Konfigurieren der Geräteregistrierung für Hybridbereitstellungen von Windows Hello for Business

Betrifft:

  • Windows10, Version 1703 oder höher
  • Hybridbereitstellung
  • Zertifikatbasiertes Vertrauen

Ihre Umgebung ist eine Föderation, und Sie können die Geräteregistrierung für Ihre Hybridumgebung konfigurieren. Für eine Hybridbereitstellung von Windows Hello for Business-Bereitstellung sind Geräteregistrierung und Geräterückschreibung erforderlich, damit eine korrekte Geräteauthentifizierung möglich ist.

Wichtig

Wenn Ihre Umgebung nicht verbunden ist, lesen Sie den Abschnitt Basisplan für Neuinstallation dieses Dokuments, um zu erfahren, wie Ihre Umgebung für die Bereitstellung von Windows Hello for Business verbunden werden muss.

Verwenden Sie diesen dreistufigen Ansatz zum Konfigurieren der Geräteregistrierung.

  1. Konfigurieren von Geräten für die Registrierung in Azure
  2. Synchronisieren von Geräten mit dem lokalen Active Directory
  3. Konfigurieren von AD FS zur Verwendung von Cloudgeräten

Hinweis

Bevor Sie fortfahren, sollten Sie sich mit Geräte Registrierungs Konzepten vertraut machen, beispielsweise:

  • Für Azure AD registrierte Geräte
  • In Azure AD eingebundene Geräte
  • In Azure AD eingebundene Hybridgeräte

Informationen dazu finden Sie unter Einführung in die Geräteverwaltung in Azure Active Directory.

Konfigurieren von Azure für die Geräteregistrierung

Beginnen Sie mit der Geräteregistrierung für Hybrid Windows Hello for Business, indem Sie die Geräteregistrierungsfunktionen in Azure AD konfigurieren.

Führen Sie dazu die Schritte in Konfigurieren der Geräteinstellungen unter Einrichten von Azure AD Join in Ihrer Organisation aus.

Konfigurieren von Active Directory zur Unterstützung der Azure-Gerätesynchronisierung

Azure Active Directory ist nun für die Geräteregistrierung konfiguriert. Als nächsten Schritt müssen Sie das lokale Active Directory zum Synchronisieren der in Azure AD eingebundenen Hybridgeräte konfigurieren. Upgrade für das Active Directory-Schema

Upgrade von Active Directory auf das Windows Server 2016-Schema

Um Windows Hello for Business mit in Azure AD eingebundenen Hybridgeräten verwenden zu können, müssen Sie zunächst für Ihr Active Directory-Schema ein Upgrade auf Windows Server2016 vornehmen.

Wichtig

Wenn Sie bereits über einen Windows Server2016-Domänencontroller in der Gesamtstruktur verfügen, können Sie Upgrade von Active Directory auf das Windows Server 2016-Schema (dieser Abschnitt) überspringen.

Identifizieren des Schemarollen-Domänencontrollers

Um den Inhaber der Schemamasterrolle zu finden, öffnen Sie eine Eingabeaufforderung, und geben Sie Folgendes ein:

Netdom query fsmo | findstr -i schema

Netdom example output

Der Befehl sollte den Namen des Domänencontrollers zurückgeben, wo adprep.exe erforderlich ist. Aktualisieren Sie das Schema lokal auf dem Domänencontroller, auf dem die Schemamasterrolle gehostet wird.

Aktualisieren des Schemas

Windows Hello for Business verwendet asymmetrische Schlüssel als Benutzeranmeldeinformationen (statt Kennwörtern). Bei der Registrierung wird der öffentliche Schlüssel in einem Attribut für das Benutzerobjekt in Active Directory registriert. Durch die Aktualisierung des Schemas wird Active Directory dieses neue Attribut hinzugefügt.

Bei der manuellen Aktualisierung von Active Directory wird das Befehlszeilenprogramm adprep.exe verwendet. Es befindet sich unter <Laufwerk>:\support\adprep auf der Windows Server2016-DVD oder in der ISO-Datei. Vor dem Ausführen von adprep.exe müssen Sie den Domänencontroller ermitteln, auf dem die Schemamasterrolle gehostet wird.

Melden Sie sich bei dem Domänencontroller an, der die operative Rolle des Schemamasters mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators hostet.

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
  2. Geben Sie cd /d x:\support\adprep ein, wobei x der Laufwerkbuchstaben der DVD oder gemounteten ISO ist.
  3. Geben Sie zum Aktualisieren des Schemas adprep /forestprep ein.
  4. Lesen Sie die Adprep-Warnung. Geben Sie den Buchstaben C* ein, und drücken Sie die EINGABETASTE, um das Schema zu aktualisieren.
  5. Schließen Sie die Eingabeaufforderung, und melden Sie sich ab.

Hinweis

Wenn Sie Azure AD Connect vor dem Upgrade des Schemas installiert haben, müssen Sie die Azure AD Connect-Installation erneut ausführen und das lokale AD-Schema erneuern, um sicherzustellen, dass die Synchronisierungsregel für msDS-KeyCredentialLink konfiguriert ist.

Einrichten der Active Directory-Verbunddienste (AD FS)

Wenn Sie mit AD FS und den Verbunddiensten noch nicht vertraut sind, sollten Sie Grundlegendes zu wichtigen AD FS-Konzepten lesen, bevor Sie mit dem Entwerfen und Bereitstellen Ihrer Verbunddienste beginnen. Planen Sie einen Verbunddienst mithilfe des AD FS-Entwurfshandbuchs.

Nachdem Ihr AD FS-Entwurf fertig ist, konfigurieren Sie AD FS in Ihrer Umgebung anhand des Artikels Bereitstellen einer Federation Server-Farm.

Wichtig

Überspringen Sie während der AD FS-Bereitstellung die Verfahren Konfigurieren eines Verbundservers mit Device Registration Service und Konfigurieren von Unternehmens-DNS für den Verbunddienst und DRS.

Die für Windows Hello for Business verwendete AD FS-Farm muss Windows Server2016 sein und mindestens Update KB4088889 (14393.2155) umfassen. Wenn die AD FS-Farm nicht die AD FS-Rolle mit Updates von Windows Server2016 ausführt, lesen Sie Upgrade auf AD FS in Windows Server2016

ADFS-Webproxy

Verbundserverproxys sind Computer, auf denen AD FS-Software ausgeführt wird und die manuell für die Proxyrolle konfiguriert wurden. Sie können die Verbundserverproxys in Ihrer Organisation verwenden, um Vermittlungsdienste zwischen einem Internetclient und einem Verbundserver bereitzustellen, der in Ihrem Unternehmensnetzwerk hinter einer Firewall liegt. Verwenden Sie die Checkliste Einrichten eines Verbundproxys zum Konfigurieren von AD FS-Proxyservern in Ihrer Umgebung.

Bereitstellen von Azure AD Connect

Als nächstes müssen Sie das lokale Active Directory mit Azure Active Directory synchronisieren. Dazu informieren Sie sich zuerst über das Integrieren von lokalen Verzeichnissen in Azure Active Directory sowie über erforderliche Hardware und Voraussetzungen, und dann laden Sie die Software herunter.

Wenn Sie zur Installation bereit sind, folgen Sie den Anweisungen im Abschnitt Konfigurieren des Verbunds mit AD FS unter Benutzerdefinierte Installation von Azure AD Connect. Wählen Sie die Option Verbund mit AD FS auf der Seite Benutzeranmeldung. Wählen Sie auf der Seite AD FS-Farm die Option „Vorhandene verwenden”, und klicken Sie auf Weiter.

Erstellen von AD-Objekten für die AD FS-Gerätauthentifizierung

Sollte die AD FS-Farm noch nicht für die Geräteauthentifizierung konfiguriert sein (was Sie in der AD FS-Verwaltungskonsole unter Dienste > Geräteregistrierung prüfen können), erstellen Sie die richtigen AD DS-Objekte und Konfigurationen mithilfe der folgenden Schritte.

Geräteregistrierung

Hinweis

Die folgenden Befehle erfordern Active Directory-Verwaltungstools. Ist Ihr Verbundserver nicht auch ein Domänencontroller, müssen Sie zunächst die Tools installieren, wie unten in Schritt 1 angegeben. Andernfalls können Sie Schritt 1 überspringen.

  1. Führen Sie den Assistenten Hinzufügen von Rollen und Features aus, und wählen Sie Remoteserver-Verwaltungstools -> Rollenverwaltungstools -> AD DS und AD LDS-Tools -> Wählen Sie sowohl Active Directory-Modul für Windows PowerShell als auch AD DS-Tools.

Geräteregistrierung

  1. Stellen Sie sicher, dass Sie auf dem primären AD FS-Server mit den Berechtigungen für Unternehmensadministratoren als AD DS-Benutzer angemeldet sind, und öffnen Sie eine Eingabeaufforderung mit erhöhten Windows PowerShell. Führen Sie dann die folgende Befehle aus:

    Import-module activedirectory
    PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>"

  2. Klicken Sie im Pop-up auf Ja.

Hinweis

Wenn Ihr AD FS-Dienst ein GMSA-Konto verwenden kann, geben Sie den Kontonamen im Format „Domäne\Kontoname$” ein.

Geräteregistrierung

Die obigen PSH-Befehle erstellen folgende Objekte:

  • RegisteredDevices-Container in der AD-Domänenpartition
  • Device Registration Service-Container und Objekte unter Konfiguration --> Dienste--> Geräteregistrierungskonfiguration
  • Device Registration Service Container DKM-Container und Objekte unter Konfiguration --> Dienste--> Geräteregistrierungskonfiguration

Geräteregistrierung

  1. Anschließend wird eine Meldung über den erfolgreichen Abschluss angezeigt.

Geräteregistrierung

Erstellen des Dienstverbindungspunkts (SCP) in Active Directory

Wenn Sie den Windows10-Domänenbeitritt (mit automatischer Registrierung bei Azure AD) wie hier beschrieben verwenden möchten, führen Sie die folgenden Befehle zum Erstellen eines Dienstverbindungspunkts in AD DS aus:

  1. Öffnen Sie Windows PowerShell, und führen Sie Folgendes aus:

    PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

Hinweis

Falls erforderlich, kopieren Sie die Datei AdSyncPrep.psm1 von Ihrem Azure AD Connect-Server. Sie finden diese Datei unter Programme\Microsoft Azure Active Directory Connect\AdPrep.

Geräteregistrierung

  1. Bereitstellen der Azure AD-Anmeldedaten eines globalen Administrators

    PS C:>$aadAdminCred = Get-Credential

Geräteregistrierung

  1. Führen Sie folgenden PowerShell-Befehl aus:

    PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

[AD connector account name] steht für den Namen des Kontos, das Sie in Azure AD Connect beim Hinzufügen der lokales AD DS-Verzeichnisses konfiguriert haben.

Die oben aufgeführten Befehle erstellen das Objekt serviceConnectionpoint in AD DS und ermöglichen es damit den Windows10-Clients, die ihnen zugeordnete Azure AD-Domäne zu finden.

Vorbereiten von AD für Geräterückschreibung

Führen Sie folgende Schritteaus, um sicherzustellen, dass sich AD DS-Objekte und Container im richtigen Zustand für die Geräterückschreibung aus Azure AD befinden.

  1. Öffnen Sie Windows PowerShell, und führen Sie Folgendes aus:

    PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

[AD connector account name] steht für den Namen des Kontos, das Sie in Azure AD Connect beim Hinzufügen der lokales AD DS-Verzeichnisses im Format Domäne\Kontoname konfiguriert haben.

Der obige Befehl erstellt die folgenden Objekte zum Geräterückschreiben in AD DS, sofern sie nicht bereits vorhanden sind, und ermöglicht den Zugriff auf den angegebenen Kontonamen für den AD-Connector:

  • RegisteredDevices-Container in der AD-Domänenpartition
  • Device Registration Service-Container und Objekte unter Konfiguration --> Dienste--> Geräteregistrierungskonfiguration

Aktivieren der Geräterückschreibung in Azure AD Connect

Aktivieren Sie die Geräterückschreibung in Azure AD Connect (sofern sie nicht bereits aktiviert ist), indem Sie den Assistenten ein zweites Mal ausführen und Synchronisierungsoptionen anpassen wählen. Dann aktivieren Sie das Kontrollkästchen für die Geräterückschreibung und wählen die Gesamtstruktur, in der Sie die oben genannten Cmdlets ausgeführt haben.

Konfigurieren von AD FS zur Verwendung der in Azure registrierten Geräte

Konfigurieren der Ausstellung von Ansprüchen

In einer verbundenen Azure AD-Konfiguration müssen Geräte von Active Directory-Verbunddienste (AD FS) oder dem lokalen Verbunddienst eines Drittanbieters für Azure AD authentifiziert werden. Geräte authentifizieren sich, um ein Zugriffstoken zur Registrierung beim Azure Active Directory Device Registration Service (DRS Azure) zu erhalten.

Aktuelle Windows-Geräte authentifizieren sich mit der integrierten Windows-Authentifizierung gegenüber einem aktiven WS-Trust-Endpunkt (Version 1.3 oder 2005), der vom lokalen Verbunddienst gehostet wird.

Hinweis

Bei Verwendung von AD FS muss entweder adfs/services/trust/13/Windowstransport oder adfs/services/trust/2005/Windowstransport aktiviert sein. Wenn Sie den Webproxy für die Authentifizierung verwenden, müssen Sie zudem sicherstellen, dass dieser Endpunkt durch den Proxy veröffentlicht wird. Sie können in der AD FS-Verwaltungskonsole unter Dienste > Endpunkte prüfen, welche Endpunkte aktiviert sind.

Wenn AD FS nicht Ihr lokaler Verbunddienst ist, führen Sie die Anweisungen des Herstellers aus, um sicherzustellen, dass die WS-Trust-Endpunkte 1.3 oder 2005 unterstützt und in der Metadatendatei (MEX) veröffentlicht werden.

Die folgenden Ansprüche müssen in dem von Azure DRS erhaltenen Token vorhanden sein, um die Registrierung der Geräte zu vervollständigen. Azure DRS wird ein Geräteobjekt in Azure AD mit einigen dieser Informationen erstellen, das dann von Azure AD Connect verwendet wird, um das neu erstellte Geräteobjekt dem lokalen Computerkonto zuzuordnen.

  • http://schemas.microsoft.com/ws/2012/01/accounttype
  • http://schemas.microsoft.com/identity/claims/onpremobjectguid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

Wenn Sie über mehrere verifizierte Domänennamen verfügen, müssen Sie den folgenden Anspruch für Computer bereitstellen:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid

Wenn Sie bereits einen ImmutableID-Anspruch ausstellen (z.B. eine alternative Anmelde-ID), müssen Sie einen entsprechenden Anspruch für Computer bereitstellen:

  • http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID

In den folgenden Abschnitten finden Sie Informationen über:

  • Werte, über die jeder Anspruch verfügen sollte
  • Wie eine Definition in AD FS aussehen würde

Anhand der Definition können Sie überprüfen, ob die Werte vorhanden sind oder erstellt werden müssen.

Hinweis

Wenn Sie für den lokalen Verbundserver nicht AD FS verwenden, befolgen Sie die Anleitung des Herstellers, um die entsprechende Konfiguration zum Ausstellen dieser Ansprüche zu erstellen.

Ausstellen des Kontotypanspruchs

http://schemas.microsoft.com/ws/2012/01/accounttype – Dieser Anspruch muss der Wert DJ enthalten, der das Gerät als einen in die Domäne eingebundenen Computer identifiziert. In AD FS können Sie eine Ausstellungstransformationsregel hinzufügen, die wie folgt lautet:

@RuleName = "Issue account type for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value = "DJ"
);

Ausstellen von objectGUID für das lokale Computerkonto

http://schemas.microsoft.com/identity/claims/onpremobjectguid – Dieser Anspruch muss den Wert objectGUID des lokalen Computerkontos enthalten. In AD FS können Sie eine Ausstellungstransformationsregel hinzufügen, die wie folgt lautet:

@RuleName = "Issue object GUID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory", 
    types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), 
    query = ";objectguid;{0}", 
    param = c2.Value
);

Ausstellen von objectSID für das lokale Computerkonto

http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid– Dieser Anspruch muss den Wert der Objekt -Nr des lokalen Computerkontos enthalten. In AD FS können Sie eine Ausstellungstransformationsregel hinzufügen, die wie folgt lautet:

@RuleName = "Issue objectSID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);

Ausstellen der issuerID für Computer bei mehreren verifizierten Domänennamen in Azure AD

http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid – Dieser Anspruch muss den URI Uniform Resource Identifier (URI) für jeden verifizierten Domänenamen enthalten, der mit dem lokalen Verbunddienst (AD FS oder Drittanbieter), der das Token ausstellt, verbunden wird. In AD FS können Sie Ausstellungstransformationsregeln hinzufügen, die wie die unten stehenden aussehen, in der Reihenfolge nach den oben genannten. Bitte beachten Sie, dass eine Regel erforderlich ist, die explizit die Regel für Benutzer ausstellt. In den Regeln unten wurde eine erste Regel hinzugefügt, die zwischen Benutzer- und Computerauthentifizierung unterscheidet.

@RuleName = "Issue account type with the value User when its not a computer"
NOT EXISTS(
[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value == "DJ"
]
)
=> add(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
    Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value == "User"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
    Value = regexreplace(
    c1.Value, 
    ".+@(?<domain>.+)", 
    "http://${domain}/adfs/services/trust/"
    )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
    Value = "http://<verified-domain-name>/adfs/services/trust/"
);

Im obigen Anspruch:

  • $<domain> ist die URL für den AD FS-Dienst
  • <verified-domain-name> ist ein Platzhalter, der durch einen der in Azure AD verifizierten Domänennamen ersetzt werden muss

Weitere Informationen zu verifizierten Domänennamen finden Sie unter Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory.
Um eine Liste der verifizierten Unternehmensdomänen zu erstellen, können Sie das Cmdlet Get-MsolDomain verwenden.

Ausstellen der ImmutableID für Computer, wenn bereits eine für Benutzer vorhanden ist (z.B. könnte eine alternativen Anmelde-ID festgelegt sein)

http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID – Dieser Anspruch muss einen gültigen Wert für Computer enthalten. In AD FS können Sie wie folgt eine Ausstellungstransformationsregel erstellen:

@RuleName = "Issue ImmutableID for computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
] 
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory", 
    types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), 
    query = ";objectguid;{0}", 
    param = c2.Value
);

Skript zur Erstellung der AD FS-Ausstellungstransformationsregeln

Das folgende Skript unterstützt Sie bei der Erstellung der oben beschriebenen Ausstellungstransformationsregeln.

$multipleVerifiedDomainNames = $false
$immutableIDAlreadyIssuedforUsers = $false
$oneOfVerifiedDomainNames = 'example.com'   # Replace example.com with one of your verified domains

$rule1 = '@RuleName = "Issue account type for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value = "DJ"
);'

$rule2 = '@RuleName = "Issue object GUID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory", 
    types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), 
    query = ";objectguid;{0}", 
    param = c2.Value
);'

$rule3 = '@RuleName = "Issue objectSID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);'

$rule4 = ''
if ($multipleVerifiedDomainNames -eq $true) {
$rule4 = '@RuleName = "Issue account type with the value User when it is not a computer"
NOT EXISTS(
[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value == "DJ"
]
)
=> add(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
    Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value == "User"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
    Value = regexreplace(
    c1.Value, 
    ".+@(?<domain>.+)", 
    "http://${domain}/adfs/services/trust/"
    )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
    Value = "http://' + $oneOfVerifiedDomainNames + '/adfs/services/trust/"
);'
}

$rule5 = ''
if ($immutableIDAlreadyIssuedforUsers -eq $true) {
$rule5 = '@RuleName = "Issue ImmutableID for computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
] 
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory", 
    types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), 
    query = ";objectguid;{0}", 
    param = c2.Value
);'
}

$existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules 

$updatedRules = $existingRules + $rule1 + $rule2 + $rule3 + $rule4 + $rule5

$crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules 

Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString 

Hinweise

  • Dieses Skript fügt die Regeln an die vorhandenen Regeln an. Führen Sie das Skript nicht zweimal aus, da die Regeln sonst zweimal hinzugefügt werden. Stellen Sie sicher, dass keine entsprechenden Regeln für diese Ansprüche (unter den entsprechenden Umständen) vorhanden sind, bevor Sie das Skript erneut ausführen.

  • Wenn mehrere verifizierte Domänennamen vorhanden sind (was Sie im Azure AD-Portal oder mit dem Cmdlet Get-MsolDomains prüfen können), legen Sie den Wert für $multipleVerifiedDomainNames im Skript auf $true fest. Stellen Sie außerdem sicher, dass Sie alle vorhandenen issuerid-Ansprüche entfernt haben, die von Azure AD Connect oder auf andere Weise erstellt wurden. Hier ein Beispiel für diese Regel:

    c:[Type == "http://schemas.xmlsoap.org/claims/UPN"]
    => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)",  "http://${domain}/adfs/services/trust/")); 
  • Wenn Sie bereits einen ImmutableID-Anspruch für Benutzerkonten ausgestellt haben, legen Sie den Wert von $immutableIDAlreadyIssuedforUsers im Skript auf $true fest.

Konfigurieren der Geräteauthentifizierung in AD FS

Konfigurieren Sie eine AD FS-Richtlinie in einem PowerShell-Befehlsfenster mit erweiterten Rechten durch folgenden Befehl:

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

Überprüfen der Konfiguration

Als Referenz sind in der nachstehenden umfassenden Liste AD DS-Geräte, Container und Berechtigungen aufgeführt, die zur Authentifizierung und Geräterückschreibung erforderlich sind.

  • Objekt vom Typ ms-DS-DeviceContainer für CN=RegisteredDevices,DC=<domain>
    • Lesezugriff auf das AD FS-Dienstkonto
    • Lese- und Schreibzugriff auf das Synchronisierung-AD-Konnektorkonto von Azure AD Connect
  • Container CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>
  • Container Device Registration Service DKM unter dem obigen Container

Geräteregistrierung

  • Objekt vom Typ serviceConnectionpoint at CN=<guid>, CN=Geräteregistrierungskonfiguration,CN=Services,CN=Konfiguration,DC=<domain>
    • Lese- und Schreibzugriff auf den angegebenen AD-Konnektorkontonamen für das neue Objekt
  • Objekt vom Typ msDS-DeviceRegistrationServiceContainer für CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>
  • Objekt vom Typ msDS-DeviceRegistrationService im obigen Container



Verwenden der Anleitung für die Hybridbereitstellung von Windows Hello for Business mit zertifikatbasiertem Vertrauensmodell

  1. Übersicht
  2. Voraussetzungen
  3. Basisplan für Neuinstallation
  4. Konfigurieren der Azure-Geräteregistrierung (Sie sind hier)
  5. Konfigurieren der Einstellungen für Windows Hello for Business
  6. Anmelden und Bereitstellen