ハイブリッド証明書信頼展開ガイド

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

この記事では、次Windows Hello for Business適用される機能またはシナリオについて説明します。

• 展開の種類:
• 信頼の種類:
• 結合の種類:Microsoft Entra参加、ハイブリッド参加ハイブリッド参加の両方にシングル サインオンしますMicrosoft Entra

---

重要

Windows Hello for Businessクラウド Kerberos 信頼は、キー信頼モデルと比較した場合に推奨されるデプロイ モデルです。 また、エンド ユーザーに証明書を展開する必要がない場合は、推奨されるデプロイ モデルでもあります。 詳細については、「 Cloud Kerberos trust deployment」を参照してください。

要件

デプロイを開始する前に、「Windows Hello for Businessデプロイの計画」の記事で説明されている要件を確認してください。

開始する前に、次の要件が満たされていることを確認してください。

• 公開キー基盤 (PKI)
• 認証
• デバイスの構成
• クラウド サービスのライセンス
• Windows Helloを使用するユーザーを準備する

展開の手順

前提条件が満たされたら、Windows Hello for Businessのデプロイは次の手順で構成されます。

• 公開キー インフラストラクチャの構成と検証
• Active Directory フェデレーション サービス (AD FS)の構成
• Windows Hello for Businessを構成して登録する
• (省略可能)参加済みデバイスのシングル サインオンMicrosoft Entra構成する

Microsoft Entra IDへのフェデレーション認証

ハイブリッド証明書の信頼Windows Hello for Business、Active Directory を AD FS を使用してMicrosoft Entra IDとフェデレーションする必要があります。 また、Azure 登録済みデバイスをサポートするように AD FS ファームを構成する必要もあります。

AD FS とフェデレーション サービスを初めて使用する場合:

• AD FS ファームを展開する前に、AD FS の 主要な概念 を確認する
• AD FS 設計ガイドを確認して、フェデレーション サービスを設計および計画する

AD FS の設計の準備ができたら、 フェデレーション サーバー ファームの展開を 確認して、環境内で AD FS を構成します

Windows Hello for Business で使用する AD FS は、KB4088889 (14393.2155) 以降の更新プログラムがインストールされた Windows Server 2016 である必要があります。

デバイスの登録とデバイスの書き戻し

Windows デバイスは、Microsoft Entra IDに登録する必要があります。 デバイスは、Microsoft Entra参加またはハイブリッド参加Microsoft Entra使用して、Microsoft Entra IDに登録できます。
ハイブリッド参加済みデバイスMicrosoft Entraについては、Microsoft Entra ハイブリッド参加実装の計画に関するガイダンスを確認してください。

Microsoft Entra Connect Sync を使用してデバイスの登録を構成する方法の詳細については、「フェデレーション ドメインのMicrosoft Entra ハイブリッド参加の構成」ガイドMicrosoft Entra参照してください。
デバイス登録をサポートする AD FS ファームの手動構成については、「デバイス登録用に AD FS を構成する」ガイドMicrosoft Entra参照してください。

ハイブリッド証明書信頼のデプロイには、 デバイスのライトバック 機能が必要です。 AD FS への認証には、ユーザーとデバイスの両方が必要です。 通常、ユーザーは同期されますが、デバイスは同期されません。 これにより、AD FS がデバイスを認証できず、証明書の登録エラー Windows Hello for Business発生します。 このため、Windows Hello for Business展開にはデバイスライトバックが必要です。

注

Windows Hello for Businessは、ユーザーとデバイスの間で関連付けられています。 ユーザーとデバイスの両方を、Microsoft Entra IDと Active Directory の間で同期する必要があります。 デバイスライトバックは、コンピューター オブジェクトの属性を msDS-KeyCredentialLink 更新するために使用されます。

AD FS を手動で構成した場合、またはカスタム設定を使用して Connect Sync Microsoft Entra実行した場合は、AD FS ファームでデバイスライトバックとデバイス認証を構成する必要があります。 詳細については、「 デバイスの書き戻しとデバイス認証の構成」を参照してください。

公開キー基盤 (PKI)

認証の トラスト アンカー として、エンタープライズ公開キー インフラストラクチャ (PKI) が必要です。 ドメイン コントローラーには、Windows クライアントが信頼するための証明書が必要です。
認証証明書をユーザーに発行するには、エンタープライズ PKI と証明書登録機関 (CRA) が必要です。 ハイブリッド証明書信頼の展開では、AD FS が CRA として使用されます。

Windows Hello for Businessプロビジョニング中に、ユーザーは CRA を介してサインイン証明書を受け取ります。

次のステップ

前提条件が満たされたら、ハイブリッド キー信頼モデルを使用してWindows Hello for Businessをデプロイする手順は次のとおりです。

• PKI の構成と検証
• AD FS の構成
• Windows Hello for Business の設定の構成
• Windows クライアントでWindows Hello for Businessをプロビジョニングする
• Microsoft Entra参加済みデバイスのシングル サインオン (SSO) を構成する

次へ: 公開キー インフラストラクチャを構成して検証する >