computador do usuário.

  3. Se esta for a primeira vez em que a credencial móvel é utilizada, os certificados no armazenamento do usuário no computador cliente serão copiados para o Active Directory.

  4. Se o usuário já tiver certificados no Active Directory, os certificados no armazenamento do usuário no computador cliente serão comparados àqueles armazenados para o usuário no Active Directory.

  5. Caso os certificados no armazenamento do usuário estejam atualizados, nenhuma outra ação será executada. Entretanto, se houver certificados mais recentes para o usuário armazenados no Active Directory, essas credenciais serão copiadas para o computador cliente. Se houver certificados mais recentes para o usuário armazenados no computador cliente, essas credenciais serão copiadas para o Active Directory.

  6. Se mais certificados forem necessários no cliente, as solicitações de inscrição automática de certificados pendentes serão processadas.

    Observação

    Os certificados recém-emitidos são colocados no armazenamento de certificados do cliente e replicados para o Active Directory.

  7. Posteriormente, quando o usuário fizer logon em outro computador cliente conectado ao domínio, a mesma Diretiva de Grupo será aplicada e as credenciais serão replicadas novamente do Active Directory. As credenciais móveis sincronizam e resolvem os conflitos entre os certificados e as chaves particulares de qualquer número de computadores clientes no qual o usuário faça logon, bem como do Active Directory.

    Importante

    Em um ambiente com vários domínios e domínios com vários controladores, pode ser que as credenciais não fiquem disponíveis imediatamente quando um usuário fizer logon na rede, utilizando um controlador de domínio logo após a emissão de um certificado em um computador, que valida a identidade do usuário em relação a um controlador de domínio diferente. As credenciais somente ficarão disponíveis após a conclusão da replicação entre os dois domínios ou os controladores de domínio.

  8. Nos logons seguintes, o certificado nos armazenamentos locais de certificados e chaves serão comparados aos certificados e chaves no Active Directory:

    • Se os certificados e chaves estiverem atualizados, nenhuma outra ação será executada.

    • Se certificados e chaves não estiverem sincronizados, eles serão sincronizados.

    • Se mais certificados ou chaves forem necessários, ou se certificados e chaves tiverem que ser renovados, o registro automático será usado para contatar a autoridade de certificação, a emissão e renovação ocorrerá e os certificados e chaves atualizados serão replicados para o Active Directory.

  9. Quando o usuário fizer logon em outro computador, os certificados e chaves atualizados serão replicados para os armazenamentos de certificados e chaves nesse computador também.

  10. Quando o certificado do usuário expirar, o certificado antigo será arquivado automaticamente no perfil do cliente e no Active Directory.

As credenciais móveis são acionadas sempre que uma chave particular ou certificado no armazenamento local do certificado é alterada, sempre que o usuário bloqueia ou desbloqueia o computador e quando a Diretiva de Grupo é atualizada.

Todas as comunicações relacionadas a certificados entre os componentes no computador local e entre o computador local e o Active Directory são assinadas e criptografadas.

Sumário