Verwenden von Zertifikaten für Microsoft Entra lokales einmaliges Anmelden

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

In diesem Artikel werden Windows Hello for Business Funktionen oder Szenarien beschrieben, die für Folgendes gelten:

• Bereitstellungstyp:Hybrid
• Vertrauenstyp:.
• Jointyp: Microsoft Entra beitreten

---

Wenn Sie Zertifikate für das lokale einmalige Anmelden verwenden möchten, führen Sie die folgenden zusätzlichen Schritte aus, um die Umgebung für die Registrierung Windows Hello for Business Zertifikate für Microsoft Entra verbundene Geräte zu konfigurieren.

Wichtig

Stellen Sie sicher, dass Sie die Konfigurationen auf Microsoft Entra verbundenen Geräten für lokale Single-Sign On ausgeführt haben, bevor Sie fortfahren.

Sie führen folgende Schritte aus:

• Vorbereiten Microsoft Entra Connect
• Vorbereiten des Dienstkontos für die Netzwerkgeräteregistrierungsdienste
• Vorbereiten der Active Directory-Zertifikatdienste
• Installieren der Rolle "Registrierungsdienste für Netzwerkgeräte"
• Konfigurieren der Registrierungsdienste für Netzwerkgeräte für die Verwendung mit Microsoft Intune
• Herunterladen, Installieren und Konfigurieren des Intune Certificate Connectors
• Create und Zuweisen eines SCEP-Zertifikatprofils (Simple Certificate Enrollment Protocol)

Anforderungen

Sie müssen zusätzliche Infrastruktur installieren und konfigurieren, um Microsoft Entra eingebundenen Geräten lokales einmaliges Anmelden bereitzustellen.

• Eine vorhandene Windows Server Enterprise-Zertifizierungsstelle
• Ein in die Domäne eingebundener Windows Server, der die Rolle "Registrierungsdienste für Netzwerkgeräte" (NDES) hostet

Hochverfügbarkeit

Die NDES-Serverrolle fungiert als Zertifikatregistrierungsstelle (Certificate Registration Authority, CRA). Zertifikatregistrierungsserver registrieren Zertifikate im Namen des Benutzers. Benutzer fordern Zertifikate vom NDES-Dienst und nicht direkt von der ausstellenden Zertifizierungsstelle an.

Die Architektur des NDES-Servers verhindert, dass er für Hochverfügbarkeit gruppiert oder lastenausgleicht wird. Um Hochverfügbarkeit zu gewährleisten, müssen Sie mehr als einen identisch konfigurierten NDES-Server installieren und dann Microsoft Intune zum Lastenausgleich verwenden (im Roundrobin-Modus).

Die NDES-Serverrolle (Network Device Enrollment Service) kann bis zu drei eindeutige Zertifikatvorlagen ausstellen. Die Serverrolle erreicht dies, indem der Zweck der Zertifikatanforderung einer konfigurierten Zertifikatvorlage zugeordnet wird. Der Zweck der Zertifikatanforderung hat drei Optionen:

• Signatur
• Verschlüsselung
• Signatur und Verschlüsselung

Wenn Sie mehr als drei Arten von Zertifikaten auf dem Microsoft Entra verbundenen Gerät bereitstellen müssen, benötigen Sie zusätzliche NDES-Server. Alternativ können Sie die Konsolidierung von Zertifikatvorlagen in Betracht ziehen, um die Anzahl der Zertifikatvorlagen zu reduzieren.

Netzwerkanforderungen

Die gesamte Kommunikation erfolgt sicher über Port 443.

Vorbereiten Microsoft Entra Connect

Eine erfolgreiche Authentifizierung bei lokalen Ressourcen mithilfe eines Zertifikats erfordert, dass das Zertifikat einen Hinweis zur lokalen Domäne bereitstellt. Der Hinweis kann der Active Directory-Distinguished Name des Benutzers als Antragsteller des Zertifikats sein, oder der Hinweis kann der Benutzerprinzipalname des Benutzers sein, wobei das Suffix mit dem Active Directory-Domänennamen übereinstimmt.

In den meisten Umgebungen wird das Suffix für den Benutzerprinzipalnamen so geändert, dass es dem externen Domänennamen (oder der Vanity-Domäne) des organization entspricht. Dadurch wird verhindert, dass der Benutzerprinzipalname als Hinweis auf einen Domänencontroller gesucht wird. Daher benötigt das Zertifikat den lokalen Distinguished-Namen des Benutzers im Antragsteller, um einen Domänencontroller ordnungsgemäß zu finden.

Um den lokalen Distinguished-Namen in den Antragsteller des Zertifikats aufzunehmen, muss Microsoft Entra Connect das Active Directory DistinguishedName-Attribut in das Microsoft Entra ID onPremisesDistinguishedName-Attribut replizieren. Microsoft Entra Connect-Version 1.1.819 enthält die richtigen Synchronisierungsregeln, die für diese Attribute erforderlich sind.

Überprüfen der Microsoft Entra Connect-Version

Melden Sie sich auf dem Computer an, auf dem Microsoft Entra Connect ausgeführt wird, mit dem Zugriff, der dem lokalen Administrator entspricht.

1. Öffnen Von Synchronization Services aus dem Ordner "Microsoft Entra Connect"
2. Wählen Sie im Synchronisierungs-Service ManagerHilfe und dann Info aus.
3. Wenn die Versionsnummer nicht 1.1.819 oder höher lautet, aktualisieren Sie Microsoft Entra Connect auf die neueste Version.

Überprüfen, ob das attribut onPremisesDistinguishedName synchronisiert ist

Die einfachste Möglichkeit, um zu überprüfen, ob das onPremisesDistingushedNamne-Attribut synchronisiert ist, besteht darin, die Graph-Explorer für Microsoft Graph zu verwenden.

1. Öffnen Sie einen Webbrowser, und navigieren Sie zu Graph Explorer

2. Wählen Sie Bei Graph anmelden Explorer aus, und geben Sie Azure-Anmeldeinformationen an.

   Hinweis

   Um die Graph-API erfolgreich abzufragen, müssen ausreichende Berechtigungen erteilt werden.

3. Wählen Sie Berechtigungen ändern (Vorschau) aus. Scrollen Sie nach unten, suchen Sie User.Read.All (oder eine andere erforderliche Berechtigung), und wählen Sie Zustimmung aus. Sie werden jetzt zur Zustimmung zu delegierten Berechtigungen aufgefordert.

4. Geben Sie in der Graph-Explorer-URL einhttps://graph.microsoft.com/v1.0/users/[userid]?$select=displayName,userPrincipalName,onPremisesDistinguishedName, wobei [userid] der Benutzerprinzipalname eines Benutzers in Microsoft Entra ID ist. Wählen Sie Abfrage ausführen aus.

   Hinweis

   Da der v1.0-Endpunkt des Graph-API nur einen begrenzten Satz von Parametern bereitstellt, verwenden wir den $select optionalen OData-Abfrageparameter. Der Einfachheit halber ist es möglich, die API-Versionsauswahl von v1.0 auf Beta umzustellen, bevor die Abfrage ausgeführt wird. Dadurch werden alle verfügbaren Benutzerinformationen bereitgestellt, aber denken Sie daran, dass Betaendpunktabfragen in Produktionsszenarien nicht verwendet werden sollten.

   Anforderung

   GET https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}?$select=displayName,userPrincipalName,onPremisesDistinguishedName
   

5. Überprüfen Sie in den zurückgegebenen Ergebnissen die JSON-Daten für das Attribut onPremisesDistinguishedName . Stellen Sie sicher, dass das Attribut über einen Wert verfügt und dass der Wert für den angegebenen Benutzer korrekt ist. Wenn das onPremisesDistinguishedName-Attribut nicht synchronisiert ist, ist der Wert NULL.

   Antwort

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,userPrincipalName,onPremisesDistinguishedName)/$entity",
       "displayName": "Nestor Wilke",
       "userPrincipalName": "NestorW@contoso.com",
       "onPremisesDistinguishedName" : "CN=Nestor Wilke,OU=Operations,DC=contoso,DC=com"
   }
   

Vorbereiten des NDES-Dienstkontos (Network Device Enrollment Services)

Create der globalen Sicherheitsgruppe NDES-Server

Die Bereitstellung verwendet die Sicherheitsgruppe NDES-Server , um dem NDES-Dienst die richtigen Benutzerrechten zuzuweisen.

Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.

1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Erweitern des Domänenknotens über den Navigationsbereich
3. Klicken Sie mit der rechten Maustaste auf den Container Benutzer. Zeigen Sie auf Neu, und wählen Sie Gruppierung aus.
4. Geben Sie NDES-Server in das Textfeld Gruppenname ein.
5. Wählen Sie OK aus.

Hinzufügen des NDES-Servers zur globalen Sicherheitsgruppe "NDES-Server"

Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.

1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Erweitern des Domänenknotens über den Navigationsbereich
3. Wählen Sie im Navigationsbereich Computer aus. Klicken Sie mit der rechten Maustaste auf den Namen des NDES-Servers, auf dem die NDES-Serverrolle gehostet wird. Wählen Sie Zu einer Gruppe hinzufügen aus.
4. Geben Sie NDES-Server unter Geben Sie die auszuwählenden Objektnamen ein. Wählen Sie OK aus. Klicken Sie im Dialogfeld "Active Directory Domain Services Erfolg" auf OK.

Hinweis

Für Hochverfügbarkeit sollten Sie über mehr als einen NDES-Server verfügen, um Windows Hello for Business Zertifikatanforderungen zu verarbeiten. Sie sollten dieser Gruppe zusätzliche Windows Hello for Business NDES-Server hinzufügen, um sicherzustellen, dass sie die richtige Konfiguration erhalten.

Create des NDES-Dienstkontos

Die Rolle Registrierungsdienste für Netzwerkgeräte (Network Device Enrollment Services, NDES) wird unter einem Dienstkonto ausgeführt. In der Regel ist es bevorzugt, Dienste mit einem gruppenverwalteten Dienstkonto (Group Managed Service Account, GMSA) auszuführen. Während die NDES-Rolle für die Ausführung mit einer GMSA konfiguriert werden kann, wurde der Intune Certificate Connector nicht mit einem GMSA entworfen oder getestet und gilt als nicht unterstützte Konfiguration. Die Bereitstellung verwendet ein normales Dienstkonto.

Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.

1. Erweitern Sie im Navigationsbereich den Knoten mit Ihrem Domänennamen. Benutzer auswählen
2. Klicken Sie mit der rechten Maustaste auf den Container Benutzer. Zeigen Sie auf Neu , und wählen Sie dann Benutzer aus. Geben Sie NDESSvc unter Vollständiger Name und Benutzeranmeldungsname ein. Wählen Sie Weiter aus.
3. Geben Sie unter Kennwort ein sicheres Kennwort ein. Bestätigen Sie das sichere Kennwort unter Kennwort bestätigen. Deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern. Wählen Sie Weiter aus.
4. Wählen Sie Fertig stellen aus.

Wichtig

Das Konfigurieren des Kontokennworts des Diensts auf Kennwort läuft nie ab , ist möglicherweise bequemer, stellt jedoch ein Sicherheitsrisiko dar. Normale Dienstkontokennwörter sollten gemäß der Richtlinie zum Ablauf von Benutzerkennwörtern der Organisation ablaufen. Create eine Erinnerung, um das Kennwort des Dienstkontos zwei Wochen vor Ablauf zu ändern. Geben Sie die Erinnerung an andere Personen weiter, die das Kennwort ändern dürfen, um sicherzustellen, dass das Kennwort vor dem Ablauf geändert wird.

Create des NDES Service User Rights Gruppenrichtlinie-Objekts

Das Gruppenrichtlinie-Objekt stellt sicher, dass das NDES-Dienstkonto über das richtige Benutzerrecht verfügt, um alle NDES-Server in der Gruppe NDES-Server zuzuweisen. Wenn Sie Ihrer Umgebung und dieser Gruppe neue NDES-Server hinzufügen, erhält das Dienstkonto automatisch die richtigen Benutzerrechte über die Gruppenrichtlinie.

Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit den Anmeldedaten eines Domänenadministrators an.

1. Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).

2. Erweitern Sie die Domäne, und wählen Sie im Navigationsbereich den Knoten Gruppenrichtlinie Objekt aus.

3. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekt, und wählen Sie Neu aus.

4. Geben Sie NDES-Dienstrechte in das Namensfeld ein, und wählen Sie OK aus.

5. Klicken Sie im Inhaltsbereich mit der rechten Maustaste auf das Objekt NDES Service Rights Gruppenrichtlinie, und wählen Sie Bearbeiten aus.

6. Erweitern Sie im Navigationsbereich richtlinien unter Computerkonfiguration.

7. Erweitern Sie Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien. Auswählen von Zuweisungen von Benutzerrechten

8. Doppelklicken Sie im Inhaltsbereich auf Lokale Anmeldung zulassen. Wählen Sie Diese Richtlinieneinstellungen definieren aus, und wählen Sie OK aus. Wählen Sie Benutzer oder Gruppe hinzufügen... aus. Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen die Option Durchsuchen aus. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählendie Zeichenfolge Administratoren ein. Sicherungsoperatoren; DOMAINNAME\NDESSvc; Benutzer, bei denen DOMAINNAME der NetBios-Name der Domäne (Beispiel CONTOSO\NDESSvc) in Benutzer- und Gruppennamen ist. Wählen Sie zweimal OK aus.

9. Doppelklicken Sie im Inhaltsbereich auf Als Batchauftrag anmelden. Wählen Sie Diese Richtlinieneinstellungen definieren aus, und wählen Sie OK aus. Wählen Sie Benutzer oder Gruppe hinzufügen... aus. Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen die Option Durchsuchen aus. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählendie Zeichenfolge Administratoren ein. Sicherungsoperatoren; DOMAINNAME\NDESSvc; Leistungsprotokollbenutzer, wobei DOMAINNAME der NetBios-Name der Domäne (Beispiel CONTOSO\NDESSvc) in Benutzer- und Gruppennamen ist. Wählen Sie zweimal OK aus.

10. Doppelklicken Sie im Inhaltsbereich auf Als Dienst anmelden. Wählen Sie Diese Richtlinieneinstellungen definieren aus, und wählen Sie OK aus. Wählen Sie Benutzer oder Gruppe hinzufügen... aus. Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen die Option Durchsuchen aus. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählenden Namen NT SERVICE\ALL SERVICES ein. DOMAINNAME\NDESSvc, wobei DOMAINNAME der NetBios-Name der Domäne (Beispiel CONTOSO\NDESSvc) in Benutzer- und Gruppennamen ist. Wählen Sie dreimal OK aus.

11. Schließen des Gruppenrichtlinie Management Editor

Konfigurieren der Sicherheit für das NDES Service User Rights Gruppenrichtlinie-Objekt

Die beste Möglichkeit zum Bereitstellen des NDES Service User Rights Gruppenrichtlinie-Objekts ist die Verwendung der Sicherheitsgruppenfilterung. Dadurch können Sie die Computer, die die Gruppenrichtlinie-Einstellungen erhalten, einfach verwalten, indem Sie sie einer Gruppe hinzufügen.

Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.

1. Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
2. Erweitern Sie die Domäne, und wählen Sie im Navigationsbereich den Knoten Gruppenrichtlinie Objekt aus.
3. Doppelklicken Sie auf das Objekt NDES Service User Rights Gruppenrichtlinie
4. Wählen Sie im Abschnitt Sicherheitsfilterung des Inhaltsbereichs Hinzufügen aus. Geben Sie NDES-Server oder den Namen der Sicherheitsgruppe ein, die Sie zuvor erstellt haben, und wählen Sie OK aus.
5. Wählen Sie die Registerkarte Delegierung aus. Wählen Sie Authentifizierte Benutzer und dann Erweitert aus.
6. Klicken Sie in der Liste Gruppen- oder Benutzernamen auf Authentifizierte Benutzer. Deaktivieren Sie in der Liste Berechtigungen für authentifizierte Benutzer das Kontrollkästchen Zulassen für die Berechtigung Gruppenrichtlinie übernehmen. Wählen Sie OK aus.

Bereitstellen des NDES Service User Rights Gruppenrichtlinie-Objekts

Die Anwendung des NDES Service User Rights Gruppenrichtlinie-Objekts verwendet die Sicherheitsgruppenfilterung. Auf diese Weise können Sie das Gruppenrichtlinie-Objekt in der Domäne verknüpfen, um sicherzustellen, dass das Gruppenrichtlinie-Objekt innerhalb des Gültigkeitsbereichs für alle Computer liegt. Die Sicherheitsgruppenfilterung stellt jedoch sicher, dass nur Computer, die in der globalen Sicherheitsgruppe NDES-Server enthalten sind, das Gruppenrichtlinie -Objekt empfangen und anwenden. Dies führt dazu, dass dem NDESSvc-Dienstkonto die richtigen Benutzerrechte bereitgestellt werden.

Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.

1. Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
2. Erweitern Sie im Navigationsbereich die Domäne, klicken Sie mit der rechten Maustaste auf den Knoten mit Ihrem Active Directory-Domänennamen, und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus.
3. Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen die Option NDES-Dienstbenutzerrechte oder den Namen des zuvor erstellten Gruppenrichtlinie Objekts aus, und wählen Sie OK aus.

Wichtig

Durch das Verknüpfen der Benutzerrechte des NDES-Diensts Gruppenrichtlinie -Objekts mit der Domäne wird sichergestellt, dass das Gruppenrichtlinie -Objekt für alle Computer im Gültigkeitsbereich liegt. Die Richtlinieneinstellungen werden jedoch nicht auf alle Computer angewendet. Nur Computer, die Mitglieder der globalen Sicherheitsgruppe NDES-Server sind, erhalten die Richtlinieneinstellungen. Alle anderen Computer ignorieren das Gruppenrichtlinie-Objekt.

Vorbereiten der Active Directory-Zertifizierungsstelle

Sie müssen die Public Key-Infrastruktur und die ausstellende Zertifizierungsstelle vorbereiten, um das Ausstellen von Zertifikaten mithilfe von Microsoft Intune und der NDES-Serverrolle (Network Devices Enrollment Services) zu unterstützen. In dieser Aufgabe werden Sie

• Konfigurieren Sie die Zertifizierungsstelle so, dass Intune Gültigkeitsdauern angeben kann.
• Create einer Vorlage für ein NDES-Intune-Authentifizierungszertifikat
• Create einer zertifikatsvorlage für Microsoft Entra Windows Hello for Business-Authentifizierung
• Veröffentlichen von Zertifikatvorlagen

Konfigurieren Sie die Zertifizierungsstelle so, dass Intune Gültigkeitsdauern angeben kann.

Beim Bereitstellen von Zertifikaten mit Microsoft Intune haben Sie die Möglichkeit, den Gültigkeitszeitraum im SCEP-Zertifikatprofil bereitzustellen, anstatt sich auf den Gültigkeitszeitraum in der Zertifikatvorlage zu verlassen. Wenn Sie dasselbe Zertifikat mit unterschiedlichen Gültigkeitsdauern ausstellen müssen, kann es angesichts der begrenzten Anzahl von Zertifikaten, die ein einzelner NDES-Server ausstellen kann, vorteilhaft sein, das SCEP-Profil zu verwenden.

Hinweis

Überspringen Sie diesen Schritt, wenn Sie Microsoft Intune nicht aktivieren möchten, um den Gültigkeitszeitraum des Zertifikats anzugeben. Ohne diese Konfiguration verwendet die Zertifikatanforderung den in der Zertifikatvorlage konfigurierten Gültigkeitszeitraum.

Melden Sie sich bei der ausstellenden Zertifizierungsstelle mit dem Zugriff an, der dem lokalen Administrator entspricht.

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie den folgenden Befehl ein:

   certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
   

2. Neustarten des Active Directory-Zertifikatdienstediensts

Create einer Zertifikatvorlage für die NDES-Intune-Authentifizierung

NDES verwendet ein Serverauthentifizierungszertifikat zum Authentifizieren des Serverendpunkts, der die Kommunikation zwischen dem Server und dem client verschlüsselt, der eine Verbindung herstellt. Der Intune Certificate Connector verwendet eine Zertifikatvorlage für die Clientauthentifizierung, um sich beim Zertifikatregistrierungspunkt zu authentifizieren.

Melden Sie sich bei der ausstellenden Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit domänenspezifischen Anmeldeinformationen Admin an.

1. Öffnen Sie die zertifizierungsstellen-Verwaltungskonsole

2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.

3. Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Computer, und wählen Sie Vorlage duplizieren aus.

4. Geben Sie auf der Registerkarte Allgemein unter Vorlagenanzeigename den NamenNDES-Intune Authentication ein. Anpassen der Gültigkeitsdauer und des Verlängerungszeitraums an die Anforderungen Ihres Unternehmens

   Hinweis

   Wenn Sie unterschiedliche Vorlagennamen verwenden, müssen Sie sich diese Namen merken und in verschiedenen Teilen des Labs ersetzen.

5. Wählen Sie auf der Registerkarte Betreffin der Anforderung die Option Angeben aus.

6. Überprüfen Sie auf der Registerkarte Kryptografie, ob die Minimale Schlüsselgröße2048 ist.

7. Wählen Sie auf der Registerkarte Sicherheit die Option Hinzufügen aus.

8. Wählen Sie Objekttypen und dann im angezeigten Fenster Computer und dann OK aus.

9. Geben Sie NDES-Server in das Textfeld Geben Sie die zu markierenden Objektnamen ein, und wählen Sie OK aus.

10. Wählen Sie in der Liste Gruppen- oder Benutzernamen die Option NDES-Server aus. Aktivieren Sie im Abschnitt Berechtigungen für das Kontrollkästchen Zulassen für die Berechtigung Registrieren . Deaktivieren Sie das Kontrollkästchen Zulassen für die Berechtigungen Registrieren und automatische Registrierung für alle anderen Elemente in der Liste Gruppen- oder Benutzernamen , wenn die Kontrollkästchen noch nicht deaktiviert sind. Wählen Sie OK aus.

11. Wählen Sie übernehmen aus, um Änderungen zu speichern und die Konsole zu schließen.

Create einer zertifikatsvorlage für Microsoft Entra Windows Hello for Business-Authentifizierung

Während Windows Hello for Business Bereitstellung fordert Windows ein Authentifizierungszertifikat von Microsoft Intune an, das das Authentifizierungszertifikat im Namen des Benutzers anfordert. Mit dieser Aufgabe wird die Zertifikatvorlage für die Windows Hello for Business-Authentifizierung konfiguriert. Sie verwenden den Namen der Zertifikatvorlage beim Konfigurieren des NDES-Servers.

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit domänenbasierten Admin entsprechenden Anmeldeinformationen an.

1. Öffnen Sie die zertifizierungsstellen-Verwaltungskonsole

2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.

3. Klicken Sie mit der rechten Maustaste auf die Vorlage Smartcard-Anmeldung, und wählen Sie Vorlage duplizieren aus.

4. Deaktivieren Sie auf der Registerkarte Kompatibilität das Kontrollkästchen Resultierende Änderungen anzeigen . Wählen Sie Windows Server 2012 oder Windows Server 2012 R2 aus der Liste Zertifizierungsstelle aus. Wählen Sie Windows Server 2012 oder Windows Server 2012 R2 aus der Liste Zertifikatempfänger aus.

5. Geben Sie auf der Registerkarte Allgemeinden Namen ENTRA JOINED WHFB Authentication unter Vorlagenanzeigename ein. Anpassen der Gültigkeitsdauer und des Verlängerungszeitraums an die Anforderungen Ihres Unternehmens

   Hinweis

   Wenn Sie unterschiedliche Vorlagennamen verwenden, müssen Sie diese Namen in verschiedenen Teilen der Bereitstellung speichern und ersetzen.

6. Wählen Sie auf der Registerkarte Kryptografie die Option Schlüsselspeicheranbieter aus der Liste Anbieterkategorie aus. Wählen Sie RSA aus der Liste Name des Algorithmus aus. Geben Sie 2048 in das Textfeld Minimale Schlüsselgröße ein. Wählen Sie SHA256 aus der Liste Anforderungshash aus.

7. Überprüfen Sie auf der Registerkarte Erweiterungen, ob die Erweiterung "Anwendungsrichtlinien" die Smartcardanmeldung enthält.

8. Wählen Sie auf der Registerkarte Betreffin der Anforderung die Option Angeben aus.

9. Wählen Sie auf der Registerkarte Anforderungsverarbeitung in der Liste Zweck die Option Signatur und Verschlüsselung aus. Aktivieren Sie das Kontrollkästchen Mit demselben Schlüssel verlängern . Wählen Sie Betreff ohne Benutzereingabe registrieren aus.

10. Wählen Sie auf der Registerkarte Sicherheit die Option Hinzufügen aus. Geben Sie NDESSvc in das Textfeld Geben Sie die zu markierenden Objektnamen ein, und wählen Sie OK aus.

11. Wählen Sie in der Liste Gruppen- oder Benutzernamen die Option NDESSvc aus. Aktivieren Sie im Abschnitt Berechtigungen für NDES-Server das Kontrollkästchen Zulassen für Lesen und Registrieren. Deaktivieren Sie das Kontrollkästchen Zulassen für die Berechtigungen Registrieren und automatische Registrierung für alle anderen Einträge im Abschnitt Gruppen- oder Benutzernamen , wenn die Kontrollkästchen noch nicht deaktiviert sind. Wählen Sie OK aus.

12. Schließen der Konsole

Veröffentlichen von Zertifikatvorlagen

Die Zertifizierungsstelle stellt möglicherweise nur Zertifikate für Zertifikatvorlagen, die an diese Zertifizierungsstelle veröffentlicht werden. Wenn Sie mehr als eine Zertifizierungsstelle haben und möchten, dass die Zertifizierungsstelle Zertifikate basierend auf einer bestimmten Zertifikatvorlage ausstellt, müssen Sie die Zertifikatvorlage an alle Zertifizierungsstellen veröffentlichen, die das Zertifikat ausgestellt sollen.

Wichtig

Stellen Sie sicher, dass Sie die ENTRA JOINED WHFB-Authentifizierungszertifikatvorlagen bei der Zertifizierungsstelle veröffentlichen, die Microsoft Intune über die NDES-Server verwendet. Die NDES-Konfiguration fordert Sie auf, eine Zertifizierungsstelle auszuwählen, von der zertifikate angefordert werden. Sie müssen diese Zertifikatvorlagen bei dieser ausstellenden Zertifizierungsstelle veröffentlichen. Das NDES-Intune Authentication-Zertifikat ist direkt registriert und kann bei jeder Zertifizierungsstelle veröffentlicht werden.

Melden Sie sich bei der Zertifizierungsstelle oder den Arbeitsstationen der Verwaltung mit einem Unternehmensadministrator an, deren Anmeldeinformationen gleichwertig sind.

1. Öffnen Sie die zertifizierungsstellen-Verwaltungskonsole
2. Erweitern des übergeordneten Knotens über den Navigationsbereich
3. Wählen Sie im Navigationsbereich Zertifikatvorlagen aus.
4. Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikatvorlagen. Wählen Sie Neu und dann ausstellende Zertifikatvorlage aus.
5. Wählen Sie im Fenster Zertifikatvorlagen aktivieren die Vorlagen NDES-Intune Authentication und ENTRA JOINED WHFB Authentication aus, die Sie in den vorherigen Schritten erstellt haben. Wählen Sie OK aus, um die ausgewählten Zertifikatvorlagen bei der Zertifizierungsstelle zu veröffentlichen.
6. Schließen der Konsole

Installieren und Konfigurieren der NDES-Rolle

Dieser Abschnitt enthält die folgenden Artikel:

• Installieren der Rolle "Registrierungsdienst für Netzwerkgeräte"
• Konfigurieren des NDES-Dienstkontos
• Konfigurieren der NDES-Rolle und der Zertifikatvorlagen
• Create eines Web-Anwendungsproxy für die interne NDES-URL
• Registrieren für ein NDES-Intune-Authentifizierungszertifikat
• Konfigurieren des Webserverzertifikats für NDES
• Überprüfen der Konfiguration

Installieren der Rolle "Registrierungsdienste für Netzwerkgeräte"

Installieren Sie die Rolle "Registrierungsdienst für Netzwerkgeräte" auf einem anderen Computer als der ausstellenden Zertifizierungsstelle.

Melden Sie sich bei der Zertifizierungsstelle oder den Verwaltungsarbeitsstationen mit einer Enterprise-Admin entsprechenden Anmeldeinformationen an.

1. Öffnen sie Server-Manager auf dem NDES-Server.

2. Wählen Sie Verwalten aus. Wählen Sie Rollen und Features hinzufügen aus.

3. Wählen Sie im Assistenten zum Hinzufügen von Rollen und Features auf der Seite Bevor Sie beginnen die Option Weiter aus. Wählen Sie auf der Seite Installationstyp auswählen die Option Rollenbasierte oder featurebasierte Installation aus. Wählen Sie Weiter aus. Wählen Sie Server aus dem Serverpool auswählen aus. Wählen Sie in der Liste Serverpool den lokalen Server aus. Wählen Sie Weiter aus.

   

4. Wählen Sie auf der Seite Serverrollen auswählen in der Liste Rollen die Option Active Directory-Zertifikatdienste aus.

   

   Wählen Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features die Option Features hinzufügen aus. Wählen Sie Weiter aus.

   

5. Erweitern Sie auf der Seite Features .NET Framework 3.5 Features. Wählen Sie HTTP-Aktivierung aus. Wählen Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features die Option Features hinzufügen aus. Erweitern Sie .NET Framework 4.5 Features. Erweitern Sie WCF-Dienste. Wählen Sie HTTP-Aktivierung aus. Wählen Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features die Option Features hinzufügen aus. Wählen Sie Weiter aus.

   

6. Deaktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Zertifizierungsstelle . Wählen Sie den Registrierungsdienst für Netzwerkgeräte aus. Wählen Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features die Option Features hinzufügen aus. Wählen Sie Weiter aus.

   

7. Wählen Sie auf der Seite Webserverrolle (IIS) die Option Weiter aus.

8. Wählen Sie auf der Seite Rollendienste auswählen für die Web serve-Rolle die folgenden zusätzlichen Dienste aus, sofern sie noch nicht ausgewählt sind, und wählen Sie dann Weiter aus.

   • Filtern von Webserversicherheitsanforderungen >>
   • Web Server > Application Development > ASP.NET 3.5
   • Web Server > Application Development > ASP.NET 4.5
   • Verwaltungstools > IIS 6-Verwaltungskompatibilität > IIS 6-Metabasiskompatibilität
   • Verwaltungstools > IIS 6-Verwaltungskompatibilität > IIS 6 WMI-Kompatibilität

   

9. Wählen Sie Installieren aus. Wenn die Installation abgeschlossen ist, fahren Sie mit dem nächsten Verfahren fort. Klicken Sie nicht auf Schließen.

   Wichtig

   .NET Framework 3.5 ist in der typischen Installation nicht enthalten. Wenn der Server mit dem Internet verbunden ist, versucht die Installation, die Dateien mithilfe von Windows Update abzurufen. Wenn der Server nicht mit dem Internet verbunden ist, müssen Sie einen alternativen Quellpfad angeben , z <. B. driveLetter>:\Sources\SxS\

   

Konfigurieren des NDES-Dienstkontos

Dieser Task fügt das NDES-Dienstkonto der lokalen IIS_USRS Gruppe hinzu. Die Aufgabe konfiguriert auch das NDES-Dienstkonto für die Kerberos-Authentifizierung und -delegierung.

Hinzufügen des NDES-Dienstkontos zur gruppe IIS_USRS

Melden Sie sich beim NDES-Server mit dem Zugriff an, der dem lokalen Administrator entspricht.

1. Starten der Verwaltungskonsole "Lokale Benutzer und Gruppen" (lusrmgr.msc)
2. Wählen Sie im Navigationsbereich Gruppen aus. Doppelklicken Sie auf die gruppe IIS_IUSRS
3. Wählen Sie im Dialogfeld IIS_IUSRS Eigenschaftendie Option Hinzufügen aus. Geben Sie NDESSvc oder den Namen Ihres NDES-Dienstkontos ein. Wählen Sie Namen überprüfen aus, um den Namen zu überprüfen, und klicken Sie dann auf OK. Wählen Sie OK aus, um das Eigenschaftendialogfeld zu schließen.
4. Schließen Sie die Verwaltungskonsole.

Registrieren eines Dienstprinzipalnamens für das NDES-Dienstkonto

Melden Sie sich beim NDES-Server mit dem Zugriff an, der domänenadministratoren entspricht.

1. Öffnen einer Eingabeaufforderung mit erhöhten Rechten

2. Geben Sie den folgenden Befehl ein, um den Dienstprinzipalnamen zu registrieren.

   setspn -s http/[FqdnOfNdesServer] [DomainName\\NdesServiceAccount]
   

   Wobei [FqdnOfNdesServer] der vollqualifizierte Domänenname des NDES-Servers und [DomainName\NdesServiceAccount] der Domänenname und der Name des NDES-Dienstkontos ist, getrennt durch einen umgekehrten Schrägstrich (\). Ein Beispiel für den Befehl sieht wie folgt aus:

   setspn -s http/ndes.corp.contoso.com contoso\ndessvc
   

Hinweis

Wenn Sie dasselbe Dienstkonto für mehrere NDES-Server verwenden, wiederholen Sie die folgende Aufgabe für jeden NDES-Server, unter dem der NDES-Dienst ausgeführt wird.

Konfigurieren des NDES-Dienstkontos für die Delegierung

Der NDES-Dienst registriert Zertifikate im Namen von Benutzern. Daher sollten Sie die Aktionen beschränken, die im Namen des Benutzers ausgeführt werden können. Dies erfolgt durch Delegierung.

Melden Sie sich bei einem Domänencontroller mit einem Mindestzugriff an, der domänenadministratoren entspricht.

1. Öffnen Sie Active Directory-Benutzer und -Computer.

2. Suchen Sie das NDES-Dienstkonto (NDESSvc). Klicken Sie mit der rechten Maustaste, und wählen Sie Eigenschaften aus. Wählen Sie die Registerkarte Delegierung aus.

   

3. Wählen Sie Diesen Benutzer für die Delegierung an angegebene Dienste vertrauen aus.

4. Wählen Sie Beliebiges Authentifizierungsprotokoll verwenden aus.

5. Wählen Sie Hinzufügen aus.

6. Wählen Sie Benutzer oder Computer... aus. Geben Sie den Namen des NDES-Servers ein, mit dem Sie Windows Hello for Business Authentifizierungszertifikate für Microsoft Entra verbundene Geräte ausstellen. Wählen Sie in der Liste Verfügbare Dienstedie Option HOST aus. Wählen Sie OK aus.

   

7. Wiederholen Sie die Schritte 5 und 6 für jeden NDES-Server, der dieses Dienstkonto verwendet. Wählen Sie Hinzufügen aus.

8. Wählen Sie Benutzer oder Computer... aus. Geben Sie den Namen der ausstellenden Zertifizierungsstelle ein, die dieses NDES-Dienstkonto verwendet, um Windows Hello for Business Authentifizierungszertifikate für Microsoft Entra verbundene Geräte auszustellen. Wählen Sie in der Liste Verfügbare Dienstedie Option dcom aus. Halten Sie die STRG-TASTE gedrückt, und wählen Sie HOST aus. Wählen Sie OK aus.

9. Wiederholen Sie die Schritte 8 und 9 für jede ausstellende Zertifizierungsstelle, von der mindestens ein NDES-Server Zertifikate anzufordern.

   

10. Wählen Sie OK aus. schließen Active Directory-Benutzer und -Computer

Konfigurieren der NDES-Rollen- und Zertifikatvorlagen

Mit dieser Aufgabe werden die NDES-Rolle und die Zertifikatvorlagen konfiguriert, die der NDES-Server ausgibt.

Konfigurieren der NDES-Rolle

Melden Sie sich bei der Zertifizierungsstelle oder den Verwaltungsarbeitsstationen mit einer Enterprise-Admin entsprechenden Anmeldeinformationen an.

Hinweis

Wenn Sie Server Manager aus der letzten Gruppe von Aufgaben geschlossen haben, starten Sie Server-Manager, und klicken Sie auf das Aktionsflag, das ein gelbes Ausrufezeichen anzeigt.

1. Wählen Sie den Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren aus.

2. Wählen Sie auf der Seite Anmeldeinformationendie Option Weiter aus.

   

3. Wählen Sie auf der Seite Rollendienste die Option Registrierungsdienst für Netzwerkgeräte und dann Weiter aus.

   

4. Wählen Sie auf der Seite Dienstkonto für NDES die Option Dienstkonto angeben (empfohlen) aus. Wählen Sie Auswählen... aus. Geben Sie den Benutzernamen und das Kennwort für das NDES-Dienstkonto im Dialogfeld Windows-Sicherheit ein. Wählen Sie Weiter aus.

   

5. Wählen Sie auf der Seite Zertifizierungsstelle für NDES die Option Zertifizierungsstellenname aus. Wählen Sie Auswählen... aus. Wählen Sie die ausstellende Zertifizierungsstelle aus, von der der NDES-Server Zertifikate anfordert. Wählen Sie Weiter aus.

   

6. Wählen Sie unter RA-Informationen die Option Weiter aus.

7. Wählen Sie auf der Seite Kryptografie für NDES die Option Weiter aus.

8. Überprüfen Sie die Seite Bestätigung . Wählen Sie Konfigurieren aus.

   

9. Wählen Sie Schließen aus, nachdem die Konfiguration abgeschlossen ist.

Konfigurieren von Zertifikatvorlagen in NDES

Ein einzelner NDES-Server kann maximal drei Zertifikatvorlagen anfordern. Der NDES-Server bestimmt anhand der eingehenden Zertifikatanforderung, die im Microsoft Intune SCEP-Zertifikatprofil zugewiesen ist, welches Zertifikat ausgestellt werden soll. Das Microsoft Intune SCEP-Zertifikatprofil weist drei Werte auf.

• Digitale Signatur
• Schlüsselverschlüsselung
• Schlüsselverschlüsselung, digitale Signatur

Jeder Wert wird einem Registrierungswertnamen auf dem NDES-Server zugeordnet. Der NDES-Server übersetzt einen eingehenden von SCEP bereitgestellten Wert in die entsprechende Zertifikatvorlage. Die folgende Tabelle zeigt die SCEP-Profilwerte der Registrierungswertnamen der NDES-Zertifikatvorlage.

SCEP-Profilschlüsselverwendung	Name des NDES-Registrierungswerts
Digitale Signatur	SignatureTemplate
Schlüsselverschlüsselung	EncryptionTemplate
Schlüsselverschlüsselung Digitale Signatur	GeneralPurposeTemplate

Im Idealfall sollten Sie die Zertifikatanforderung mit dem Registrierungswertnamen abgleichen, um die Konfiguration intuitiv zu halten (Verschlüsselungszertifikate verwenden die Verschlüsselungsvorlage, Signaturzertifikate verwenden die Signaturvorlage usw.). Ein Ergebnis dieses intuitiven Designs ist das potenzielle exponentielle Wachstum des NDES-Servers. Stellen Sie sich eine organization vor, die neun eindeutige Signaturzertifikate im gesamten Unternehmen ausstellen muss.

Wenn dies erforderlich ist, können Sie ein Signaturzertifikat im Namen des Verschlüsselungsregistrierungswerts oder ein Verschlüsselungszertifikat im Signaturregistrierungswert konfigurieren, um die Nutzung Ihrer NDES-Infrastruktur zu maximieren. Dieser unintuitive Entwurf erfordert eine aktuelle und genaue Dokumentation der Konfiguration, um sicherzustellen, dass das SCEP-Zertifikatprofil für die Registrierung des richtigen Zertifikats konfiguriert ist, unabhängig vom tatsächlichen Zweck. Jede organization muss eine einfache Konfiguration und Verwaltung mit zusätzlicher NDES-Infrastruktur und dem damit verbundene Verwaltungsaufwand in Einklang bringen.

Melden Sie sich beim NDES-Server mit den entsprechenden Anmeldeinformationen des lokalen Administrators an.

1. Öffnen einer Eingabeaufforderung mit erhöhten Rechten

2. Entscheiden Sie anhand der obigen Tabelle, welchen Registrierungswertnamen Sie verwenden, um Windows Hello for Business Authentifizierungszertifikate für Microsoft Entra verbundene Geräte anzufordern.

3. Geben Sie den folgenden Befehl ein:

   reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v [registryValueName] /t REG_SZ /d [certificateTemplateName]
   

   dabei ist registryValueName einer der drei Wertnamen aus der obigen Tabelle, wobei certificateTemplateName der Name der Zertifikatvorlage ist, die Sie für Windows Hello for Business Microsoft Entra verbundene Geräte erstellt haben. Beispiel:

   reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v SignatureTemplate /t REG_SZ /d ENTRAJOINEDWHFBAuthentication
   

4. Geben Sie Y ein, wenn der Befehl die Berechtigung zum Überschreiben des vorhandenen Werts anfragt.

5. Schließen Sie die Eingabeaufforderung.

Wichtig

Verwenden Sie den Namen der Zertifikatvorlage. nicht der Anzeigename. Der Name der Zertifikatvorlage enthält keine Leerzeichen. Sie können die Zertifikatnamen auf der Registerkarte Allgemein der Eigenschaften der Zertifikatvorlage im zertifikatvorlagen-Verwaltungskonsole (certtmpl.msc) anzeigen.

Create eine Web-Anwendungsproxy für die interne NDES-URL.

Die Zertifikatregistrierung für Microsoft Entra verbundene Geräte erfolgt über das Internet. Daher muss extern auf die internen NDES-URLs zugegriffen werden können. Sie können dies einfach und sicher mit Microsoft Entra Anwendungsproxy tun. Microsoft Entra Anwendungsproxy bietet einmaliges Anmelden und sicheren Remotezugriff für lokal gehostete Webanwendungen, z. B. Registrierungsdienste für Netzwerkgeräte.

Idealerweise konfigurieren Sie Ihr Microsoft Intune SCEP-Zertifikatprofil so, dass mehrere externe NDES-URLs verwendet werden. Dies ermöglicht Microsoft Intune einen Roundrobin-Lastenausgleich der Zertifikatanforderungen an identisch konfigurierte NDES-Server (jeder NDES-Server kann ungefähr 300 gleichzeitige Anforderungen aufnehmen). Microsoft Intune sendet diese Anforderungen an Microsoft Entra Anwendungsproxys.

Microsoft Entra Anwendungsproxys werden von einfachen Anwendungsproxy Connector-Agents gewartet. Weitere Informationen finden Sie unter Was ist Anwendungsproxy? Diese Agents werden auf Ihren lokalen, in die Domäne eingebundenen Geräten installiert und stellen eine authentifizierte sichere ausgehende Verbindung mit Azure her, die darauf wartet, Anforderungen von Microsoft Entra Anwendungsproxys zu verarbeiten. Sie können Connectorgruppen in Microsoft Entra ID erstellen, um dienstspezifischen Anwendungen bestimmte Connectors zuzuweisen.

Connectorgruppe automatisch roundrobin, Lastenausgleich der Microsoft Entra Anwendungsproxyanforderungen an die Connectors innerhalb der zugewiesenen Connectorgruppe. Dadurch wird sichergestellt Windows Hello for Business Zertifikatanforderungen über mehrere dedizierte Microsoft Entra Anwendungsproxyconnectors verfügen, die ausschließlich zur Erfüllung von Registrierungsanforderungen verfügbar sind. Der Lastenausgleich für NDES-Server und Connectors sollte sicherstellen, dass Benutzer ihre Windows Hello for Business Zertifikate rechtzeitig registrieren.

Herunterladen und Installieren des Anwendungsproxy Connector-Agents

Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.

1. Melden Sie sich bei der Azure-Portal mit Zugriff an, der dem globalen Administrator entspricht
2. Wählen Sie Alle Dienste aus. Geben Sie Microsoft Entra ID ein, um die Liste der Dienste zu filtern. Wählen Sie unter DIENSTEdie Option Microsoft Entra ID
3. Wählen Sie unter VERWALTEN die Option Anwendungsproxy aus.
4. Wählen Sie Connectordienst herunterladen aus. Wählen Sie Bedingungen akzeptieren & Herunterladen aus. Speichern Sie die Datei (AADApplicationProxyConnectorInstaller.exe) an einem Speicherort, auf den andere Personen in der Domäne
5. Melden Sie sich auf dem Computer an, auf dem der Connector ausgeführt wird, mit Zugriff, der einem Domänenbenutzer entspricht.

   Wichtig

   Installieren Sie mindestens zwei Microsoft Entra ID-Proxyconnectors für jede NDES-Anwendungsproxy. Suchen Sie Microsoft Entra Anwendungsproxyconnectors im gesamten organization strategisch, um maximale Verfügbarkeit sicherzustellen. Denken Sie daran: Geräte, auf denen der Connector ausgeführt wird, müssen mit Azure und den lokalen NDES-Servern kommunizieren können.

6. AADApplicationProxyConnectorInstaller.exe starten
7. Lesen Sie die Lizenzbedingungen, und wählen Sie dann Ich stimme den Lizenzbedingungen zu. Wählen Sie Installieren
8. Anmelden bei Microsoft Azure mit Zugriff, der dem globalen Administrator
9. Wenn die Installation abgeschlossen ist. Lesen Sie die Informationen zu ausgehenden Proxyservern. Wählen Sie Schließen aus.
10. Wiederholen Sie die Schritte 5 bis 10 für jedes Gerät, auf dem der Microsoft Entra Anwendungsproxyconnector für Windows Hello for Business Zertifikatbereitstellungen ausgeführt wird.

Create einer Connectorgruppe

Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.

1. Melden Sie sich bei der Azure-Portal mit Zugriff an, der dem globalen Administrator entspricht

2. Wählen Sie Alle Dienste aus. Geben Sie Microsoft Entra ID ein, um die Liste der Dienste zu filtern. Wählen Sie unter DIENSTEdie Option Microsoft Entra ID

3. Wählen Sie unter VERWALTEN die Option Anwendungsproxy aus.

   

4. Wählen Sie Neue Connectorgruppe aus. Geben Sie unter Name den Namen NDES-WHFB-Connectors ein.

   

5. Wählen Sie in der Liste Connectors jeden Connector-Agent aus, der Windows Hello for Business Zertifikatregistrierungsanforderungen verarbeitet.

6. Wählen Sie Speichern.

Create des Azure-Anwendung-Proxys

Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.

1. Melden Sie sich bei der Azure-Portal mit Zugriff an, der dem globalen Administrator entspricht

2. Wählen Sie Alle Dienste aus. Geben Sie Microsoft Entra ID ein, um die Liste der Dienste zu filtern. Wählen Sie unter DIENSTEdie Option Microsoft Entra ID

3. Wählen Sie unter VERWALTEN die Option Anwendungsproxy aus.

4. Wählen Sie App konfigurieren aus.

5. Geben Sie unter Grundeinstellungen neben Nameden Namen WHFB NDES 01 ein. Wählen Sie einen Namen aus, der diese Microsoft Entra Anwendungsproxyeinstellung mit dem lokalen NDES-Server korreliert. Jeder NDES-Server muss über einen eigenen Microsoft Entra Anwendungsproxy verfügen, da zwei NDES-Server nicht dieselbe interne URL verwenden können.

6. Geben Sie neben Interne URL den internen, vollqualifizierten DNS-Namen des NDES-Servers ein, der diesem Microsoft Entra Anwendungsproxy zugeordnet ist. Beispiel: https://ndes.corp.mstepdemo.net. Sie müssen mit dem primären Hostnamen (AD-Computerkontoname) des NDES-Servers übereinstimmen und der URL https voranzustellen.

7. Wählen Sie unter Interne URLdie Option https:// aus der ersten Liste aus. Geben Sie im Textfeld neben https:// den Hostnamen ein, den Sie als externen Hostnamen für den Microsoft Entra Anwendungsproxy verwenden möchten. Wählen Sie in der Liste neben dem eingegebenen Hostnamen ein DNS-Suffix aus, das Sie extern für den Microsoft Entra Anwendungsproxy verwenden möchten. Es wird empfohlen, den Standardwert -[tenantName].msapproxy.net zu verwenden, wobei [tenantName] Ihr aktueller Microsoft Entra Mandantennamen (-mstephendemo.msappproxy.net) ist.

   

8. Wählen Sie passthrough aus der Liste Vorauthentifizierung aus.

9. Wählen Sie NDES-WHFB-Connectors aus der Liste der Connectorgruppen aus.

10. Wählen Sie unter Zusätzliche Einstellungendie Option Standard für Back-End-Anwendungstimeout aus. Wählen Sie im Abschnitt UrLs übersetzen in neben Headern die Option Ja und dann neben Anwendungstextdie Option Nein aus.

11. Wählen Sie Hinzufügen aus.

12. Melden Sie sich vom Azure-Portal ab.

    Wichtig

    Notieren Sie sich die internen und externen URLs. Sie benötigen diese Informationen, wenn Sie das NDES-Intune-Authentifizierungszertifikat registrieren.

Registrieren des NDES-Intune-Authentifizierungszertifikats

Dieser Task registriert ein Client- und Serverauthentifizierungszertifikat, das vom Intune Connector und dem NDES-Server verwendet wird.

Melden Sie sich beim NDES-Server mit dem Zugriff an, der lokalen Administratoren entspricht.

1. Starten des Zertifikat-Managers für den lokalen Computer (certlm.msc)

2. Erweitern des Knotens "Personal " im Navigationsbereich

3. Klicken Sie auf Privat. Wählen Sie Alle Aufgaben aus, und fordern Sie neues Zertifikat an.

4. Wählen Sie auf der Seite "Before You Begin" (Vorbereitung) die Option Weiter aus.

5. Wählen Sie auf der Seite Zertifikatregistrierungsrichtlinie auswählen die Option Weiter aus.

6. Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen NDES-Intune-Authentifizierung.

7. Wählen Sie Weitere Informationen erforderlich aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um den Link einstellungen zu konfigurieren .

   

8. Wählen Sie unter Antragstellernamedie Option Allgemeiner Name aus der Liste Typ. Geben Sie die interne URL ein, die in der vorherigen Aufgabe verwendet wurde (ohne die https://, z. B. ndes.corp.mstepdemo.net), und wählen Sie dann Hinzufügen aus.

9. Wählen Sie unter Alternativer Name die Option DNS aus der Liste Typ aus. Geben Sie die interne URL ein, die in der vorherigen Aufgabe verwendet wurde (ohne die https://, z . B. ndes.corp.mstepdemo.net). Wählen Sie Hinzufügen aus. Geben Sie die externe URL ein, die in der vorherigen Aufgabe verwendet wurde (ohne die https://, z . B. ndes-mstephendemo.msappproxy.net). Wählen Sie Hinzufügen aus. Wählen Sie OK aus, wenn Sie fertig sind.

10. Wählen Sie Registrieren aus.

11. Wiederholen Sie diese Schritte für alle NDES-Server, die zum Anfordern Windows Hello for Business Authentifizierungszertifikate für Microsoft Entra eingebundene Geräte verwendet werden.

Konfigurieren der Webserverrolle

Dieser Task konfiguriert die Webserverrolle auf dem NDES-Server für die Verwendung des Serverauthentifizierungszertifikats.

Melden Sie sich beim NDES-Server mit dem Zugriff an, der dem lokalen Administrator entspricht.

1. Starten sie den Internetinformationsdienste-Manager (IIS) über die Verwaltung.

2. Erweitern Sie den Knoten mit dem Namen des NDES-Servers. Erweitern Sie Websites, und wählen Sie Standardwebsite aus.

   

3. Wählen Sie unter Aktionendie Option Bindungen... aus. Wählen Sie Hinzufügen aus.

   

4. Wählen Sie unter Typdie Option https aus. Vergewissern Sie sich, dass der Wert für Port443 ist.

5. Wählen Sie das Zertifikat aus, das Sie zuvor in der Liste ssl-Zertifikate registriert haben. Wählen Sie OK aus.

   

6. Wählen Sie in der Liste Websitebindungendie Option http aus. Wählen Sie Entfernen aus.

7. Wählen Sie im Dialogfeld Websitebindungendie Option Schließen aus.

8. Schließen des Iis-Managers (Internetinformationsdienste)

Überprüfen der Konfiguration

Dieser Task bestätigt die TLS-Konfiguration für den NDES-Server.

Melden Sie sich beim NDES-Server mit dem Zugriff an, der dem lokalen Administrator entspricht.

Deaktivieren der erweiterten Sicherheitskonfiguration für Internet Explorer

1. Öffnen Sie den Server Manager. Wählen Sie im Navigationsbereich Local Server (Lokaler Server ) aus.
2. Wählen Sie im Abschnitt Eigenschaften neben IE Enhanced Security Configuration (Verstärkte Sicherheitskonfiguration für IE) die Option Ein aus.
3. Wählen Sie im Dialogfeld Internet Explorer erweiterte Sicherheitskonfiguration unter Administratorendie Option Aus aus. Wählen Sie OK aus.
4. Server-Manager schließen

Testen des NDES-Webservers

1. Internet Explorer öffnen

2. Geben Sie in der Navigationsleiste

   https://[fqdnHostName]/certsrv/mscep/mscep.dll
   

   Dabei ist [fqdnHostName] der vollqualifizierte interne DNS-Hostname des NDES-Servers.

Eine Webseite ähnlich der folgenden sollte in Ihrem Webbrowser angezeigt werden. Wenn keine ähnliche Seite angezeigt wird oder die Meldung 503 Service nicht verfügbar angezeigt wird, stellen Sie sicher, dass das NDES-Dienstkonto über die richtigen Benutzerrechte verfügt. Sie können auch das Anwendungsereignisprotokoll auf Ereignisse mit der NetworkDeviceEnrollmentService-Quelle überprüfen.

Vergewissern Sie sich, dass die Website das Serverauthentifizierungszertifikat verwendet.

Konfigurieren der Registrierungsdienste für Netzwerkgeräte für die Verwendung mit Microsoft Intune

Sie haben die Registrierungsdienste für Netzwerkgeräte erfolgreich konfiguriert. Sie müssen nun die Konfiguration so ändern, dass sie mit dem Intune Certificate Connector funktioniert. In dieser Aufgabe aktivieren Sie den NDES-Server und http.sys für die Verarbeitung langer URLs.

• Konfigurieren von NDES zur Unterstützung langer URLs

Konfigurieren von NDES und HTTP zur Unterstützung langer URLs

Melden Sie sich beim NDES-Server mit dem Zugriff an, der dem lokalen Administrator entspricht.

Konfigurieren der Standardwebsite

1. Starten sie den Internetinformationsdienste-Manager (IIS) über die Verwaltung.

2. Erweitern Sie den Knoten mit dem Namen des NDES-Servers. Erweitern Sie Websites, und wählen Sie Standardwebsite aus.

3. Doppelklicken Sie im Inhaltsbereich auf Anforderungsfilterung. Wählen Sie im Aktionsbereich Featureeinstellungen bearbeiten... aus.

   

4. Wählen Sie Nicht aufgelistete Dateinamenerweiterungen zulassen aus.

5. Wählen Sie Nicht aufgelistete Verben zulassen aus.

6. Wählen Sie Hochbitzeichen zulassen aus.

7. Geben Sie 30000000 inMaximal zulässige Inhaltslänge (Bytes) ein.

8. Geben Sie 65534 unter Maximale URL-Länge (Bytes) ein.

9. Geben Sie 65534 unter Maximale Abfragezeichenfolge (Bytes) ein.

10. Wählen Sie OK aus. Schließen des Iis-Managers (Internetinformationsdienste)

Konfigurieren von Parametern für HTTP.SYS

1. Öffnen einer Eingabeaufforderung mit erhöhten Rechten

2. Führen Sie die folgenden Befehle aus:

   reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxFieldLength /t REG_DWORD /d 65534
   reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxRequestBytes /t REG_DWORD /d 65534
   

3. Neustarten des NDES-Servers

Herunterladen, Installieren und Konfigurieren des Intune Certificate Connectors

Mit der Anwendung Intune Certificate Connector können Microsoft Intune Zertifikate mithilfe Ihrer lokalen PKI für Benutzer auf Geräten registrieren, die von Microsoft Intune verwaltet werden.

Informationen zum Herunterladen, Installieren und Konfigurieren des Intune Certificate Connector finden Sie unter Installieren des Zertifikatconnectors für Microsoft Intune.

Konfigurieren des NDES-Connectors für die Zertifikatsperrung (optional)

Optional (nicht erforderlich) können Sie den Intune Connector für die Zertifikatsperrung konfigurieren, wenn ein Gerät zurückgesetzt, die Registrierung aufgehoben wird oder wenn das Zertifikatprofil außerhalb des Bereichs für den Zielbenutzer liegt (Benutzer werden entfernt, gelöscht oder das Profil gelöscht). Sie müssen während der Connectorkonfiguration die Option Zertifikatsperrung auswählen, um die automatische Zertifikatsperrung für Zertifikate zu aktivieren, die von einer Microsoft Active Directory-Zertifizierungsstelle ausgestellt wurden. Darüber hinaus müssen Sie das NDES-Dienstkonto für die Sperrung aktivieren.

1. Melden Sie sich bei der Zertifizierungsstelle an, die vom NDES-Connector verwendet wird, mit dem Zugriff, der dem Domänenadministrator entspricht.

2. Starten der zertifizierungsstellen-Verwaltungskonsole

3. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, und wählen Sie Eigenschaften aus.

4. Wählen Sie die Registerkarte Sicherheit und dann Hinzufügen aus. Geben Sie im Feld Geben Sie die zu markierenden Objektnamen ein den Namen NDESSvc ein (oder den Namen, den Sie dem NDES-Dienstkonto zugewiesen haben). Wählen Sie Namen überprüfen und dann OK aus. Wählen Sie in der Liste Gruppen- oder Benutzernamen das NDES-Dienstkonto aus. Wählen Sie Zulassen für die Berechtigung Zertifikate ausstellen und verwalten aus. Wählen Sie OK aus.

   

5. Schließen der Zertifizierungsstelle

Create und Zuweisen eines SCEP-Zertifikatprofils (Simple Certificate Enrollment Protocol)

Create einer IN ENTRA EINGEBUNDENen WHFB-Zertifikatbenutzergruppe

Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.

1. Melden Sie sich bei der Azure-Portal mit Zugriff an, der dem globalen Administrator entspricht

2. Wählen Sie Alle Dienste aus. Geben Sie Microsoft Entra ID ein, um die Liste der Dienste zu filtern. Wählen Sie unter DIENSTEdie Option Microsoft Entra ID

3. Wählen Sie Gruppen aus. Wählen Sie Neue Gruppe aus.

4. Wählen Sie in der Liste Gruppentyp die Option Sicherheit aus.

5. Geben Sie unter Gruppenname den Namen der Gruppe ein. Beispiel: ENTRA JOINED WHFB-Zertifikatbenutzer

6. Geben Sie ggf. eine Gruppenbeschreibung an.

7. Wählen Sie in der Liste Mitgliedschaftstypdie Option Zugewiesen aus.

   

8. Wählen Sie Mitglieder aus. Verwenden Sie den Bereich Mitglieder auswählen , um dieser Gruppe Mitglieder hinzuzufügen. Wenn Sie fertig sind, wählen Sie Auswählen aus.

9. Wählen Sie Erstellen aus.

Create eines SCEP-Zertifikatprofils

Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wählen Sie Geräte und dann Konfigurationsprofile aus.
3. Wählen Sie Create Profil aus.
4. Wählen Sie in der Liste PlattformWindows 10 und höher aus.
5. Wählen Sie in der Liste Profil die Option SCEP-Zertifikat und dann Create
6. Der SCEP-Zertifikat-Assistent sollte geöffnet werden. Geben Sie neben Name den NamenWHFB-Zertifikatregistrierung ein.
7. Geben Sie neben Beschreibung eine Beschreibung ein, die für Ihre Umgebung sinnvoll ist, und wählen Sie dann Weiter aus.
8. Auswählen von Benutzer als Zertifikattyp
9. Konfigurieren Sie die Gültigkeitsdauer des Zertifikats entsprechend Ihrer organization.

   Wichtig

   Denken Sie daran, dass Sie Ihre Zertifizierungsstelle so konfigurieren müssen, dass Microsoft Intune die Zertifikatgültigkeit konfigurieren kann.

10. Wählen Sie Für Windows Hello for Business registrieren aus. Andernfalls tritt ein Fehler (Windows 10 und höher) in der Liste des Schlüsselspeicheranbieters (KSP) auf.
11. Geben Sie neben Format des AntragstellernamensCN={{OnPrem_Distinguished_Name}} ein, um den lokalen Distinguished-Namen zum Antragsteller des ausgestellten Zertifikats zu machen.

    Hinweis

    Wenn der Distinguished Name Sonderzeichen wie ein Pluszeichen ("+"), Komma (","), Semikolon (";") oder Gleichheitszeichen ("=") enthält, muss der Name in Klammern in Anführungszeichen eingeschlossen werden: CN="{{OnPrem_Distinguished_Name}}".

    Wenn der Distinguished Name mehr als 64 Zeichen lang ist, muss die Erzwingung der Namenslänge für die Zertifizierungsstelle deaktiviert werden.

12. Geben Sie den Benutzerprinzipalnamen (User Principal Name, UPN) als Alternativen Antragstellernamen-Parameter an. Legen Sie den Wert auf {{UserPrincipalName}} fest.
13. Im Task "Konfigurieren von Zertifikatvorlagen für NDES" erfahren Sie, wie Sie die ZERTIFIKATvorlage ENTRA JOINED WHFB Authentication in der Registrierung konfiguriert haben. Wählen Sie die entsprechende Kombination von Schlüsselverwendungen aus der Liste Schlüsselverwendungen aus, die der konfigurierten NDES-Vorlage in der Registrierung zugeordnet sind. In diesem Beispiel wurde dem Registrierungswertnamen SignatureTemplate die Zertifikatvorlage ENTRA JOINED WHFB Authentication hinzugefügt. Die Schlüsselverwendung , die diesem Registrierungswertnamen zugeordnet ist , ist Digitale Signatur.
14. Auswählen eines zuvor konfigurierten vertrauenswürdigen Zertifikatprofils , das dem Stammzertifikat der ausstellenden Zertifizierungsstelle als Stammzertifikat für das Profil entspricht
15. Geben Sie unter Erweiterte Schlüsselverwendung unter Name den NamenSmartcard-Anmeldung ein. Geben Sie 1.3.6.1.4.1.311.20.2.2 unter Objektbezeichner ein. Wählen Sie Hinzufügen aus.
16. Geben Sie einen Prozentsatz (ohne Prozentzeichen) neben Erneuerungsschwellenwert ein, um zu bestimmen, wann das Zertifikat erneuert werden soll. Der empfohlene Wert ist 20
17. Geben Sie unter SCEP-Server-URLs den vollqualifizierten externen Namen des Microsoft Entra Anwendungsproxys ein, den Sie konfiguriert haben. Fügen Sie an den Namen /certsrv/mscep/mscep.dllan. Beispiel: https://ndes-mtephendemo.msappproxy.net/certsrv/mscep/mscep.dll. Wählen Sie Hinzufügen aus. Wiederholen Sie diesen Schritt für jeden zusätzlichen NDES-Microsoft Entra-Anwendungsproxy, den Sie für die Ausgabe von Windows Hello for Business Zertifikaten konfiguriert haben. Microsoft Intune Roundrobin-Lastenausgleichsanforderungen zwischen den URLs, die im SCEP-Zertifikatprofil aufgeführt sind
18. Wählen Sie Weiter aus.
19. Wählen Sie mehrmals Weiter aus, um die Schritte Bereichstags, Zuweisungen und Anwendbarkeitsregeln des Assistenten zu überspringen, und wählen Sie Create

Zuweisen einer Gruppe zum Zertifikatprofil für die WHFB-Zertifikatregistrierung

Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.

1. Anmelden beim Microsoft Intune Admin Center
2. Wählen Sie Geräte und dann Konfigurationsprofile aus.
3. Auswählen der WHFB-Zertifikatregistrierung
4. Wählen Sie Eigenschaften und dann neben dem Abschnitt Zuweisungen die Option Bearbeiten aus.
5. Wählen Sie im Bereich Zuweisungen in der Liste Zuweisen zu die Option Ausgewählte Gruppen aus. Wählen Sie Gruppen auswählen aus, die eingeschlossen werden sollen.
6. Wählen Sie die Gruppe ENTRA JOINED WHFB Certificate Users aus. Wählen Sie Auswählen aus.
7. Wählen Sie Überprüfen + Speichern und dann Speichern aus.

Sie haben die Konfiguration erfolgreich abgeschlossen. Fügen Sie Benutzer, die ein Windows Hello for Business-Authentifizierungszertifikat registrieren müssen, zur Gruppe ENTRA JOINED WHFB-Zertifikatbenutzer hinzu. Diese Gruppe fordert den Benutzer in Kombination mit der Geräteregistrierung Windows Hello for Business Konfiguration auf, sich für Windows Hello for Business zu registrieren und ein Zertifikat zu registrieren, das für die Authentifizierung bei lokalen Ressourcen verwendet werden kann.

Hinweis

Der Passport for Work-Konfigurationsdienstanbieter (CSP), der zum Verwalten Windows Hello for Business mit Mobile Geräteverwaltung (MDM) verwendet wird, enthält eine Richtlinie namens UseCertificateForOnPremAuth. Diese Richtlinie ist nicht erforderlich, wenn Zertifikate für Windows Hello for Business Benutzer gemäß den in diesem Dokument beschriebenen Anweisungen bereitgestellt werden, und sollte nicht konfiguriert werden. Geräte, die mit MDM verwaltet werden, bei denen UseCertificateForOnPremAuth aktiviert ist, schlagen eine Voraussetzungsprüfung für Windows Hello for Business Bereitstellung fehl. Dieser Fehler hindert Benutzer daran, Windows Hello for Business einzurichten, wenn sie es noch nicht konfiguriert haben.

Zusammenfassung

• Anforderungen
• Vorbereiten Microsoft Entra Connect
• Vorbereiten des NDES-Dienstkontos (Network Device Enrollment Services)
• Vorbereiten der Active Directory-Zertifizierungsstelle
• Installieren und Konfigurieren der NDES-Rolle
• Konfigurieren der Registrierungsdienste für Netzwerkgeräte für die Verwendung mit Microsoft Intune
• Herunterladen, Installieren und Konfigurieren des Intune Certificate Connectors
• Create und Zuweisen eines einfachen Zertifikatregistrierungsprotokolls (SCEP Certificate Profile)