Bereitstellungshandbuch für hybride Zertifikatvertrauensstellungen

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

In diesem Artikel werden Windows Hello for Business Funktionen oder Szenarien beschrieben, die für Folgendes gelten:

• Bereitstellungstyp:Hybrid
• Vertrauenstyp:.
• Jointyp: Microsoft Entra beitreten, Microsoft Entra Hybrideinbindung

---

Wichtig

Windows Hello for Business Cloud-Kerberos-Vertrauensstellung ist das empfohlene Bereitstellungsmodell im Vergleich zum Schlüsselvertrauensmodell. Es ist auch das empfohlene Bereitstellungsmodell, wenn Sie keine Zertifikate für die Endbenutzer bereitstellen müssen. Weitere Informationen finden Sie unter Cloudbereitstellung mit Kerberos-Vertrauensstellung.

Anforderungen

Bevor Sie mit der Bereitstellung beginnen, lesen Sie die Im Artikel Planen einer Windows Hello for Business Bereitstellung beschriebenen Anforderungen.

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:

• Public Key-Infrastruktur
• Authentication
• Gerätekonfiguration
• Lizenzierung für Clouddienste
• Vorbereiten von Benutzern für die Verwendung von Windows Hello

Bereitstellungsschritte

Sobald die Voraussetzungen erfüllt sind, besteht die Bereitstellung von Windows Hello for Business aus den folgenden Schritten:

• Konfigurieren und Überprüfen der Public Key-Infrastruktur
• Konfigurieren von Active Directory-Verbunddienste (AD FS)
• Konfigurieren und Registrieren bei Windows Hello for Business
• (optional) Konfigurieren des einmaligen Anmeldens für Microsoft Entra verbundene Geräte

Verbundauthentifizierung bei Microsoft Entra ID

Windows Hello for Business hybride Zertifikatvertrauensstellung erfordert, dass Active Directory mit Microsoft Entra ID über AD FS verbunden ist. Außerdem müssen Sie die AD FS-Farm so konfigurieren, dass sie bei Azure registrierte Geräte unterstützt.

Wenn Sie noch nicht mit AD FS und Verbunddiensten sind:

• Überprüfen Der wichtigsten AD FS-Konzepte vor der Bereitstellung der AD FS-Farm
• Lesen Sie den AD FS-Entwurfsleitfaden zum Entwerfen und Planen Ihres Verbunddiensts.

Sobald Sie Ihr AD FS-Design vorbereitet haben, überprüfen Sie die Bereitstellung einer Verbundserverfarm , um AD FS in Ihrer Umgebung zu konfigurieren.

Die für Windows Hello for Business verwendete AD FS-Farm muss Windows Server 2016 sein und mindestens Update KB4088889 (14393.2155) umfassen.

Geräteregistrierung und Geräterückschreiben

Windows-Geräte müssen in Microsoft Entra ID registriert werden. Geräte können in Microsoft Entra ID entweder mit Microsoft Entra join oder Microsoft Entra Hybrid Join registriert werden.
Informationen zu Microsoft Entra hybrid eingebundenen Geräten finden Sie in den Anleitungen auf der Seite planen der Implementierung Ihrer Microsoft Entra Hybrid Join.

Weitere Informationen zur Verwendung von Microsoft Entra Connect Sync zum Konfigurieren Microsoft Entra Geräteregistrierung finden Sie im Leitfaden Konfigurieren Microsoft Entra Hybrideinbindung für Verbunddomänen.
Eine manuelle Konfiguration Ihrer AD FS-Farm zur Unterstützung der Geräteregistrierung finden Sie im Leitfaden Konfigurieren von AD FS für Microsoft Entra Geräteregistrierung.

Hybridbereitstellungen mit Zertifikatvertrauensstellung erfordern das Feature zum Zurückschreiben von Geräten . Die Authentifizierung bei AD FS erfordert sowohl den Benutzer als auch das Gerät, um sich zu authentifizieren. In der Regel werden die Benutzer, aber keine Geräte synchronisiert. Dadurch wird verhindert, dass AD FS das Gerät authentifiziert und zu fehlern bei Windows Hello for Business Zertifikatregistrierung führt. Aus diesem Grund ist für Windows Hello for Business Bereitstellungen ein Geräterückschreiben erforderlich.

Hinweis

Windows Hello for Business ist zwischen einem Benutzer und einem Gerät gebunden. Sowohl der Benutzer als auch das Gerät müssen zwischen Microsoft Entra ID und Active Directory synchronisiert werden. Das Zurückschreiben des Geräts wird verwendet, um das msDS-KeyCredentialLink Attribut für das Computerobjekt zu aktualisieren.

Wenn Sie AD FS manuell konfiguriert haben oder Microsoft Entra Connect Sync mit benutzerdefinierten Einstellungen ausgeführt haben, müssen Sie sicherstellen, dass das Zurückschreiben des Geräts und die Geräteauthentifizierung in Ihrer AD FS-Farm konfiguriert sind. Weitere Informationen finden Sie unter Konfigurieren des Geräterückschreibens und der Geräteauthentifizierung.

Public Key-Infrastruktur

Eine Unternehmens-PKI (Public Key-Infrastruktur) ist als Vertrauensanker für die Authentifizierung erforderlich. Domänencontroller benötigen ein Zertifikat, damit Windows-Clients ihnen vertrauen können.
Die Unternehmens-PKI und eine Zertifikatregistrierungsstelle (Certificate Registration Authority, CRA) müssen Authentifizierungszertifikate für Benutzer ausstellen. Die Hybridbereitstellung mit Zertifikatvertrauensstellung verwendet AD FS als CRA.

Während Windows Hello for Business Bereitstellung erhalten Benutzer über die CRA ein Anmeldezertifikat.

Nächste Schritte

Sobald die Voraussetzungen erfüllt sind, umfasst die Bereitstellung von Windows Hello for Business mit einem hybriden Schlüsselvertrauensmodell die folgenden Schritte:

• Konfigurieren und Überprüfen der PKI
• Konfigurieren von AD FS
• Konfigurieren der Einstellungen für Windows Hello for Business
• Bereitstellen von Windows Hello for Business auf Windows-Clients
• Konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) für Microsoft Entra verbundene Geräte

Als Nächstes: Konfigurieren und Überprüfen der Public Key-Infrastruktur >