Hybridbereitstellung von Windows Hello for Business

Betrifft:

  • Windows10, Version 1703 oder höher
  • Hybridbereitstellung
  • Zertifikatbasiertes Vertrauen

Bereitstellung

Die Bereitstellung von Windows Hello for Business beginnt sofort, nachdem sich der Benutzer angemeldet hat, nachdem das Benutzerprofil geladen wurde, jedoch bevor der Benutzer den Desktop erhält. Windows startet die Bereitstellung nur, wenn alle Voraussetzungsprüfungen erfolgreich durchgeführt wurden. Sie können den Status der Voraussetzungsprüfungen einsehen, indem Sie die Registrierung von Benutzergeräten in der Ereignisanzeige unter Anwendungs- und Dienstprotokolle\Microsoft\Windows anzeigen.

Event358

Zunächst ist zu überprüfen, ob der Computer die Geräteregistrierung verarbeitet hat. Sie können dies in den Protokollen der Benutzergeräteregistrierung feststellen, in denen der Eintrag Device is AAD joined (AADJ or DJ++): Yes stehen muss. Zudem können Sie dies mit dem Befehl dsregcmd /status an einer Eingabeaufforderung prüfen, wobei für AzureADJoined der Wert Yes angezeigt wird.

Die Bereitstellung von Windows Hello for Business beginnt mit einer Vollbildseite mit dem Titel PIN einrichten und einer gleichnamigen Schaltfläche. Der Benutzer klickt auf PIN einrichten.

Einrichten einer PIN-Bereitstellung

Der Bereitstellungsvorgang wird mit dem Registrierungsschritt für die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) fortgesetzt. Die Bereitstellung informiert den Benutzer, dass aktiv versucht wird, den Benutzer durch die von ihm konfigurierte Form der MFA zu kontaktieren. Der Bereitstellungsprozess wird nur fortgesetzt, wenn die Authentifizierung erfolgreich ist. Wenn die MFA fehlschlägt oder wegen Zeitüberschreitung abbricht, wird der Benutzer aufgefordert, es erneut zu versuchen.

MFA-Meldung während der Bereitstellung

Nach einer erfolgreichen MFA wird der Benutzer von der Bereitstellung aufgefordert, eine PIN zu erstellen und zu validieren. Diese PIN muss den PIN-Komplexitätsanforderungen genügen, die Sie in der Umgebung bereitgestellt haben.

Erstellen eines PINs bei der Bereitstellung

Der Bereitstellungsvorgang verfügt über alle erforderlichen Informationen für die Windows Hello for Business-Registrierung.

  • Eine erfolgreiche einstufige Authentifizierung (Benutzername und Kennwort bei der Anmeldung)
  • Ein Gerät, das die Geräteregistrierung erfolgreich abgeschlossen hat
  • Eine aktuelle, erfolgreiche mehrstufige Authentifizierung
  • Eine überprüfte PIN, die den PIN-Komplexitätsanforderungen entspricht

Im verbleibenden Teil der Bereitstellung fordert Windows Hello for Business ein asymmetrisches Schlüsselpaar für den Benutzer an, vorzugsweise vom TPM (oder ausdrücklich, wenn dies durch Gruppenrichtlinien explizit festgelegt ist). Nachdem das Schlüsselpaar übergeben wurde, kommuniziert Windows mit Azure Active Directory, um den öffentlichen Schlüssel zu registrieren. Aad Connect synchronisiert den Schlüssel des Benutzers mit dem lokalen Active Directory.

Wichtig

Im Folgenden finden Sie das Registrierungsverhalten vor dem Windows Server2016-Update KB4088889 (14393.2155).

Die Mindestzeit für das Synchronisieren des öffentlichen Benutzerschlüssels aus dem Azure Active Directory mit dem lokalen Active Directory beträgt 30Minuten. Der Planer Azure AD Connect steuert den Synchronisierungsintervall. Diese Synchronisierungs Wartezeit verzögert die Möglichkeit des Benutzers, lokale Ressourcen zu authentifizieren und zu verwenden, bis der öffentliche Schlüssel des Benutzers mit Active Directory synchronisiert wurde. Nach der Synchronisierung kann den Benutzer lokale Ressourcen authentifizieren und verwenden. Lesen Sie Azure AD Connect sync: Scheduler, um den Synchronisierungszyklus für Ihre Organisation einzusehen und anzupassen.

Hinweis

Windows Server2016-Update KB4088889 (14393.2155) ermöglicht die synchrone Zertifikatregistrierung während der Hybridbereitstellung mit zertifikatbasiertem Vertrauensmodell. Dank diesem Update müssen Benutzer nicht mehr für Azure AD Connect warten, um die öffentlichen Schlüssel lokal zu synchronisieren. Benutzer registrieren Ihr Zertifikat während der Bereitstellung und können das Zertifikat zur Anmeldung unmittelbar nach Abschluss der Bereitstellung verwenden. Das Update muss auf den Verbundservern installiert sein.

Nach einer erfolgreichen Registrierung erstellt Windows eine Zertifikatanforderung unter Verwendung des gleichen Schlüsselpaars. Windows sendet die Zertifikatanforderung an den AD FS-Server, um das Zertifikat registrieren zu lassen.

Die AD FS-Registrierungsstelle überprüft, ob der in der Zertifikatanforderung verwendete Schlüssel mit dem zuvor registrierten übereinstimmt. Bei einer Übereinstimmung signiert die AD FS-Registrierungsstelle die Zertifikatanforderung mit ihrem Registrierungs-Agent-Zertifikat und sendet sie an die Zertifizierungsstelle.

Die Zertifizierungsstelle überprüft, ob das Zertifikat von der Registrierungsstelle signiert wurde. Nach erfolgreicher Überprüfung der Signatur stellt sie ein Zertifikat basierend auf der Anforderung aus und gibt das Zertifikat an die AD FS-Registrierungsstelle zurück. Die Registrierungsstelle gibt das Zertifikat an Windows zurück, wo es im Zertifikatspeicher des jeweiligen Benutzers installiert wird. Nach Abschluss dieses Vorgangs informiert der Windows Hello for Business-Bereitstellungs Workflow den Benutzer darüber, dass seine PIN zur Anmeldung über das Windows-Wartungs Center verwendet werden kann.




Verwenden der Anleitung für die Hybridbereitstellung von Windows Hello for Business mit zertifikatbasiertem Vertrauensmodell

  1. Übersicht
  2. Voraussetzungen
  3. Basisplan für Neuinstallation
  4. Konfigurieren der Azure-Geräteregistrierung
  5. Konfigurieren der Richtlinieneinstellungen für Windows Hello for Business
  6. Anmeldung und Bereitstellung (Sie sind hier)