Voraussetzungen für eine Hybridbereitstellung von Windows Hello for Business

Betrifft:

  • Windows10, Version 1703 oder höher
  • Hybridbereitstellung
  • Zertifikatbasiertes Vertrauen

Hybridumgebungen sind verteilte Systeme, die es Organisationen ermöglichen, lokale und Azure-basierte Identitäten und Ressourcen zu nutzen. Windows Hello for Business verwendet das verteilte vorhandene System als Grundlage, auf der Organisationen eine zweistufige Authentifizierung bereitstellen können, die auf modernen Ressourcen wie ein einziger Authentifizierungsvorgang (Einmalanmeldung) empfunden wird.

Die verteilten Systeme, auf denen diese Technologien beruhen, umfassen Komponenten einer lokalen und einer cloudbasierten Infrastruktur. Wichtige Komponenten der Infrastruktur sind:

Verzeichnisse

Ein Hybridbereitstellung von Windows Hello for Business benötigt zwei Verzeichnisse: Ein lokales Active Directory und ein Azure Active Directory in der Cloud. Für die Bereitstellung von Windows Hello for Business ist als Domänencontroller, Domänenfunktionsebene und Gesamtstrukturfunktionsebene mindestens Windows Server 2008 R2 erforderlich.

Eine hybride Windows Hello for Business-Bereitstellung benötigt ein Azure Active Directory-Abonnement. Die unterschiedliche Bereitstellungskonfigurationen werden von unterschiedlichen Azure-Abonnements unterstützt. Die hybride Bereitstellung mit zertifikatbasiertem Vertrauensmodell benötigt ein Azure Active Directory Premium-Abonnement, da das Feature „Geräterückschreibung” verwendet wird. Für andere Bereitstellungen, z.B. die hybride Bereitstellung mit schlüsselbasiertem Vertrauensmodell, ist unter Umständen kein Azure Active Directory Premium-Abonnement erforderlich.

Windows Hello for Business kann in jeder Umgebung bereitgestellt werden, in der Windows Server2008 R2 (oder eine spätere Version) als Domänencontroller verwendet wird. Die Azure-Geräteregistrierung und Windows Hello for Business erfordern das Windows Server2016 Active Directory-Schema.

Überprüfen Sie diese Anforderungen und die für Windows Hello for Business im entsprechenden Planungshandbuch bzw. Arbeitsblatt. Ihren Entscheidungen für die Bereitstellung entsprechend müssen Sie möglicherweise ein Upgrade des Abonnements für Ihr lokales Active Directory oder Ihr Azure Active Directory vornehmen.

Zusammenfassung

  • Active Directory-Domänenfunktionsebene
  • Active Directory-Gesamtstrukturfunktionsebene
  • Domänencontrollerversion
  • Windows Server2016-Schema
  • Azure Active Directory-Abonnement
  • Angepasstes Abonnement für die gewünschten Features und Ergebnisse


Public Key-Infrastruktur

Die Windows Hello for Business-Bereitstellung basiert auf der Public Key-Infrastruktur des Unternehmens als Vertrauensbasis für die Authentifizierung. Domänencontroller für Hybridbereitstellungen benötigen ein Zertifikat, damit Windows10-Geräte dem Domänencontroller vertrauen können.

Bereitstellungen mit zertifikatbasiertem Vertrauensmodell benötigen eine Public Key-Infrastruktur und eine Zertifikatregistrierungsstelle zum Ausstellen von Authentifizierungszertifikaten für Benutzer. Bei der Verwendung von Gruppenrichtlinien verwendet die Bereitstellung einer Hybrid Zertifikats Vertrauensstellung den Windows Server 2016 Active Directory Federation Server (AD FS) als Zertifikat Registrierungsstelle.

Die mindestens erforderlichen Enterprise-Zertifizierungsstelle für Windows Hello for Business ist Windows Server2012.

Zusammenfassung

  • Windows Server2012 als ausstellende Zertifizierungsstelle
  • Windows Server 2016 Active Directory-Verbunddienste (AD FS)


Verzeichnissynchronisierung

Die beiden bei Hybridbereitstellungen verwendeten Verzeichnisse müssen synchronisiert sein. Sie benötigen Azure Active Directory Connect zum Synchronisieren von Benutzerkonten im lokalen Active Directory mit Azure Active Directory.

Organisationen, die ältere Verzeichnis Synchronisierungs Technologien verwenden, wie etwa Dirsync oder Azure AD Sync, müssen auf Azure AD Connect aktualisieren. Wenn das Schema Ihres lokalen AD DS seit der letzten Verzeichnissynchronisierung geändert wurde, müssen Sie möglicherweise das Verzeichnisschema aktualisieren.

Zusammenfassung


Verbund

Für Windows Hello for Business-Hybrid Zertifikats Vertrauensstellung muss Active Directory mit Azure Active Directory verbunden sein und Windows Server 2016 Active Directory-Verbunddienste oder höher erforderlich sein. Windows Hello for Business-Hybrid Zertifikat Vertrauensstellung unterstützt nicht Managed Azure Active Directory mithilfe der Pass-Through-Authentifizierung oder der Kennworthash Synchronisierung. Alle Knoten in der AD FS-Farm müssen dieselbe Version von AD FS ausführen. Zudem müssen Sie die AD FS-Farm so konfigurieren, dass in Azure registrierte Geräte unterstützt werden.

Die für Windows Hello for Business verwendete AD FS-Farm muss Windows Server2016 sein und mindestens Update KB4088889 (14393.2155) umfassen. Wenn die AD FS-Farm nicht die AD FS-Rolle mit Updates von Windows Server2016 ausführt, lesen Sie Upgrade auf AD FS in Windows Server2016

Zusammenfassung


Multi-Factor Authentication

Windows Hello for Business ist ein leistungsfähiges, Zwei-Faktor-Authentifizierungssystem, mit dem Organisationen ihre Abhängigkeit von Kennwörtern reduzieren können. Der Bereitstellungsprozess ermöglicht es, dass sich Benutzer bei Windows Hello for Business über Benutzername und Kennwort als einem Faktor anmelden. Zur Authentifizierung ist aber ein zweiter Faktor erforderlich.

Hybride Windows Hello for Business-Bereitstellungen können den mehrstufigen Authentifizierungsdienst von Azure verwenden, oder Sie können die mehrstufige Authentifizierung verwenden, die von Windows Server 2016 Active Directory-Verbunddiensten bereitgestellt wird, die ein Adaptermodell enthält, das es ermöglicht Drittparteien, ihre mehrstufige Authentifizierung in AD FS zu integrieren.

Zusammenfassung

  • Azure MFA-Dienst
  • Windows Server 2016 AD FS und Azure
  • Windows Server2016 AD FS und MFA-Adapter von Drittanbietern


Geräteregistrierung

Organisationen, die eine Hybrid Zertifikat-Vertrauensstellung bereitstellen möchten, benötigen Ihre Domänen verbundenen Geräte, um sich bei Azure Active Directory registrieren zu können. Ebenso wie ein Computer über eine Identität in Active Directory verfügt, besitzt derselbe Computer eine Identität in der Cloud. Dadurch wird sichergestellt, dass nur genehmigte Computer mit Azure Active Directory verwendet werden. Jeder Computer registriert seine Identität in Azure Active Directory.

Hybride zertifikatbasierte Bereitstellungen benötigen das Feature „Geräterückschreibung”. Für die Windows Server2016 Active Directory-Verbunddienste (AD FS) müssen sich sowohl der Benutzer als auch der Computer authentifizieren. In der Regel werden die Benutzer, aber keine Geräte synchronisiert. Dadurch kann AD FS keine Computer authentifizieren, und die Zertifikatanmeldung in Windows Hello for Business ist nicht möglich. Aus diesem Grund ist für Bereitstellungen von Windows Hello for Business das Azure Active Directory Premium-Feature „Geräterückschreibung” erforderlich.

Hinweis

Windows Hello for Business ist zwischen einem Benutzer und einem Gerät gebunden. Sowohl der Benutzer als auch das Gerät müssen zwischen Azure Active Directory und Active Directory synchronisiert werden, und daher wird das Rückschreiben des Geräts verwendet, um das msDS-KeyCredentialLink für das Computerobjekt zu aktualisieren.

Zusammenfassung

  • Azure Active Directory-Geräterückschreibung
  • Azure Active Directory Premium-Abonnement


Nächste Schritte

Befolgen Sie die Anleitungen im Handbuch für die Hybridbereitstellung von Windows Hello for Business mit zertifikatbasiertem Vertrauensmodell. Wählen Sie für Proof-of-Concepts, Labs und neue Installationen den neuen Installations Basisplanaus.

Wenn Ihre Umgebung bereits verbunden ist, aber keine Azure-Geräteregistrierung enthält, wählen Sie Konfigurieren der Azure-Geräteregistrierung.

Wenn Ihre Umgebung bereits verbunden ist und Azure Geräteregistrierung unterstützt, wählen Sie Konfigurieren der Einstellungen für Windows Hello for Business.




Verwenden der Anleitung für die Hybridbereitstellung von Windows Hello for Business mit zertifikatbasiertem Vertrauensmodell

  1. Übersicht
  2. Voraussetzungen (Sie sind hier)
  3. Basisplan für Neuinstallation
  4. Konfigurieren der Azure-Geräteregistrierung
  5. Konfigurieren der Einstellungen für Windows Hello for Business
  6. Anmelden und Bereitstellen