Neuinstallation von Windows Hello for Business mit zertifikatbasiertem Vertrauensmodell

Betrifft:

  • Windows10, Version 1703 oder höher
  • Hybridbereitstellung
  • Zertifikatbasiertes Vertrauen

Für Windows Hello for Business müssen verteilte Technologien konfiguriert werden, die möglicherweise nicht in Ihrer aktuellen Infrastruktur vorhanden sind. Hybride Zertifikat Vertrauensstellungen von Windows Hello for Business Vertrauen auf diese Technologien

Neuinstallationen sind erheblich komplizierter als vorhandene Implementierungen, da Sie die gesamte Infrastruktur erstellen. Microsoft empfiehlt, dass Sie den neuen Installations Basisplan überprüfen, um zu überprüfen, ob Ihre vorhandene Umgebung über alle erforderlichen Konfigurationen zur Unterstützung ihrer Hybrid Zertifikats Vertrauensstellungs-Windows Hello for Business-Bereitstellung verfügt. Wenn Ihre Umgebung diese Anforderungen erfüllt, lesen Sie den Abschnitt Konfigurieren der Azure-Geräteregistrierung, um die Bereitstellung von Windows Hello for Business durch das Konfigurieren der Azure-Geräteregistrierung vorzubereiten.

Der Basisplan für die Neuinstallation beginnt mit einer grundlegenden Bereitstellung von Active Directory und einer Unternehmens-PKI. Dieses Dokument geht davon aus, dass Sie Active Directory mit Windows Server2008 R2 oder neueren Domänencontrollern bereitgestellt haben.

Active Directory

Produktionsumgebungen sollten den bewährten Methoden für Active Directory in Bezug auf die Anzahl und Platzierung von Domänencontrollern entsprechen, um sicherzustellen, dass innerhalb der Organisation ausreichende Authentifizierungsmöglichkeiten verfügbar sind.

Für Testumgebungen und isolierte Machbarkeitsstudien kann die Anzahl der Domänencontroller möglicherweise beschränkt werden. Diese Umgebungen dienen zum Experimentieren und Lernen. Das Verringern der Domänencontrolleranzahl kann manche Problembehandlung ersparen, z.B. eine Active Directory-Replikation, die nicht dem Aktivitätsziel dient.

Zusammenfassung

  • Mindestens Windows Server 2008R2-Domänencontroller
  • Mindestens Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene
  • Netzwerk, Namensauflösung und Active Directory-Replikation

Public Key-Infrastruktur (PKI)

Windows Hello for Business muss unabhängig vom Bereitstellung- oder Vertrauensmodell über eine Public Key-Infrastruktur verfügen. Alle Vertrauensmodelle hängen davon ab, dass die Domänencontroller über ein Zertifikat verfügen. Das Zertifikat dient als Vertrauensanker für Clients, um sicherzustellen, dass sie nicht mit einem nicht autorisierten Domänencontroller kommunizieren. Das Zertifikatvertrauensmodell erweitert die Ausstellung von Zertifikaten auf Clientcomputer. Während der Windows Hello for Business-Bereitstellung erhält der Benutzer ein Anmeldezertifikat.

In dieser Anleitung wird davon ausgegangen, dass die meisten Unternehmen über eine Public Key-Infrastruktur verfügen. Windows Hello for Business hängt von einer Windows Public Key-Infrastruktur im Unternehmen ab, in der die Active Directory-Zertifikatdienstrolle über Windows Server2012 oder höher ausgeführt wird.

Testumgebungsbasierte Public Key-Infrastruktur

Die folgenden Anweisungen können verwendet werden, um eine einfache Public Key-Infrastruktur bereitzustellen, die für eine Testumgebung geeignet ist.

Melden Sie sich den Anmeldeinformationen eines Unternehmensadministrators bei dem Windows Server2012-Server oder höher an, auf dem die Zertifizierungsstelle installiert werden soll.

Hinweis

Installieren Sie eine Zertifizierungsstelle niemals auf einem Domänencontroller in einer Produktionsumgebung.

  1. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten,
  2. Verwenden Sie den folgenden Befehl, um die Active Directory-Zertifikatdiensterolle zu installieren.

    Add-WindowsFeature Adcs-Cert-Authority -IncludeManageTools
    
  3. Verwenden Sie den folgenden Befehl, um die Zertifizierungsstelle mit einer einfachen Zertifizierungsstellenkonfiguration zu konfigurieren.

    Install-AdcsCertificateAuthority
    

Konfigurieren einer Public Key-Infrastruktur für die Produktion

Wenn Sie über eine vorhandene Public Key-Infrastruktur verfügen, finden Sie Informationen für einen ordnungsgemäßen Entwurf Ihrer Infrastruktur im Leitfaden zu Zertifizierungsstellen von Microsoft TechNet. Anweisungen zur Konfiguration Ihrer Public Key-Infrastruktur mithilfe der Informationen aus Ihrer Entwurfssitzung finden Sie dann im Testumgebungsanleitung: Bereitstellen einer ADCS-PKI-Hierarchie mit zwei Ebenen.

Zusammenfassung

  • Minimale Zertifizierungsstelle für Windows Server 2012.
  • Unternehmenszertifizierungsstelle
  • Public Key-Infrastruktur.

Azure Active Directory

Sie haben das Active Directory vorbereitet. Die Hybridbereitstellung von Windows Hello for Business erfordert Azure Active Directory zum Hosten Ihrer cloudbasierten Identitäten.

Der nächste Schrittder Bereitstellung ist Erstellen eines Azure AD-Mandanten, mit dem Sie einen Azure-Mandanten für Ihre Organisation bereitstellen.

Zusammenfassung

  • Machen Sie sich mit den Methoden zum Einrichten eines Azure Active Directory-Mandanten vertraut.
  • Erstellen Sie einen Azure Active Directory-Mandanten.
  • Kaufen Sie bei Bedarf die entsprechenden Abonnements oder Lizenzen für Azure Active Directory.

Mehrstufige Authentifizierungsdienste

Windows Hello for Business verwendet die mehrstufige Authentifizierung während der Bereitstellung und während der Benutzer initiierten Pin-Zurücksetzungs Szenarien, beispielsweise wenn ein Benutzer seine PIN vergisst. Es gibt zwei bevorzugte mehrstufige Authentifizierungs Konfigurationen mit hybridbereitstellungen – Azure MFA und AD FS mithilfe von Azure MFA

Machen Sie sich im Thema Was ist Azure Multi-Factor Authentication? mit Zweck und Funktionsweise dieser Methoden vertraut.

Azure Multi-Factor Authentication (MFA)-Cloud

Wichtig

Wenn Ihre Benutzer über Lizenzen verfügen, die Azure Multi-Factor Authentication einschließen, müssen Sie nichts unternehmen, um Azure MFA zu aktivieren. Sie können die Überprüfung in zwei Schritten pro Benutzer einführen. Folgende Lizenzen ermöglichen Azure MFA:

  • Azure Multi-Factor Authentication
  • Azure Active Directory Premium
  • Enterprise Mobility + Security

Wenn Sie über eine der genannten Lizenzen oder über ein Abonnement verfügen, können Sie den Abschnitt über den Azure MFA-Adapter überspringen.

Azure MFA-Anbieter

Falls Ihre Organisation Azure MFA mit einem nutzungsabhängigen Modell (keine Lizenzen) verwendet, befolgen Sie die Anleitung im Abschnitt Erstellen eines Anbieters für die mehrstufige Authentifizierung, um einen Azure MFA-Authentifizierungsanbieter zu erstellen und diesen Ihrem Azure-Mandanten zuzuordnen.

Konfigurieren der Azure MFA-Einstellungen

Nachdem Sie Ihren Azure MFA-Authentifizierungsanbieter erstellt und einem Azure-Mandanten zugeordnet haben, müssen Sie die Multi-Factor Authentication-Einstellungen konfigurieren. Im Abschnitt Konfigurieren von Azure Multi-Factor Authentication-Einstellungen wird beschrieben, wie die Einstellungen zu konfigurieren sind.

Azure MFA-Benutzerzustände

Nach dem Konfigurieren der Azure MFA-Einstellungen sollten Sie sich im Abschnitt Benutzerzustände darüber informieren, welche Bedeutung ein Benutzerzustand hat. Benutzerzustände bestimmen, wie Sie Azure MFA für Ihre Benutzer aktivieren.

Azure MFA über ADFS 2016

Alternativ können Sie Windows Server2016 Active Directory-Verbunddienste (AD FS) konfigurieren, um zusätzliche Multi-Factor Authentication bereitzustellen. Lesen Sie dazu den Abschnitt Konfigurieren von AD FS 2016 und Azure MFA.

Zusammenfassung

  • Machen Sie sich in den entsprechenden Abschnitten mit Azure Multi-Factor Authentication vertraut.
  • Überprüfen Sie Ihr Azure Active Directory-Abonnement bezüglich Azure Multi-Factor Authentication.
  • Erstellen Sie, falls erforderlich, einen Azure Multi-Factor-Authentifizierungsanbieter.
  • Konfigurieren Sie die Features und Einstellungen für Azure-mehrstufige Authentifizierung.
  • Machen Sie sich mit den verschiedenen Benutzerzuständen und deren Auswirkungen auf Azure Multi-Factor Authentication vertraut.
  • Ziehen Sie in Betracht, Azure Multi-Factor Authentication oder eine mehrstufige Authentifizierung eines Drittanbieters mit Windows Server2016 Active Directory-Verbunddienste (AD FS) zu verwenden, falls erforderlich.




Verwenden der Anleitung für die Hybridbereitstellung von Windows Hello for Business mit zertifikatbasiertem Vertrauensmodell

  1. Übersicht
  2. Voraussetzungen
  3. Basisplan für die Neuinstallation (Sie sind hier)
  4. Konfigurieren der Azure-Geräteregistrierung
  5. Konfigurieren der Einstellungen für Windows Hello for Business
  6. Anmelden und Bereitstellen