ハイブリッド証明書信頼モデルでActive Directory フェデレーション サービス (AD FS)を構成する

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

この記事では、次Windows Hello for Business適用される機能またはシナリオについて説明します。

Windows Hello for Business証明書ベースのデプロイでは、証明書登録機関 (CRA) として AD FS が使用されます。 CRA は、ユーザーに対する証明書の発行と取り消しを担当します。 登録機関は証明書の要求を確認したら、登録エージェント証明書を使用して証明書要求に署名し、それを証明機関に送信します。
CRA は登録エージェント証明書に登録し、Windows Hello for Business認証証明書テンプレートは、登録エージェント証明書で署名された要求にのみ証明書を発行するように構成されます。

AD FS がWindows Hello for Businessのユーザー証明書要求を検証するには、エンドポイントにアクセスhttps://enterpriseregistration.windows.netできる必要があります。

証明機関を構成する

ドメイン管理者と同等の資格情報を使用して AD FS サーバーにサインインします。

Windows PowerShell プロンプトを開き、次のコマンドを入力します。

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

Windows Hello for Business登録エージェントと認証証明書テンプレートWindows Hello for Business別の名前を指定した場合は、上記のコマンドの WHFBEnrollmentAgentWHFBAuthentication を証明書テンプレートの名前に置き換えます。 テンプレート表示名ではなく、テンプレート名を使用することが重要です。 [証明書テンプレート] 管理コンソール (certtmpl.msc) を使用して、証明書テンプレートの [全般] タブでテンプレート名を表示できます。 または、CA の PowerShell コマンドレットを Get-CATemplate 使用してテンプレート名を表示することもできます。

登録エージェント証明書の登録

AD FS は、独自の証明書ライフサイクル管理を実行します。 適切な証明書テンプレートを使って登録機関を構成したら、最初に証明書が要求されたときか、最初にサービスが開始されたときに、AD FS サーバーによって証明書の登録が試みられます。

登録エージェント証明書の有効期限の約 60 日前に、AD FS サービスは成功するまで証明書の更新を試みます。 証明書の更新に失敗し、証明書の有効期限が切れた場合、AD FS サーバーは新しい登録エージェント証明書を要求します。 AD FS イベント ログを確認することで、登録エージェント証明書の状態を判断できます。

AD FS サービス アカウントのグループ メンバーシップ

AD FS サービス アカウントは、認証証明書テンプレートの自動登録を対象とするセキュリティ グループのメンバーである必要があります (たとえば、 Window Hello for Business Users)。 セキュリティ グループは、プロビジョニング ユーザーに代わってWindows Hello for Business認証証明書を登録するために必要なアクセス許可を AD FS サービスに提供します。

ヒント

adfssvc アカウントは AD FS サービス アカウントです。

Domain Admin と同等の資格情報を使用してドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. [Active Directory ユーザーとコンピューター] を開きます
  2. 認証証明書テンプレートの自動登録の対象となるセキュリティ グループを検索します (たとえば、 Window Hello for Business Users)
  3. [メンバー] タブを選択し、[追加] を選択します
  4. [選択するオブジェクト名を入力します] テキスト ボックスに「adfssvc」と入力するか、AD FS 展開 > OK で AD FS サービス アカウントの名前を置き換えます
  5. [OK] を選択してActive Directory ユーザーとコンピューターに戻ります
  6. AD FS サーバーを再起動する

ハイブリッド証明書信頼モデルの AD FS 2019 の場合、PRT の問題が存在します。 AD FS 管理 イベント ログでこのエラーが発生する可能性があります。無効な Oauth 要求を受信しました。クライアント 'NAME' は、スコープ 'ugs' を持つリソースへのアクセスを禁止します。 このエラーを修正するには:

  1. AD FS 管理コンソールを起動し、[サービス > スコープの説明] を参照します
  2. [スコープの説明] を右クリックし、[スコープの説明の追加] を選択します。
  3. [名前の種類 ugs ] で [ 適用 > ] [OK] を選択します
  4. 管理者として PowerShell を起動する
  5. パラメーターが と等しいアプリケーション権限の ObjectIdentifierClientRoleIdentifier38aa3b87-a06d-4817-b275-7a316988d93b取得します。
(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
  1. コマンド を実行します Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'
  2. AD FS サービスを再起動する
  3. クライアント上: クライアントを再起動します。 ユーザーにWindows Hello for Businessのプロビジョニングを求めるメッセージが表示されます

セクション レビューと次の手順

次のセクションに進む前に、次の手順が完了していることを確認します。

  • 証明機関を構成する
  • AD FS サービス アカウントのグループ メンバーシップの更新

次へ: ポリシー設定を構成する >