Bereitstellungshandbuch für hybride Zertifikatvertrauensstellungen
In diesem Artikel werden Windows Hello for Business Funktionen oder Szenarien beschrieben, die für Folgendes gelten:
- Bereitstellungstyp:Hybrid
- Vertrauenstyp:.
- Jointyp: Microsoft Entra beitreten, Microsoft Entra Hybrideinbindung
Wichtig
Windows Hello for Business Cloud-Kerberos-Vertrauensstellung ist das empfohlene Bereitstellungsmodell im Vergleich zum Schlüsselvertrauensmodell. Es ist auch das empfohlene Bereitstellungsmodell, wenn Sie keine Zertifikate für die Endbenutzer bereitstellen müssen. Weitere Informationen finden Sie unter Cloudbereitstellung mit Kerberos-Vertrauensstellung.
Anforderungen
Bevor Sie mit der Bereitstellung beginnen, lesen Sie die Im Artikel Planen einer Windows Hello for Business Bereitstellung beschriebenen Anforderungen.
Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:
Bereitstellungsschritte
Sobald die Voraussetzungen erfüllt sind, besteht die Bereitstellung von Windows Hello for Business aus den folgenden Schritten:
Verbundauthentifizierung bei Microsoft Entra ID
Windows Hello for Business hybride Zertifikatvertrauensstellung erfordert, dass Active Directory mit Microsoft Entra ID über AD FS verbunden ist. Außerdem müssen Sie die AD FS-Farm so konfigurieren, dass sie bei Azure registrierte Geräte unterstützt.
Wenn Sie noch nicht mit AD FS und Verbunddiensten sind:
- Überprüfen Der wichtigsten AD FS-Konzepte vor der Bereitstellung der AD FS-Farm
- Lesen Sie den AD FS-Entwurfsleitfaden zum Entwerfen und Planen Ihres Verbunddiensts.
Sobald Sie Ihr AD FS-Design vorbereitet haben, überprüfen Sie die Bereitstellung einer Verbundserverfarm , um AD FS in Ihrer Umgebung zu konfigurieren.
Die für Windows Hello for Business verwendete AD FS-Farm muss Windows Server 2016 sein und mindestens Update KB4088889 (14393.2155) umfassen.
Geräteregistrierung und Geräterückschreiben
Windows-Geräte müssen in Microsoft Entra ID registriert werden. Geräte können in Microsoft Entra ID entweder mit Microsoft Entra join oder Microsoft Entra Hybrid Join registriert werden.
Informationen zu Microsoft Entra hybrid eingebundenen Geräten finden Sie in den Anleitungen auf der Seite planen der Implementierung Ihrer Microsoft Entra Hybrid Join.
Weitere Informationen zur Verwendung von Microsoft Entra Connect Sync zum Konfigurieren Microsoft Entra Geräteregistrierung finden Sie im Leitfaden Konfigurieren Microsoft Entra Hybrideinbindung für Verbunddomänen.
Eine manuelle Konfiguration Ihrer AD FS-Farm zur Unterstützung der Geräteregistrierung finden Sie im Leitfaden Konfigurieren von AD FS für Microsoft Entra Geräteregistrierung.
Hybridbereitstellungen mit Zertifikatvertrauensstellung erfordern das Feature zum Zurückschreiben von Geräten . Die Authentifizierung bei AD FS erfordert sowohl den Benutzer als auch das Gerät, um sich zu authentifizieren. In der Regel werden die Benutzer, aber keine Geräte synchronisiert. Dadurch wird verhindert, dass AD FS das Gerät authentifiziert und zu fehlern bei Windows Hello for Business Zertifikatregistrierung führt. Aus diesem Grund ist für Windows Hello for Business Bereitstellungen ein Geräterückschreiben erforderlich.
Hinweis
Windows Hello for Business ist zwischen einem Benutzer und einem Gerät gebunden. Sowohl der Benutzer als auch das Gerät müssen zwischen Microsoft Entra ID und Active Directory synchronisiert werden. Das Zurückschreiben des Geräts wird verwendet, um das msDS-KeyCredentialLink
Attribut für das Computerobjekt zu aktualisieren.
Wenn Sie AD FS manuell konfiguriert haben oder Microsoft Entra Connect Sync mit benutzerdefinierten Einstellungen ausgeführt haben, müssen Sie sicherstellen, dass das Zurückschreiben des Geräts und die Geräteauthentifizierung in Ihrer AD FS-Farm konfiguriert sind. Weitere Informationen finden Sie unter Konfigurieren des Geräterückschreibens und der Geräteauthentifizierung.
Public Key-Infrastruktur
Eine Unternehmens-PKI (Public Key-Infrastruktur) ist als Vertrauensanker für die Authentifizierung erforderlich. Domänencontroller benötigen ein Zertifikat, damit Windows-Clients ihnen vertrauen können.
Die Unternehmens-PKI und eine Zertifikatregistrierungsstelle (Certificate Registration Authority, CRA) müssen Authentifizierungszertifikate für Benutzer ausstellen. Die Hybridbereitstellung mit Zertifikatvertrauensstellung verwendet AD FS als CRA.
Während Windows Hello for Business Bereitstellung erhalten Benutzer über die CRA ein Anmeldezertifikat.
Nächste Schritte
Sobald die Voraussetzungen erfüllt sind, umfasst die Bereitstellung von Windows Hello for Business mit einem hybriden Schlüsselvertrauensmodell die folgenden Schritte:
- Konfigurieren und Überprüfen der PKI
- Konfigurieren von AD FS
- Konfigurieren der Einstellungen für Windows Hello for Business
- Bereitstellen von Windows Hello for Business auf Windows-Clients
- Konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) für Microsoft Entra verbundene Geräte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für