Windows Hello for Business-BereitstellungWindows Hello for Business Provisioning

Gilt für:Applies to: - Windows 10Windows 10

Mit Windows Hello for Business-Bereitstellung kann ein Benutzer eine neue, starke, zweistufige Anmeldeinformationen registrieren, die für die kennwortgeschützte Authentifizierung verwendet werden können.Windows Hello for Business provisioning enables a user to enroll a new, strong, two-factor credential that they can use for passwordless authentication. Die Bereitstellungserfahrung variiert je nach:Provisioning experience vary based on:

  • Wie das Gerät mit Azure Active Directory verbunden istHow the device is joined to Azure Active Directory
  • Der Bereitstellungs für Windows Hello for BusinessThe Windows Hello for Business deployment type
  • Wenn die Umgebung verwaltet oder verbunden istIf the environment is managed or federated

Mit Azure AD verbundene Bereitstellung in einer verwalteten UmgebungAzure AD joined provisioning in a Managed environment
Mit Azure AD verbundene Bereitstellung in einer VerbundumgebungAzure AD joined provisioning in a Federated environment
Die Bereitstellung von Hybrid Azure AD in einer zentralen Vertrauensstellung in einer verwalteten UmgebungHybrid Azure AD joined provisioning in a Key Trust deployment in a Managed environment
Die Bereitstellung von Hybrid Azure AD in einer synchronen Zertifikat Vertrauens Bereitstellung in einer VerbundumgebungHybrid Azure AD joined provisioning in a synchronous Certificate Trust deployment in a Federated environment
Bereitstellung einer Domäne in einer lokalen Schlüssel Vertrauensstellungs BereitstellungDomain joined provisioning in an On-premises Key Trust deployment
Bereitstellung einer Domäne in einer lokalen Zertifikat VertrauensstellungDomain joined provisioning in an On-premises Certificate Trust deployment

Hinweis

Die Flüsse in diesem Abschnitt sind für jedes mögliche Szenario nicht erschöpfend.The flows in this section are not exhaustive for every possible scenario. Die Verbundschlüssel Vertrauensstellung ist beispielsweise auch eine unterstützte Konfiguration.For example, Federated Key Trust is also a supported configuration.

Mit Azure AD verbundene Bereitstellung in einer verwalteten UmgebungAzure AD joined provisioning in a Managed environment

Mit Azure AD verbundene Bereitstellung in einer verwalteten Umgebung

PhasePhase BeschreibungDescription
AA Die Bereitstellung-Anwendung, die im Cloud Experience Host (CXH) gehostet wird, startet die Bereitstellung durch Anfordern eines Zugriffstokens für den Azure Device Registration Service (ADR).The provisioning application hosted in the Cloud Experience Host (CXH) starts provisioning by requesting an access token for the Azure Device Registration Service (ADRS). Die Anwendung führt die Anforderung mit dem Azure Active Directory Web Account Manager-Plug-in aus.The application makes the request using the Azure Active Directory Web Account Manager plug-in.
Benutzer müssen zwei Authentifizierungs Faktoren angeben.Users must provide two factors of authentication. In dieser Phase hat der Benutzer bereits einen Authentifizierungs Faktor bereitgestellt, in der Regel Benutzername und Kennwort.In this phase, the user has already provided one factor of authentication, typically user name and password. Azure MFA Services bietet den zweiten Authentifizierungs Faktor.Azure MFA services provides the second factor of authentication. Wenn der Benutzer in den letzten 10 Minuten Azure MFA durchgeführt hat, beispielsweise beim Registrieren des Geräts aus der Out-of-Box-Experience (OOBE), werden Sie nicht zur MFA aufgefordert, da das aktuelle MFA-Element gültig bleibt.If the user has performed Azure MFA within the last 10 minutes, such as when registering the device from the out-of-box-experience (OOBE), then they are not prompted for MFA because the current MFA remains valid.
Azure Active Directory überprüft die Zugriffstoken-Anforderung und den damit verknüpften MFA-Anspruch, erstellt ein ADR-Zugriffstoken und gibt es an die Anwendung zurück.Azure Active Directory validates the access token request and the MFA claim associated with it, creates an ADRS access token, and returns it to the application.
BB Nach dem Empfang eines AdR-Zugriffstokens erkennt die Anwendung, ob das Gerät über einen Windows Hello-kompatiblen Sensor verfügt.After receiving a ADRS access token, the application detects if the device has a Windows Hello biometric compatible sensor. Wenn die Anwendung einen biometrischen Sensor erkennt, gibt Sie dem Benutzer die Wahl, Biometrie zu registrieren.If the application detects a biometric sensor, it gives the user the choice to enroll biometrics. Nach Abschluss oder Überspringen der biometrischen Registrierung erfordert die Anwendung, dass der Benutzer eine PIN und die standardmäßige (und zurück gehende) Bewegung erstellt, wenn Sie mit Biometrie verwendet wird.After completing or skipping biometric enrollment, the application requires the user to create a PIN and the default (and fall-back gesture when used with biometrics). Der Benutzer stellt seine PIN zur Verfügung und bestätigt ihn.The user provides and confirms their PIN. Als nächstes fordert die Anwendung ein Windows Hello for Business-Schlüsselpaar aus dem Schlüssel-Pre-Generation-Pool an, in dem die Bestätigungsdaten enthalten sind.Next, the application requests a Windows Hello for Business key pair from the key pre-generation pool, which includes attestation data. Dies ist der Benutzerschlüssel (ukpub/ukpriv).This is the user key (ukpub/ukpriv).
CC Die Anwendung sendet die ADR-Token-, ukpub-, Bescheinigungs-und Geräteinformationen an ADR-Daten für die Benutzerschlüssel Registrierung.The application sends the ADRS token, ukpub, attestation data, and device information to ADRS for user key registration. Azure DRS überprüft, ob der MFA-Anspruch aktuell bleibt.Azure DRS validates the MFA claim remains current. Bei erfolgreicher Überprüfung sucht Azure DRS das Objekt des Benutzers in Azure Active Directory, schreibt die Schlüsselinformationen in ein Attribut mit mehreren Werten.On successful validation, Azure DRS locates the user's object in Azure Active Directory, writes the key information to a multi-values attribute. Die Schlüsselinformationen enthalten einen Verweis auf das Gerät, von dem es erstellt wurde.The key information includes a reference to the device from which it was created. Azure Active Directory gibt eine Schlüssel-ID für die Anwendung zurück, die das Ende der Benutzerbereitstellung signalisiert und die Anwendung beendet wird.Azure Active Directory returns a key ID to the application which signals the end of user provisioning and the application exits.

Zurück zum AnfangReturn to top

Mit Azure AD verbundene Bereitstellung in einer VerbundumgebungAzure AD joined provisioning in a Federated environment

Mit Azure AD verbundene Bereitstellung in einer verwalteten Umgebung

PhasePhase BeschreibungDescription
AA Die Bereitstellung-Anwendung, die im Cloud Experience Host (CXH) gehostet wird, startet die Bereitstellung durch Anfordern eines Zugriffstokens für den Azure Device Registration Service (ADR).The provisioning application hosted in the Cloud Experience Host (CXH) starts provisioning by requesting an access token for the Azure Device Registration Service (ADRS). Die Anwendung führt die Anforderung mit dem Azure Active Directory Web Account Manager-Plug-in aus.The application makes the request using the Azure Active Directory Web Account Manager plug-in.
In einer Verbundumgebung sendet das Plug-in die Token-Anforderung an den lokalen STS, beispielsweise die Active Directory-Verbunddienste.In a federated environment, the plug-in sends the token request to the on-premises STS, such as Active Directory Federation Services. Der lokale STS authentifiziert den Benutzer und bestimmt, ob der Benutzer einen anderen Authentifizierungs Faktor ausführen soll.The on-premises STS authenticates the user and determines if the user should perform another factor of authentication.
Benutzer müssen zwei Authentifizierungs Faktoren angeben.Users must provide two factors of authentication. In dieser Phase hat der Benutzer bereits einen Authentifizierungs Faktor bereitgestellt, in der Regel Benutzername und Kennwort.In this phase, the user has already provided one factor of authentication, typically user name and password. Azure MFA Services bietet den zweiten Authentifizierungs Faktor.Azure MFA services provides the second factor of authentication. Wenn der Benutzer in den letzten 10 Minuten Azure MFA durchgeführt hat, beispielsweise beim Registrieren des Geräts aus der Out-of-Box-Experience (OOBE), werden Sie nicht zur MFA aufgefordert, da das aktuelle MFA-Element gültig bleibt.If the user has performed Azure MFA within the last 10 minutes, such as when registering the device from the out-of-box-experience (OOBE), then they are not prompted for MFA because the current MFA remains valid.
Der lokale STS-Server gibt ein Enterprise-Token für erfolgreiches MFA aus.The on-premises STS server issues a enterprise token on successful MFA. Die Anwendung sendet das Token an Azure Active Directory.The application sends the token to Azure Active Directory.
Azure Active Directory überprüft die Zugriffstoken-Anforderung und den damit verknüpften MFA-Anspruch, erstellt ein ADR-Zugriffstoken und gibt es an die Anwendung zurück.Azure Active Directory validates the access token request and the MFA claim associated with it, creates an ADRS access token, and returns it to the application.
BB Nach dem Empfang eines AdR-Zugriffstokens erkennt die Anwendung, ob das Gerät über einen Windows Hello-kompatiblen Sensor verfügt.After receiving a ADRS access token, the application detects if the device has a Windows Hello biometric compatible sensor. Wenn die Anwendung einen biometrischen Sensor erkennt, gibt Sie dem Benutzer die Wahl, Biometrie zu registrieren.If the application detects a biometric sensor, it gives the user the choice to enroll biometrics. Nach Abschluss oder Überspringen der biometrischen Registrierung erfordert die Anwendung, dass der Benutzer eine PIN und die standardmäßige (und zurück gehende) Bewegung erstellt, wenn Sie mit Biometrie verwendet wird.After completing or skipping biometric enrollment, the application requires the user to create a PIN and the default (and fall-back gesture when used with biometrics). Der Benutzer stellt seine PIN zur Verfügung und bestätigt ihn.The user provides and confirms their PIN. Als nächstes fordert die Anwendung ein Windows Hello for Business-Schlüsselpaar aus dem Schlüssel-Pre-Generation-Pool an, in dem die Bestätigungsdaten enthalten sind.Next, the application requests a Windows Hello for Business key pair from the key pre-generation pool, which includes attestation data. Dies ist der Benutzerschlüssel (ukpub/ukpriv).This is the user key (ukpub/ukpriv).
CC Die Anwendung sendet die ADR-Token-, ukpub-, Bescheinigungs-und Geräteinformationen an ADR-Daten für die Benutzerschlüssel Registrierung.The application sends the ADRS token, ukpub, attestation data, and device information to ADRS for user key registration. Azure DRS überprüft, ob der MFA-Anspruch aktuell bleibt.Azure DRS validates MFA claim remains current. Bei erfolgreicher Überprüfung sucht Azure DRS das Objekt des Benutzers in Azure Active Directory, schreibt die Schlüsselinformationen in ein Attribut mit mehreren Werten.On successful validation, Azure DRS locates the user's object in Azure Active Directory, writes the key information to a multi-values attribute. Die Schlüsselinformationen enthalten einen Verweis auf das Gerät, von dem es erstellt wurde.The key information includes a reference to the device from which it was created. Azure Active Directory gibt die Schlüssel-ID an die Anwendung zurück, die das Ende der Benutzerbereitstellung signalisiert und die Anwendung beendet wird.Azure Active Directory returns key ID to the application which signals the end of user provisioning and the application exits.

Zurück zum AnfangReturn to top

Die Bereitstellung von Hybrid Azure AD in einer zentralen Vertrauensstellung in einer verwalteten UmgebungHybrid Azure AD joined provisioning in a Key Trust deployment in a Managed environment

Die Bereitstellung von Hybrid Azure AD in einer zentralen Vertrauensstellung in einer verwalteten Umgebung

PhasePhase BeschreibungDescription
AA Die Bereitstellung-Anwendung, die im Cloud Experience Host (CXH) gehostet wird, startet die Bereitstellung durch Anfordern eines Zugriffstokens für den Azure Device Registration Service (ADR).The provisioning application hosted in the Cloud Experience Host (CXH) starts provisioning by requesting an access token for the Azure Device Registration Service (ADRS). Die Anwendung führt die Anforderung mit dem Azure Active Directory Web Account Manager-Plug-in aus.The application makes the request using the Azure Active Directory Web Account Manager plug-in.
Benutzer müssen zwei Authentifizierungs Faktoren angeben.Users must provide two factors of authentication. In dieser Phase hat der Benutzer bereits einen Authentifizierungs Faktor bereitgestellt, in der Regel Benutzername und Kennwort.In this phase, the user has already provided one factor of authentication, typically user name and password. Azure MFA Services bietet den zweiten Authentifizierungs Faktor.Azure MFA services provides the second factor of authentication. Wenn der Benutzer in den letzten 10 Minuten Azure MFA durchgeführt hat, beispielsweise beim Registrieren des Geräts aus der Out-of-Box-Experience (OOBE), werden Sie nicht zur MFA aufgefordert, da das aktuelle MFA-Element gültig bleibt.If the user has performed Azure MFA within the last 10 minutes, such as when registering the device from the out-of-box-experience (OOBE), then they are not prompted for MFA because the current MFA remains valid.
Azure Active Directory überprüft die Zugriffstoken-Anforderung und den damit verknüpften MFA-Anspruch, erstellt ein ADR-Zugriffstoken und gibt es an die Anwendung zurück.Azure Active Directory validates the access token request and the MFA claim associated with it, creates an ADRS access token, and returns it to the application.
BB Nach dem Empfang eines AdR-Zugriffstokens erkennt die Anwendung, ob das Gerät über einen Windows Hello-kompatiblen Sensor verfügt.After receiving a ADRS access token, the application detects if the device has a Windows Hello biometric compatible sensor. Wenn die Anwendung einen biometrischen Sensor erkennt, gibt Sie dem Benutzer die Wahl, Biometrie zu registrieren.If the application detects a biometric sensor, it gives the user the choice to enroll biometrics. Nach Abschluss oder Überspringen der biometrischen Registrierung erfordert die Anwendung, dass der Benutzer eine PIN und die standardmäßige (und zurück gehende) Bewegung erstellt, wenn Sie mit Biometrie verwendet wird.After completing or skipping biometric enrollment, the application requires the user to create a PIN and the default (and fall-back gesture when used with biometrics). Der Benutzer stellt seine PIN zur Verfügung und bestätigt ihn.The user provides and confirms their PIN. Als nächstes fordert die Anwendung ein Windows Hello for Business-Schlüsselpaar aus dem Schlüssel-Pre-Generation-Pool an, in dem die Bestätigungsdaten enthalten sind.Next, the application requests a Windows Hello for Business key pair from the key pre-generation pool, which includes attestation data. Dies ist der Benutzerschlüssel (ukpub/ukpriv).This is the user key (ukpub/ukpriv).
CC Die Anwendung sendet die ADR-Token-, ukpub-, Bescheinigungs-und Geräteinformationen an ADR-Daten für die Benutzerschlüssel Registrierung.The application sends the ADRS token, ukpub, attestation data, and device information to ADRS for user key registration. Azure DRS überprüft, ob der MFA-Anspruch aktuell bleibt.Azure DRS validates the MFA claim remains current. Bei erfolgreicher Überprüfung sucht Azure DRS das Objekt des Benutzers in Azure Active Directory, schreibt die Schlüsselinformationen in ein Attribut mit mehreren Werten.On successful validation, Azure DRS locates the user's object in Azure Active Directory, writes the key information to a multi-values attribute. Die Schlüsselinformationen enthalten einen Verweis auf das Gerät, von dem es erstellt wurde.The key information includes a reference to the device from which it was created. Azure Active Directory gibt eine Schlüssel-ID für die Anwendung zurück, die das Ende der Benutzerbereitstellung signalisiert und die Anwendung beendet wird.Azure Active Directory returns a key ID to the application which signals the end of user provisioning and the application exits.
DD Azure AD Connect fordert Updates für den nächsten Synchronisierungszyklus an.Azure AD Connect requests updates on its next synchronization cycle. Azure Active Directory sendet den öffentlichen Schlüssel des Benutzers, der über die Bereitstellung sicher registriert wurde.Azure Active Directory sends the user's public key that was securely registered through provisioning. Aad Connect empfängt den öffentlichen Schlüssel und schreibt ihn in Active Directory in das msDS-KeyCredentialLink-Attribut des Benutzers.AAD Connect receives the public key and writes it to user's msDS-KeyCredentialLink attribute in Active Directory.

Wichtig

Der neu bereitgestellte Benutzer kann sich nicht mit Windows Hello for Business anmelden, bis Azure AD Connect den öffentlichen Schlüssel erfolgreich mit dem lokalen Active Directory synchronisiert.The newly provisioned user will not be able to sign in using Windows Hello for Business until Azure AD Connect successfully synchronizes the public key to the on-premises Active Directory.

Zurück zum AnfangReturn to top

Die Bereitstellung von Hybrid Azure AD in einer synchronen Zertifikat Vertrauens Bereitstellung in einer VerbundumgebungHybrid Azure AD joined provisioning in a synchronous Certificate Trust deployment in a Federated environment

Die Bereitstellung von Hybrid Azure AD in einer synchronen Zertifikat Vertrauens Bereitstellung in einer Verbundumgebung

PhasePhase BeschreibungDescription
AA Die Bereitstellung-Anwendung, die im Cloud Experience Host (CXH) gehostet wird, startet die Bereitstellung durch Anfordern eines Zugriffstokens für den Azure Device Registration Service (ADR).The provisioning application hosted in the Cloud Experience Host (CXH) starts provisioning by requesting an access token for the Azure Device Registration Service (ADRS). Die Anwendung führt die Anforderung mit dem Azure Active Directory Web Account Manager-Plug-in aus.The application makes the request using the Azure Active Directory Web Account Manager plug-in.
In einer Verbundumgebung sendet das Plug-in die Token-Anforderung an den lokalen STS, beispielsweise die Active Directory-Verbunddienste.In a federated environment, the plug-in sends the token request to the on-premises STS, such as Active Directory Federation Services. Der lokale STS authentifiziert den Benutzer und bestimmt, ob der Benutzer einen anderen Authentifizierungs Faktor ausführen soll.The on-premises STS authenticates the user and determines if the user should perform another factor of authentication.
Benutzer müssen zwei Authentifizierungs Faktoren angeben.Users must provide two factors of authentication. In dieser Phase hat der Benutzer bereits einen Authentifizierungs Faktor bereitgestellt, in der Regel Benutzername und Kennwort.In this phase, the user has already provided one factor of authentication, typically user name and password. Azure MFA Services (oder ein Drittanbieter-MFA-Dienst) stellt den zweiten Authentifizierungs Faktor bereit.Azure MFA services (or a third party MFA service) provides the second factor of authentication.
Der lokale STS-Server gibt ein Enterprise-Token für erfolgreiches MFA aus.The on-premises STS server issues a enterprise token on successful MFA. Die Anwendung sendet das Token an Azure Active Directory.The application sends the token to Azure Active Directory.
Azure Active Directory überprüft die Zugriffstoken-Anforderung und den damit verknüpften MFA-Anspruch, erstellt ein ADR-Zugriffstoken und gibt es an die Anwendung zurück.Azure Active Directory validates the access token request and the MFA claim associated with it, creates an ADRS access token, and returns it to the application.
BB Nach dem Empfang eines AdR-Zugriffstokens erkennt die Anwendung, ob das Gerät über einen Windows Hello-kompatiblen Sensor verfügt.After receiving a ADRS access token, the application detects if the device has a Windows Hello biometric compatible sensor. Wenn die Anwendung einen biometrischen Sensor erkennt, gibt Sie dem Benutzer die Wahl, Biometrie zu registrieren.If the application detects a biometric sensor, it gives the user the choice to enroll biometrics. Nach Abschluss oder Überspringen der biometrischen Registrierung erfordert die Anwendung, dass der Benutzer eine PIN und die standardmäßige (und zurück gehende) Bewegung erstellt, wenn Sie mit Biometrie verwendet wird.After completing or skipping biometric enrollment, the application requires the user to create a PIN and the default (and fall-back gesture when used with biometrics). Der Benutzer stellt seine PIN zur Verfügung und bestätigt ihn.The user provides and confirms their PIN. Als nächstes fordert die Anwendung ein Windows Hello for Business-Schlüsselpaar aus dem Schlüssel-Pre-Generation-Pool an, in dem die Bestätigungsdaten enthalten sind.Next, the application requests a Windows Hello for Business key pair from the key pre-generation pool, which includes attestation data. Dies ist der Benutzerschlüssel (ukpub/ukpriv).This is the user key (ukpub/ukpriv).
CC Die Anwendung sendet die ADR-Token-, ukpub-, Bescheinigungs-und Geräteinformationen an ADR-Daten für die Benutzerschlüssel Registrierung.The application sends the ADRS token, ukpub, attestation data, and device information to ADRS for user key registration. Azure DRS überprüft, ob der MFA-Anspruch aktuell bleibt.Azure DRS validates the MFA claim remains current. Bei erfolgreicher Überprüfung sucht Azure DRS das Objekt des Benutzers in Azure Active Directory, schreibt die Schlüsselinformationen in ein Attribut mit mehreren Werten.On successful validation, Azure DRS locates the user's object in Azure Active Directory, writes the key information to a multi-values attribute. Die Schlüsselinformationen enthalten einen Verweis auf das Gerät, von dem es erstellt wurde.The key information includes a reference to the device from which it was created. Azure Active Directory gibt eine Schlüssel-ID und eine Schlüssel Bestätigung für die Anwendung zurück, die das Ende der Benutzerschlüssel Registrierung darstellt.Azure Active Directory returns a key ID and a key receipt to the application, which represents the end of user key registration.
DD Der Zertifikat Anforderungsteil der Bereitstellung beginnt, nachdem die Anwendung eine erfolgreiche Antwort von der Schlüsselregistrierung erhalten hat.The certificate request portion of provisioning begins after the application receives a successful response from key registration. Die Anwendung erstellt eine PKCS # 10-Zertifikatanforderung.The application creates a PKCS#10 certificate request. Der in der Zertifikatanforderung verwendete Schlüssel ist derselbe Schlüssel, der sicher bereitgestellt wurde.The key used in the certificate request is the same key that was securely provisioned.
Die Anwendung sendet die Schlüssel Bestätigung und die Zertifikatanforderung, die den öffentlichen Schlüssel enthält, an die Zertifikat Registrierungsstelle, die in der Active Directory-Verbunddienste-Farm (AD FS) gehostet ist.The application sends the key receipt and certificate request, which includes the public key, to the certificate registration authority hosted on the Active Directory Federation Services (AD FS) farm.
Nach dem Empfang der Zertifikatanforderung fragt die Zertifikat Registrierungsstelle Active Directory nach dem MSDS-KeyCredentialsLink für eine Liste mit registrierten öffentlichen Schlüsseln ab.After receiving the certificate request, the certificate registration authority queries Active Directory for the msDS-KeyCredentialsLink for a list of registered public keys.
EE Die Registrierungsstelle überprüft, ob der öffentliche Schlüssel in der Zertifikatanforderung einem registrierten Schlüssel für den Benutzer entspricht.The registration authority validates the public key in the certificate request matches a registered key for the user.
Wenn der öffentliche Schlüssel im Zertifikat nicht in der Liste der registrierten öffentlichen Schlüssel gefunden wird, überprüft er den Schlüssel Beleg, um zu bestätigen, dass der Schlüssel für Azure sicher registriert wurde.If the public key in the certificate is not found in the list of registered public keys, it then validates the key receipt to confirm the key was securely registered with Azure.
Nach der Überprüfung des Schlüssel Belegs oder des öffentlichen Schlüssels signiert die Registrierungsstelle die Zertifikatanforderung unter Verwendung Ihres Registrierungs-Agent-Zertifikats.After validating the key receipt or public key, the registration authority signs the certificate request using its enrollment agent certificate.
FF Die Registrierungsstelle sendet die Zertifikatanforderung an die Zertifizierungsstelle des Unternehmens.The registration authority sends the certificate request to the enterprise issuing certificate authority. Die Zertifizierungsstelle überprüft, ob die Zertifikatanforderung von einem gültigen Registrierungs-Agent signiert ist, und gibt beim Erfolg ein Zertifikat aus und gibt es an die Registrierungsstelle zurück, die das Zertifikat anschließend an die Anwendung zurückgibt.The certificate authority validates the certificate request is signed by a valid enrollment agent and, on success, issues a certificate and returns it to the registration authority that then returns the certificate to the application.
GG Die Anwendung erhält das neu ausgegebene Zertifikat und installiert es in den privaten Speicher des Benutzers.The application receives the newly issued certificate and installs the it into the Personal store of the user. Damit wird das Ende der Bereitstellung signalisiert.This signals the end of provisioning.

Wichtig

Die synchrone Zertifikatregistrierung hängt nicht von Azure AD Connect ab, um den öffentlichen Schlüssel des Benutzers zu synchronisieren, um das Windows Hello for Business-Authentifizierungszertifikat auszustellen.Synchronous certificate enrollment does not depend on Azure AD Connect to synchronize the user's public key to issue the Windows Hello for Business authentication certificate. Benutzer können sich mit dem Zertifikat unmittelbar nach Abschluss der Bereitstellung anmelden.Users can sign-in using the certificate immediately after provisioning completes. Azure AD Connect synchronisiert weiterhin den öffentlichen Schlüssel mit Active Directory, wird aber in diesem Fluss nicht angezeigt.Azure AD Connect continues to synchronize the public key to Active Directory, but is not shown in this flow.

Zurück zum AnfangReturn to top

Bereitstellung einer Domäne in einer lokalen Schlüssel Vertrauensstellungs BereitstellungDomain joined provisioning in an On-premises Key Trust deployment

Bereitstellung einer Domäne in einer lokalen Schlüssel Vertrauensstellungs Bereitstellung

PhasePhase BeschreibungDescription
AA Die Bereitstellung-Anwendung, die im Cloud Experience Host (CXH) gehostet wird, startet die Bereitstellung durch Anfordern eines Zugriffstokens für den Enterprise Device Registration Service (EDRS).The provisioning application hosted in the Cloud Experience Host (CXH) starts provisioning by requesting an access token for the Enterprise Device Registration Service (EDRS). Die Anwendung führt die Anforderung mit dem Azure Active Directory Web Account Manager-Plug-in aus.The application makes the request using the Azure Active Directory Web Account Manager plug-in.
In einer lokalen Bereitstellung sendet das Plug-in die Token-Anforderung an den lokalen STS, beispielsweise die Active Directory-Verbunddienste.In an on-premises deployment, the plug-in sends the token request to the on-premises STS, such as Active Directory Federation Services. Der lokale STS authentifiziert den Benutzer und bestimmt, ob der Benutzer einen anderen Authentifizierungs Faktor ausführen soll.The on-premises STS authenticates the user and determines if the user should perform another factor of authentication.
Benutzer müssen zwei Authentifizierungs Faktoren angeben.Users must provide two factors of authentication. In dieser Phase hat der Benutzer bereits einen Authentifizierungs Faktor bereitgestellt, in der Regel Benutzername und Kennwort.In this phase, the user has already provided one factor of authentication, typically user name and password. Der Azure MFA-Server (oder ein Drittanbieter-MFA-Dienst) bietet den zweiten Authentifizierungs Faktor.Azure MFA server (or a third party MFA service) provides the second factor of authentication.
Der lokale STS-Server gibt ein Enterprise DRS-Token für erfolgreiches MFA aus.The on-premises STS server issues a enterprise DRS token on successful MFA.
BB Nach dem Empfang eines EDRS-Zugriffstokens erkennt die Anwendung, ob das Gerät über einen Windows Hello-kompatiblen Sensor verfügt.After receiving a EDRS access token, the application detects if the device has a Windows Hello biometric compatible sensor. Wenn die Anwendung einen biometrischen Sensor erkennt, gibt Sie dem Benutzer die Wahl, Biometrie zu registrieren.If the application detects a biometric sensor, it gives the user the choice to enroll biometrics. Nach Abschluss oder Überspringen der biometrischen Registrierung erfordert die Anwendung, dass der Benutzer eine PIN und die standardmäßige (und zurück gehende) Bewegung erstellt, wenn Sie mit Biometrie verwendet wird.After completing or skipping biometric enrollment, the application requires the user to create a PIN and the default (and fall-back gesture when used with biometrics). Der Benutzer stellt seine PIN zur Verfügung und bestätigt ihn.The user provides and confirms their PIN. Als nächstes fordert die Anwendung ein Windows Hello for Business-Schlüsselpaar aus dem Schlüssel-Pre-Generation-Pool an, in dem die Bestätigungsdaten enthalten sind.Next, the application requests a Windows Hello for Business key pair from the key pre-generation pool, which includes attestation data. Dies ist der Benutzerschlüssel (ukpub/ukpriv).This is the user key (ukpub/ukpriv).
CC Die Anwendung sendet die EDRS-Token-, ukpub-, Bescheinigungs-und Geräteinformationen an die Enterprise DRS für die Benutzerschlüssel Registrierung.The application sends the EDRS token, ukpub, attestation data, and device information to the Enterprise DRS for user key registration. Enterprise DRS überprüft, ob der MFA-Anspruch aktuell bleibt.Enterprise DRS validates the MFA claim remains current. Bei erfolgreicher Überprüfung sucht das Unternehmen DRS das Objekt des Benutzers in Active Directory, schreibt die Schlüsselinformationen in ein Attribut mit mehreren Werten.On successful validation, the Enterprise DRS locates the user's object in Active Directory, writes the key information to a multi-values attribute. Die Schlüsselinformationen enthalten einen Verweis auf das Gerät, von dem es erstellt wurde.The key information includes a reference to the device from which it was created. Der Enterprise DRS gibt eine Schlüssel-ID für die Anwendung zurück, die das Ende der Benutzerschlüssel Registrierung darstellt.The Enterprise DRS returns a key ID to the application, which represents the end of user key registration.

Zurück zum AnfangReturn to top

Bereitstellung einer Domäne in einer lokalen Zertifikat VertrauensstellungDomain joined provisioning in an On-premises Certificate Trust deployment

Bereitstellung einer Domäne in einer lokalen Zertifikat Vertrauensstellung

PhasePhase BeschreibungDescription
AA Die Bereitstellung-Anwendung, die im Cloud Experience Host (CXH) gehostet wird, startet die Bereitstellung durch Anfordern eines Zugriffstokens für den Enterprise Device Registration Service (EDRS).The provisioning application hosted in the Cloud Experience Host (CXH) starts provisioning by requesting an access token for the Enterprise Device Registration Service (EDRS). Die Anwendung führt die Anforderung mit dem Azure Active Directory Web Account Manager-Plug-in aus.The application makes the request using the Azure Active Directory Web Account Manager plug-in.
In einer lokalen Bereitstellung sendet das Plug-in die Token-Anforderung an den lokalen STS, beispielsweise die Active Directory-Verbunddienste.In an on-premises deployment, the plug-in sends the token request to the on-premises STS, such as Active Directory Federation Services. Der lokale STS authentifiziert den Benutzer und bestimmt, ob der Benutzer einen anderen Authentifizierungs Faktor ausführen soll.The on-premises STS authenticates the user and determines if the user should perform another factor of authentication.
Benutzer müssen zwei Authentifizierungs Faktoren angeben.Users must provide two factors of authentication. In dieser Phase hat der Benutzer bereits einen Authentifizierungs Faktor bereitgestellt, in der Regel Benutzername und Kennwort.In this phase, the user has already provided one factor of authentication, typically user name and password. Der Azure MFA-Server (oder ein Drittanbieter-MFA-Dienst) bietet den zweiten Authentifizierungs Faktor.Azure MFA server (or a third party MFA service) provides the second factor of authentication.
Der lokale STS-Server gibt ein Enterprise DRS-Token für erfolgreiches MFA aus.The on-premises STS server issues a enterprise DRS token on successful MFA.
BB Nach dem Empfang eines EDRS-Zugriffstokens erkennt die Anwendung, ob das Gerät über einen Windows Hello-kompatiblen Sensor verfügt.After receiving a EDRS access token, the application detects if the device has a Windows Hello biometric compatible sensor. Wenn die Anwendung einen biometrischen Sensor erkennt, gibt Sie dem Benutzer die Wahl, Biometrie zu registrieren.If the application detects a biometric sensor, it gives the user the choice to enroll biometrics. Nach Abschluss oder Überspringen der biometrischen Registrierung erfordert die Anwendung, dass der Benutzer eine PIN und die standardmäßige (und zurück gehende) Bewegung erstellt, wenn Sie mit Biometrie verwendet wird.After completing or skipping biometric enrollment, the application requires the user to create a PIN and the default (and fall-back gesture when used with biometrics). Der Benutzer stellt seine PIN zur Verfügung und bestätigt ihn.The user provides and confirms their PIN. Als nächstes fordert die Anwendung ein Windows Hello for Business-Schlüsselpaar aus dem Schlüssel-Pre-Generation-Pool an, in dem die Bestätigungsdaten enthalten sind.Next, the application requests a Windows Hello for Business key pair from the key pre-generation pool, which includes attestation data. Dies ist der Benutzerschlüssel (ukpub/ukpriv).This is the user key (ukpub/ukpriv).
CC Die Anwendung sendet die EDRS-Token-, ukpub-, Bescheinigungs-und Geräteinformationen an die Enterprise DRS für die Benutzerschlüssel Registrierung.The application sends the EDRS token, ukpub, attestation data, and device information to the Enterprise DRS for user key registration. Enterprise DRS überprüft, ob der MFA-Anspruch aktuell bleibt.Enterprise DRS validates the MFA claim remains current. Bei erfolgreicher Überprüfung sucht das Unternehmen DRS das Objekt des Benutzers in Active Directory, schreibt die Schlüsselinformationen in ein Attribut mit mehreren Werten.On successful validation, the Enterprise DRS locates the user's object in Active Directory, writes the key information to a multi-values attribute. Die Schlüsselinformationen enthalten einen Verweis auf das Gerät, von dem es erstellt wurde.The key information includes a reference to the device from which it was created. Der Enterprise DRS gibt eine Schlüssel-ID für die Anwendung zurück, die das Ende der Benutzerschlüssel Registrierung darstellt.The Enterprise DRS returns a key ID to the application, which represents the end of user key registration.
DD Der Zertifikat Anforderungsteil der Bereitstellung beginnt, nachdem die Anwendung eine erfolgreiche Antwort von der Schlüsselregistrierung erhalten hat.The certificate request portion of provisioning begins after the application receives a successful response from key registration. Die Anwendung erstellt eine PKCS # 10-Zertifikatanforderung.The application creates a PKCS#10 certificate request. Der in der Zertifikatanforderung verwendete Schlüssel ist derselbe Schlüssel, der sicher bereitgestellt wurde.The key used in the certificate request is the same key that was securely provisioned.
Die Anwendung sendet die Zertifikatanforderung, die den öffentlichen Schlüssel enthält, an die Zertifikat Registrierungsstelle, die in der Active Directory Federation Services (AD FS)-Farm gehostet wird.The application sends the certificate request, which includes the public key, to the certificate registration authority hosted on the Active Directory Federation Services (AD FS) farm.
Nach dem Empfang der Zertifikatanforderung fragt die Zertifikat Registrierungsstelle Active Directory nach dem MSDS-KeyCredentialsLink für eine Liste mit registrierten öffentlichen Schlüsseln ab.After receiving the certificate request, the certificate registration authority queries Active Directory for the msDS-KeyCredentialsLink for a list of registered public keys.
EE Die Registrierungsstelle überprüft, ob der öffentliche Schlüssel in der Zertifikatanforderung einem registrierten Schlüssel für den Benutzer entspricht.The registration authority validates the public key in the certificate request matches a registered key for the user.
Nach der Überprüfung des öffentlichen Schlüssels signiert die Registrierungsstelle die Zertifikatanforderung unter Verwendung Ihres Registrierungs-Agent-Zertifikats.After validating the public key, the registration authority signs the certificate request using its enrollment agent certificate.
FF Die Registrierungsstelle sendet die Zertifikatanforderung an die Zertifizierungsstelle des Unternehmens.The registration authority sends the certificate request to the enterprise issuing certificate authority. Die Zertifizierungsstelle überprüft, ob die Zertifikatanforderung von einem gültigen Registrierungs-Agent signiert ist, und gibt beim Erfolg ein Zertifikat aus und gibt es an die Registrierungsstelle zurück, die das Zertifikat anschließend an die Anwendung zurückgibt.The certificate authority validates the certificate request is signed by a valid enrollment agent and, on success, issues a certificate and returns it to the registration authority that then returns the certificate to the application.
GG Die Anwendung erhält das neu ausgegebene Zertifikat und installiert es in den privaten Speicher des Benutzers.The application receives the newly issued certificate and installs it into the Personal store of the user. Damit wird das Ende der Bereitstellung signalisiert.This signals the end of provisioning.

Zurück zum AnfangReturn to top