Configurer l’inscription des appareils pour les Azure AD hybrides Windows Hello entreprise

S'applique à

  • Windows10, version1703 ou ultérieure
  • Windows 11
  • Déploiement hybride
  • Approbation de certificat

Votre environnement est fédéré et vous êtes prêt à configurer l’inscription des appareils pour votre environnement hybride. Le déploiement de Windows Hello Entreprise hybride a besoin d'une inscription des appareils et de l'écriture différée des appareils pour permettre une authentification correcte des appareils.

Important

Si votre environnement n’est pas fédéré, consultez la section Planning de référence d'une nouvelle installation de ce document de déploiement pour savoir comment fédérer votre environnement pour votre déploiement Windows Hello Entreprise.

Conseil

Reportez-vous au didacticiel : Configurer une joint Azure Active Directory hybride pour les domaines fédérés pour en savoir plus sur la configuration de Azure Active Directory Connecter pour un flux de jointage simplifié pour l’inscription Azure AD’appareil.

Utilisez cette approche en trois phases pour configurer l’inscription de l’appareil.

  1. Configurer des appareils pour les inscrire dans Azure
  2. Synchroniser des appareils avec ActiveDirectory local
  3. Configurer ADFS pour utiliser des appareils du cloud

Notes

Avant de poursuivre, vous devez vous familiariser avec les concepts d’inscription des appareils tels que :

  • Appareils inscrits auprès d'Azure AD
  • Appareils joints à AzureAD
  • Appareils joints à AzureAD hybride

Pour en savoir plus à ce sujet, lisez Présentation de la gestion des appareils dans Azure Active Directory.

Important

Pour utiliser l’identité hybride avec Azure Active Directory et les fonctionnalités WriteBack d’appareil, vous devez utiliser l’interface graphique graphique intégrée avec les dernières mises à jour pour ADConnect.

Configurer Azure pour l’inscription d’appareil

Commencez par configurer l’inscription d’appareil pour prendre en charge un déploiement Windows Hello Entreprise hybride en configurant les fonctionnalités d’inscription d'appareil dans AzureAD.

Pour ce faire, suivez la procédure Configurer les paramètres de l'appareil sous Configuration de la jointure à AzureAD dans votre organisation.

Configurer Active Directory pour prendre en charge la synchronisation des appareils Azure

Azure Active Directory est maintenant configuré pour l'inscription des appareils. Ensuite, vous devez configurer service ActiveDirectory local pour prendre en charge la synchronisation des appareils joints à AzureAD hybride. Commencez par mettre à niveau le schéma Active Directory.

Mise à niveau d’Active Directory vers le schéma Windows Server 2016 ou ultérieur

Pour utiliser Windows Hello entreprise avec des appareils joints Azure AD hybrides, vous devez d’abord mettre à niveau votre schéma Active Directory vers Windows Server 2016 ou version ultérieure.

Important

Si vous avez déjà un contrôleur de domaine Windows Server 2016 ou ultérieur dans votre forêt, vous pouvez ignorer la mise à niveau d’Active Directory vers le schéma Windows Server 2016 ou ultérieur (cette section).

Identifier le contrôleur de domaine du rôle de schéma

Pour localiser le détenteur du rôle de contrôleur de schéma, ouvrez une invite de commandes, puis tapez:

Netdom query fsmo | findstr -i schema

Exemple de sortie Netdom.

La commande doit renvoyer le nom du contrôleur de domaine où vous devez exécuter adprep.exe. Mettez à jour le schéma localement sur le contrôleur de domaine qui héberge le rôle de contrôleur de schéma.

Mise à jour du schéma

WindowsHelloEntreprise utilise des clés asymétriques comme informations d’identification de l’utilisateur (plutôt que des mots de passe). Pendant l’inscription, la clé publique est inscrite dans un attribut sur l’objet utilisateur dans ActiveDirectory. La mise à jour du schéma ajoute ce nouvel attribut à ActiveDirectory.

La mise à jour manuelle d’Active Directory utilise l’utilitaire de ligne de commande adprep.exe situé à ** <drive> l’emplacement :\support\adprep** sur le DVD Windows Server 2016 ou version ultérieure ou iso. Avant d’exécuter adprep.exe, vous devez identifier le contrôleur de domaine qui héberge le rôle de contrôleur de schéma.

Connectez-vous au contrôleur de domaine hébergeant le rôle opérationnel de contrôleur de schéma à l’aide d’informations d’identification équivalentes à l’administrateur d’entreprise.

  1. Ouvrez une invite de commandes avec élévation de privilèges.
  2. Tapez cd /d x:\support\adprepx est la lettre de lecteur du DVD ou du fichierISO monté.
  3. Pour mettre à jour le schéma, tapez adprep /forestprep.
  4. Lisez l’avertissement Adprep. Tapez la lettre C_ et appuyez sur _Entrée* pour mettre à jour le schéma.
  5. Fermez l’invite de commandes, puis déconnectez-vous.

Notes

Si vous avez installé AzureAD Connect avant de mettre à niveau le schéma, vous devez réexécuter l’installation d’AzureAD Connect et actualiser le schémaAD local pour vous assurer que la règle de synchronisation pour l’attribut msDS-KeyCredentialLink est configurée.

Configurer les services de fédération ActiveDirectory (ADFS)

Si vous débutez avec ADFS et les services de fédération, vous devez consulter Présentation des concepts ADFS clés avant de concevoir et de déployer votre service de fédération. Passez en revue le Guide de conception ADFS pour planifier votre service de fédération.

Une fois que votre conception ADFS est prête, consultez Déploiement d’une batterie de serveurs de fédération pour configurer ADFS dans votre environnement.

Important

Pendant votre déploiement d’ADFS, ignorez les procédures Configurer un serveur de fédération avec Device Registration Service et Configurer le système DNS d’entreprise pour le service de fédération et DRS.

La batterie de serveurs ADFS utilisée avec Windows Hello Entreprise doit être Windows Server2016 avec la mise à jour minimale de KB4088889 (14393.2155). Si votre batterie de serveurs ADFS n’exécute pas le rôle ADFS avec les mises à jour à partir de Windows Server2016, puis lisez Mise à niveau vers ADFS dans Windows Server2016.

Proxy web ADFS

Les serveurs proxy de fédération sont des ordinateurs exécutant des logiciels ADFS qui ont été configurés manuellement pour tenir le rôle de proxy. Vous pouvez utiliser des serveurs proxy de fédération dans votre organisation pour fournir des services intermédiaires entre un client Internet et un serveur de fédération qui se trouve derrière un pare-feu sur votre réseau d’entreprise. Utilisez la liste de vérification Configuration d’un serveur proxy de fédération pour configurer des serveurs proxy ADFS dans votre environnement.

Déployer Azure AD Connect

Ensuite, vous devez synchroniser Active Directory local avec Azure Active Directory. Pour ce faire, commencez par consulter Intégrer des répertoires locaux à Azure Active Directory, ainsi que la configuration matérielle et les conditions préalables nécessaires, puis téléchargez le logiciel.

Lorsque vous êtes prêt à effectuer l'installation, suivez la section Configuration de la fédération avec ADFS de la rubrique Installation personnalisée d’AzureAD Connect. Sélectionnez l'option Fédération avec ADFS dans la page Connexion utilisateur. Dans la page Batterie de serveurs ADFS, sélectionnez une option existante, puis cliquez sur Suivant.

Créer des objetsAD pour l’authentification d'appareil ADFS

Si votre batterie de serveurs ADFS n’est pas déjà configurée pour l’authentification d'appareil (vous pouvez le voir dans la console de gestion ADFS sous Service-> Inscription d’appareil), effectuez les étapes suivantes pour créer les objets et la configuration ADDS appropriés. Inscription de l’appareil : AD FS

Notes

Les commandes ci-dessous exigent les outils d’administration ActiveDirectory. Par conséquent, si votre serveur de fédération n’est pas également un contrôleur de domaine, commencez par installer les outils en suivant l’étape1 ci-dessous. Dans le cas contraire, vous pouvez ignorer cette étape.

  1. Exécutez l'Assistant Ajouter des rôles et des fonctionnalités, puis sélectionnez la fonctionnalité Outils d'administration de serveur distant -> Outils d'administration de rôles -> Outils ADDS et ADLDS -> Choisissez les options Module Active Directory pour Windows PowerShell et Outils ADDS. Inscription de l’appareil : vue d’ensemble

  2. Sur votre serveur principal AD FS, assurez-vous que vous êtes connecté en tant qu’utilisateur AD DS avec des privilèges d’administrateur d’entreprise et ouvrez une invite Windows PowerShell élevée. Exécutez ensuite les commandes suivantes:
    Import-module activedirectory
    PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>"

  3. Dans la fenêtre contextuelle, cliquez sur Oui.

    Notes

    Si votre service ADFS est configuré pour utiliser un compte service administré de groupe (GMSA), entrez le nom du compte au format «domaine\nom_compte$».

    Inscription de l’appareil : domaine
    Le PSH ci-dessus crée les objets suivants:

    • Conteneur RegisteredDevices sous la partition de domaineAD
    • Conteneur et objet Device Registration Service sous Configuration--> Services--> Configuration de l’inscription de l’appareil
    • Conteneur et objet DKM Device Registration Service sous Configuration--> Services--> Configuration de l’inscription de l’appareil

    Inscription de l’appareil : tests

  4. Une fois cette étape effectuée, vous verrez un message d'opération terminée correctement.

    Inscription de l’appareil : achèvement

Créer un point de connexion de service dans ActiveDirectory

Si vous prévoyez d’utiliser la joint Windows domaine (avec inscription automatique à Azure AD) comme décrit ici, exécutez les commandes suivantes pour créer un point de connexion de service dans AD DS

  1. Ouvrez Windows PowerShell, puis exécutez la commande suivante:

    PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

    Notes

    Si nécessaire, copiez le fichier AdSyncPrep.psm1 à partir de votre serveur AzureAD Connect. Ce fichier se trouve dans Program Files\Microsoft Azure Active Directory Connect\AdPrep

    Device Registration AdPrep

  2. Fournissez vos informations d’identification d’administrateur AzureAD

    PS C:>$aadAdminCred = Get-Credential

    Inscription de l’appareil : informations d’identification

  3. Exécutez la commande PowerShell suivante

    PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

    où [AD connector account name] est le nom du compte que vous avez configuré dans AzureAD Connect lors de l’ajout de votre annuaire ADDS local.

Les commandes ci-dessus permettent Windows clients de trouver le domaine Azure AD à joindre en créant l’objet serviceConnectionpoint dans AD DS.

Préparer ActiveDirectory pour l’écriture différée des appareils

Pour vérifier que les objets et conteneurs ADDS sont dans l’état correct pour l'écriture différée d'appareils à partir d’AzureAD, procédez comme suit.

  1. Ouvrez Windows PowerShell, puis exécutez la commande suivante:

    PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

    où [AD connector account name] est le nom du compte que vous avez configuré dans AzureAD Connect lors de l’ajout de votre annuaire ADDS local au format in domaine\nom_compte.

La commande ci-dessus crée les objets suivants pour l’écriture différée d’appareil dans ADDS, s’ils n’existent pas déjà, et permet d’accéder au nom de compte de connecteur ActiveDirectory spécifié

  • Conteneur RegisteredDevices dans la partition de domaineAD
  • Conteneur et objet Device Registration Service sous Configuration--> Services--> Configuration de l’inscription de l’appareil

Activer l’écriture différée d’appareils dans AzureAD Connect

Si ce n’est pas déjà fait, activez l’écriture différée d’appareils dans AzureAD Connect en exécutant l’Assistant une deuxième fois, puis en sélectionnant «Personnalisation des options de synchronisation». Cochez ensuite la case correspondant à l’écriture différée d'appareils, puis sélectionnez la forêt dans laquelle vous avez exécuté les applets de commande ci-dessus

Configurer ADFS pour utiliser des appareils inscrits auprès d'Azure

Configurer l’émission de revendications

Dans une configuration d'AzureAD fédérée, les appareils s’appuient sur les services de fédération ActiveDirectory (ADFS) ou sur un service de fédération local tiers pour s’authentifier auprès d’AzureAD. Les appareils s’authentifient pour obtenir un jeton d’accès en vue de s’inscrire auprès du service Device Registration Service Azure Active Directory (DRS Azure).

Les appareils Windows actuels s’authentifient à l’aide de l’authentification Windows intégrée auprès d'un point de terminaison WS-Trust actif (versions1.3 ou2005) hébergé par le service de fédération local.

Lorsque vous utilisez AD FS, vous devez activer les points de terminaison WS-Trust suivants : /adfs/services/trust/2005/windowstransport /adfs/services/trust/13/windowstransport /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Avertissement

Adfs/services/trust/2005/windowstransport et adfs/services/trust/13/windowstransport doivent être activés en tant que points de terminaison intranet uniquement et ne doivent PAS être exposés en tant que points de terminaison extranet via le proxy d’application Web. Pour plus d’informations sur la désactivation WS-Trust Windows de terminaison, voir Désactiver WS-Trust Windows terminaison sur le proxy. Vous pouvez voir quels points de terminaison sont activés via la console de gestion AD FS sous Pointsde > terminaison de service.

Notes

Si vous n’avez pas AD FS comme service de fédération local, suivez les instructions de votre fournisseur pour vous assurer qu’ils viennent en charge les points de terminaison WS-Trust 1.3 ou 2005 et qu’ils sont publiés via le fichier DE EXCHANGE de métadonnées (MEX).

Les revendications suivantes doivent exister dans le jeton reçu par le service DRS Azure pour que l’inscription d'appareil se termine. DRS Azure crée un objet appareil dans AzureAD avec certaines de ces informations qui sont ensuite utilisées par AzureAD Connect pour associer l’objet appareil nouvellement créé au compte d'ordinateur local.

  • http://schemas.microsoft.com/ws/2012/01/accounttype
  • http://schemas.microsoft.com/identity/claims/onpremobjectguid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

Si vous avez plusieurs noms de domaines vérifiés, vous devez fournir la revendication suivante pour les ordinateurs:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid

Si vous émettez déjà une revendication ImmutableID (par exemple, un ID de connexion alternatif), vous devez fournir une revendication correspondante pour les ordinateurs:

  • http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID

Dans les sections suivantes, vous trouvez des informations sur:

  • Les valeurs que chaque revendication doit avoir
  • Comment se présenterait une définition dans ADFS

La définition vous permet de vérifier si les valeurs sont présentes ou si vous devez les créer.

Notes

Si vous n’utilisez pas ADFS pour votre serveur de fédération local, suivez les instructions de votre fournisseur pour créer la configuration appropriée pour émettre ces revendications.

Émettre une revendication de type de compte

http://schemas.microsoft.com/ws/2012/01/accounttype: Cette revendication doit contenir une valeur de DJ, qui identifie l’appareil en tant qu'ordinateur joint à un domaine. Dans ADFS, vous pouvez ajouter une règle de transformation d’émission qui ressemble à ceci:


    @RuleName = "Issue account type for domain-joined computers"
    c:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value = "DJ"
    );

Émettre l'objectGUID du compte d’ordinateur local

http://schemas.microsoft.com/identity/claims/onpremobjectguid: Cette revendication doit contenir la valeur objectGUID du compte d’ordinateur local. Dans ADFS, vous pouvez ajouter une règle de transformation d’émission qui ressemble à ceci:


    @RuleName = "Issue object GUID for domain-joined computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        store = "Active Directory", 
        types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), 
        query = ";objectguid;{0}", 
        param = c2.Value
    );

Émettre l'objectSID du compte d’ordinateur local

http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid - Cette revendication doit contenir la valeur objectSid du compte d’ordinateur local. Dans ADFS, vous pouvez ajouter une règle de transformation d’émission qui ressemble à ceci:


    @RuleName = "Issue objectSID for domain-joined computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(claim = c2);

Émettre l'issuerID de l’ordinateur lorsqu'il y a plusieurs noms de domaines vérifiés dans AzureAD

http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid: Cette revendication doit contenir l’URI (Uniform Resource Identifier) de tous les noms de domaines vérifiés qui se connectent au service de fédération local (ADFS ou tiers) en émettant le jeton. Dans ADFS, vous pouvez ajouter des règles de transformation d’émission qui ressemblent à celles ci-dessous dans cet ordre spécifique après celles mentionnées ci-dessus. Veuillez noter qu'une règle destinée à émettre explicitement la règle pour les utilisateurs est nécessaire. Dans les règles ci-dessous, une première règle identifiant une authentification utilisateur/ordinateur est ajoutée.


    @RuleName = "Issue account type with the value User when it is not a computer"

    NOT EXISTS(
    [
        Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value == "DJ"
    ]
    )
    => add(
        Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value = "User"
    );

    @RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
    c1:[
        Type == "http://schemas.xmlsoap.org/claims/UPN"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value == "User"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
        Value = regexreplace(
        c1.Value, 
        ".+@(?<domain>.+)", 
        "http://${domain}/adfs/services/trust/"
        )
    );

    @RuleName = "Issue issuerID for domain-joined computers"
    c:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
        Value = "http://<verified-domain-name>/adfs/services/trust/"
    );

Dans la revendication ci-dessus,

  • $<domain> est l'URL du service ADFS
  • <verified-domain-name> est un espace réservé que vous devrez remplacer par l'un de vos noms de domaines vérifiés dans AzureAD

Pour plus d’informations sur les noms de domaines vérifiés, consultez Ajouter un nom de domaine personnalisé dans Azure Active Directory.
Pour obtenir la liste de vos domaines d’entreprise vérifiés, vous pouvez utiliser l'applet de commande Get-MsolDomain.

Émettre un ImmutableID pour l’ordinateur quand il en existe un pour les utilisateurs (par exemple, quand un ID de connexion alternatif est défini)

http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID: Cette revendication doit contenir une valeur valide pour les ordinateurs. Dans ADFS, vous pouvez créer une règle de transformation d’émission comme suit:


    @RuleName = "Issue ImmutableID for computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ] 
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        store = "Active Directory", 
        types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), 
        query = ";objectguid;{0}", 
        param = c2.Value
    );

Script d’aide pour créer des règles de transformation d'émission ADFS

Le script suivant vous aide dans la création des règles de transformation d'émission décrites ci-dessus.


    $multipleVerifiedDomainNames = $false
    $immutableIDAlreadyIssuedforUsers = $false
    $oneOfVerifiedDomainNames = 'example.com'   # Replace example.com with one of your verified domains

    $rule1 = '@RuleName = "Issue account type for domain-joined computers"
    c:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value = "DJ"
    );'

    $rule2 = '@RuleName = "Issue object GUID for domain-joined computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        store = "Active Directory", 
        types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), 
        query = ";objectguid;{0}", 
        param = c2.Value
    );'

    $rule3 = '@RuleName = "Issue objectSID for domain-joined computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(claim = c2);'

    $rule4 = ''
    if ($multipleVerifiedDomainNames -eq $true) {
    $rule4 = '@RuleName = "Issue account type with the value User when it is not a computer"
    NOT EXISTS(
    [
        Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value == "DJ"
    ]
    )
    => add(
        Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value = "User"
    );

    @RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
    c1:[
        Type == "http://schemas.xmlsoap.org/claims/UPN"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value == "User"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
        Value = regexreplace(
        c1.Value, 
        ".+@(?<domain>.+)", 
        "http://${domain}/adfs/services/trust/"
        )
    );

    @RuleName = "Issue issuerID for domain-joined computers"
    c:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
        Value = "http://' + $oneOfVerifiedDomainNames + '/adfs/services/trust/"
    );'
    }

    $rule5 = ''
    if ($immutableIDAlreadyIssuedforUsers -eq $true) {
    $rule5 = '@RuleName = "Issue ImmutableID for computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ] 
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        store = "Active Directory", 
        types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), 
        query = ";objectguid;{0}", 
        param = c2.Value
    );'
    }

    $existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules 

    $updatedRules = $existingRules + $rule1 + $rule2 + $rule3 + $rule4 + $rule5

    $crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules 

    Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString 

Notes

  • Ce script ajoute les règles aux règles existantes. N’exécutez pas le script deux fois, car l’ensemble de règles serait ajouté deux fois. Vérifiez qu'il n'existe aucune règle correspondante pour ces revendications (dans les conditions correspondantes) avant de réexécuter le script.

  • Si vous avez plusieurs noms de domaines vérifiés (comme indiqué dans le portail AzureAD or via l'applet de commande Get-MsolDomains), définissez la valeur $multipleVerifiedDomainNames du script sur $true. Prenez également soin de supprimer toutes les revendications d'issuerid existantes qui peuvent avoir été créées par AzureAD Connect ou via d’autres moyens. Voici un exemple de cette règle:

      c:[Type == "http://schemas.xmlsoap.org/claims/UPN"]
      => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)",  "http://${domain}/adfs/services/trust/")); 
    
  • Si vous avez déjà émis une revendication d'ImmutableID pour les comptes d’utilisateur, définissez la valeur $immutableIDAlreadyIssuedforUsers du script sur $true.

Configurer l’authentification des appareils dans ADFS

À l’aide d’une fenêtre de commande PowerShell avec élévation de privilèges, configurez la stratégie ADFS en exécutant la commande suivante

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod SignedToken

Vérifier votre configuration

À titre de référence, voici une liste complète des appareils, conteneurs et autorisations ADDS exigés pour que l’authentification et l'écriture différée des appareils fonctionnent

  • objet de type ms-DS-DeviceContainer at CN=RegisteredDevices,DC=<domaine>

    • accès en lecture au compte de service ADFS
    • accès en lecture/écriture au compte de connecteur AD de synchronisation AzureAD Connect
  • Conteneur CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domaine>

  • Conteneur DKM Device Registration Service sous le conteneur ci-dessus

    Inscription de l’appareil : conteneur

  • objet de type serviceConnectionpoint at CN=<guid>, CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

    • accès en lecture/écriture au nom de compte de connecteurAD spécifié sur le nouvel objet
  • objet de type msDS-DeviceRegistrationServiceContainer at CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domaine>

  • objet de type msDS-DeviceRegistrationService dans le conteneur ci-dessus



Suivez le guide de déploiement d'approbation de certificat hybride WindowsHelloEntreprise

  1. Vue d'ensemble
  2. Prérequis
  3. Planning de référence d'une nouvelle installation
  4. Configurer Azure Device Registration (Vous en êtes à cette étape)
  5. Configurer les paramètres Windows Hello Entreprise
  6. Se connecter et effectuer l'approvisionnement