Использование сертификатов для Microsoft Entra присоединенного локального единого входа

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

В этой статье описаны Windows Hello для бизнеса функциональные возможности или сценарии, которые применяются к:

• Тип развертывания:
• Тип доверия..
• Тип соединения. Microsoft Entra присоединиться

---

Если вы планируете использовать сертификаты для локального единого входа, выполните следующие дополнительные действия, чтобы настроить среду для регистрации сертификатов Windows Hello для бизнеса для Microsoft Entra присоединенных устройств.

Важно.

Прежде чем продолжить, убедитесь, что вы выполнили конфигурации Microsoft Entra присоединенных устройств для локального Single-Sign Включено.

Ниже приведены следующие действия.

• Подготовка Microsoft Entra Connect
• Подготовка учетной записи службы регистрации сетевых устройств
• Подготовка служб сертификатов Active Directory
• Установка роли служб регистрации сетевых устройств
• Настройка служб регистрации сетевых устройств для работы с Microsoft Intune
• Скачивание, установка и настройка соединителя сертификатов Intune
• Create и назначение профиля сертификата SCEP

Требования

Необходимо установить и настроить дополнительную инфраструктуру, чтобы предоставить Microsoft Entra присоединенным устройствам локальный единый вход.

• Существующий центр сертификации Windows Server Enterprise
• Присоединенный к домену Windows Server, на котором размещена роль служб регистрации сетевых устройств (NDES)

Высокий уровень доступности

Роль сервера NDES выступает в качестве центра регистрации сертификатов (CRA). Серверы регистрации сертификатов регистрировать сертификаты от имени пользователя. Пользователи запрашивают сертификаты из службы NDES, а не непосредственно из центра сертификации, выдающего сертификат.

Архитектура сервера NDES предотвращает кластеризацию или балансировку нагрузки для обеспечения высокого уровня доступности. Чтобы обеспечить высокий уровень доступности, необходимо установить несколько одинаково настроенных серверов NDES и использовать Microsoft Intune для балансировки нагрузки (в режиме циклического перебора).

Роль сервера службы регистрации сетевых устройств (NDES) может выдавать до трех уникальных шаблонов сертификатов. Роль сервера достигает этого путем сопоставления цели запроса сертификата с настроенным шаблоном сертификата. Назначение запроса сертификата имеет три варианта:

• Signature
• Шифрование
• Подпись и шифрование

Если необходимо развернуть более трех типов сертификатов на устройстве, присоединенное к Microsoft Entra, вам потребуются дополнительные серверы NDES. Кроме того, рекомендуется объединить шаблоны сертификатов, чтобы сократить количество шаблонов сертификатов.

Требования к сети

Все обмен данными осуществляется безопасно через порт 443.

Подготовка Microsoft Entra Connect

Для успешной проверки подлинности в локальных ресурсах с помощью сертификата требуется, чтобы сертификат предоставил указание о локальном домене. Указание может быть различающееся имя пользователя Active Directory в качестве субъекта сертификата, или указание может быть именем участника-пользователя, где суффикс соответствует доменному имени Active Directory.

Большинство сред изменяют суффикс имени участника-пользователя в соответствии с внешним доменным именем организации (или тщеславным доменом), что не позволяет использовать имя участника-пользователя в качестве указания на поиск контроллера домена. Поэтому сертификату требуется локальное различающееся имя пользователя в субъекте, чтобы правильно найти контроллер домена.

Чтобы включить локальное различающееся имя в субъект сертификата, Microsoft Entra Connect должен реплицировать атрибут Active Directory различающееся имя в атрибут Microsoft Entra ID onPremisesDistinguishedName. Microsoft Entra Connect версии 1.1.819 включает соответствующие правила синхронизации, необходимые для этих атрибутов.

Проверка версии Microsoft Entra Connect

Войдите на компьютер под управлением Microsoft Entra Connect с доступом, эквивалентным локальному администратору.

1. Откройте службы синхронизации из папки Microsoft Entra Connect.
2. В Service Manager синхронизации выберите Справка, а затем — О программе.
3. Если номер версии не является 1.1.819 или более поздней, обновите Microsoft Entra Connect до последней версии.

Убедитесь, что атрибут onPremisesDistinguishedName синхронизирован.

Самый простой способ убедиться, что атрибут onPremisesDistingushedNamne синхронизирован, — использовать Обозреватель Graph для Microsoft Graph.

1. Откройте веб-браузер и перейдите к graph Обозреватель

2. Выберите Войти в Graph Обозреватель и укажите учетные данные Azure.

   Примечание.

   Чтобы успешно запросить API Graph, необходимо предоставить соответствующие разрешения.

3. Выберите Изменить разрешения (предварительная версия). Прокрутите вниз и найдите User.Read.All (или любое другое требуемое разрешение) и выберите Согласие. Теперь вам будет предложено предоставить согласие на делегированные разрешения.

4. В поле URL-адрес Обозреватель Graph введите https://graph.microsoft.com/v1.0/users/[userid]?$select=displayName,userPrincipalName,onPremisesDistinguishedName, где [userid] — это имя участника-пользователя в Microsoft Entra ID. Выберите Выполнить запрос.

   Примечание.

   Так как конечная точка версии 1.0 API Graph предоставляет только ограниченный набор параметров, мы будем использовать параметр запроса OData необязательный $select. Для удобства перед выполнением запроса можно переключить селектор версий API с версии 1.0 на бета-версию . При этом будут предоставлены все доступные сведения о пользователе, но помните, что запросы конечных точек бета-версии не следует использовать в рабочих сценариях.

   Запрос

   GET https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}?$select=displayName,userPrincipalName,onPremisesDistinguishedName
   

5. В возвращенных результатах просмотрите данные JSON для атрибута onPremisesDistinguishedName . Убедитесь, что атрибут имеет значение и что значение является точным для данного пользователя. Если атрибут onPremisesDistinguishedName не синхронизирован, значение будет иметь значение NULL.

   Ответ

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,userPrincipalName,onPremisesDistinguishedName)/$entity",
       "displayName": "Nestor Wilke",
       "userPrincipalName": "NestorW@contoso.com",
       "onPremisesDistinguishedName" : "CN=Nestor Wilke,OU=Operations,DC=contoso,DC=com"
   }
   

Подготовка учетной записи службы регистрации сетевых устройств (NDES)

Create глобальной группы безопасности серверов NDES

В развертывании используется группа безопасности серверов NDES , чтобы назначить службе NDES правильные назначения прав пользователя.

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

1. Откройте оснастку Пользователи и компьютеры Active Directory.
2. Развертывание узла домена из области навигации
3. Щелкните правой кнопкой мыши контейнер Пользователи. Наведите указатель мыши на кнопку Создать и выберите Группировать.
4. Введите серверы NDES в текстовом поле Имя группы .
5. Нажмите кнопку ОК.

Добавление сервера NDES в группу глобальной безопасности серверов NDES

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

1. Откройте оснастку Пользователи и компьютеры Active Directory.
2. Развертывание узла домена из области навигации
3. Выберите Компьютеры в области навигации. Щелкните правой кнопкой мыши имя сервера NDES, на котором будет размещена роль сервера NDES. Выберите Добавить в группу.
4. Введите серверы NDES вполе Введите имена объектов для выбора. Нажмите ОК. В диалоговом окне успешного доменные службы Active Directory нажмите кнопку ОК.

Примечание.

Для обеспечения высокого уровня доступности необходимо иметь несколько серверов NDES для обслуживания Windows Hello для бизнеса запросов на сертификаты. В эту группу следует добавить дополнительные Windows Hello для бизнеса серверов NDES, чтобы убедиться, что они получают правильную конфигурацию.

Create учетной записи службы NDES

Роль служб регистрации сетевых устройств (NDES) выполняется под учетной записью службы. Как правило, предпочтительно запускать службы с помощью групповой управляемой учетной записи службы (GMSA). Хотя роль NDES можно настроить для запуска с помощью GMSA, соединитель сертификатов Intune не разрабатывался и не тестировался с помощью GMSA и считается неподдерживаемой конфигурацией. В развертывании используется обычная учетная запись служб.

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

1. В области навигации разверните узел с доменным именем. Выбор пользователей
2. Щелкните правой кнопкой мыши контейнер Пользователи. Наведите указатель мыши на кнопку Создать и выберите Пользователь. Введите NDESSvc в полях Полное имя и Имя входа пользователя. Нажмите кнопку Далее
3. Введите безопасный пароль в поле Пароль. Подтвердите безопасный пароль в разделе Подтверждение пароля. Снимите флажок Требовать смены пароля при следующем входе в систему. Нажмите кнопку Далее
4. Нажмите кнопку Готово

Важно.

Настроить пароль учетной записи службы для параметра Пароль, срок действия которого не истекает , может быть удобнее, но это создает угрозу безопасности. Срок действия обычных паролей учетных записей службы должен истечь в соответствии с политикой срока действия паролей пользователей организации. Create напоминание об изменении пароля учетной записи службы за две недели до истечения срока действия. Поделитесь напоминанием с другими пользователями, которым разрешено изменить пароль, чтобы убедиться, что пароль изменен до истечения срока его действия.

Create объект NDES Service User Rights групповая политика

Объект групповая политика гарантирует, что учетная запись службы NDES имеет надлежащее право пользователя на назначение всех серверов NDES в группе серверов NDES. При добавлении новых серверов NDES в среду и эту группу учетная запись службы автоматически получает соответствующие права пользователя через групповая политика.

Войдите в контроллер домена или на рабочие станции управления, используя учетные данные, эквивалентные администратору домена.

1. Запустите Консоль управления групповыми политиками (gpmc.msc).

2. Разверните домен и выберите узел объект групповая политика в области навигации.

3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.

4. Введите NDES Service Rights в поле имени и нажмите кнопку ОК.

5. В области содержимого щелкните правой кнопкой мыши объект NDES Service Rights групповая политика и выберите изменить.

6. В области навигации разверните узел Политики в разделе Конфигурация компьютера.

7. Разверните узел Параметры > Windows Параметры безопасности Локальные > политики. Выбор назначений прав пользователя

8. В области содержимого дважды щелкните Разрешить локальный вход. Выберите Определить эти параметры политики и нажмите кнопку ОК. Выберите Добавить пользователя или группу.... В диалоговом окне Добавление пользователя или группы выберите Обзор. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или Групп введите Администраторы; Операторы резервного копирования; DOMAINNAME\NDESSvc; Пользователи, где DOMAINNAME — это netBios-имя домена (пример CONTOSO\NDESSvc) в именах пользователей и групп. Дважды нажмите кнопку ОК.

9. В области содержимого дважды щелкните Вход в качестве пакетного задания. Выберите Определить эти параметры политики и нажмите кнопку ОК. Выберите Добавить пользователя или группу.... В диалоговом окне Добавление пользователя или группы выберите Обзор. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или Групп введите Администраторы; Операторы резервного копирования; DOMAINNAME\NDESSvc; Пользователи журнала производительности, где DOMAINNAME — это netBios-имя домена (пример CONTOSO\NDESSvc) в именах пользователей и групп. Дважды нажмите кнопку ОК.

10. В области содержимого дважды щелкните Войти как услуга. Выберите Определить эти параметры политики и нажмите кнопку ОК. Выберите Добавить пользователя или группу.... В диалоговом окне Добавление пользователя или группы выберите Обзор. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или Групп введите NT SERVICE\ALL SERVICES; DOMAINNAME\NDESSvc , где DOMAINNAME — это netBios-имя домена (пример CONTOSO\NDESSvc) в именах пользователей и групп. Три раза нажмите кнопку ОК .

11. Закрытие Редактор управления групповая политика

Настройка безопасности для объекта NDES Service User Rights групповая политика

Лучший способ развернуть объект NDES Service User Rights групповая политика — использовать фильтрацию групп безопасности. Это позволяет легко управлять компьютерами, получающими параметры групповая политика, добавляя их в группу.

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

1. Запустите Консоль управления групповыми политиками (gpmc.msc).
2. Разверните домен и выберите узел объект групповая политика в области навигации.
3. Дважды щелкните объект NDES Service User Rights групповая политика
4. В разделе Фильтрация безопасности области содержимого выберите Добавить. Введите серверы NDES или имя ранее созданной группы безопасности и нажмите кнопку ОК.
5. Перейдите на вкладку Делегирование . Выберите Пользователи, прошедшие проверку подлинности , и выберите Дополнительно.
6. В списке Группы или пользователи выберите Прошедшие проверку. В списке Разрешения для прошедших проверку пользователей снимите флажок Разрешить для разрешения Применить групповую политику. Нажмите кнопку ОК.

Развертывание объекта NDES Service User Rights групповая политика

Приложение объекта NDES Service User Rights групповая политика использует фильтрацию групп безопасности. Это позволяет связать объект групповая политика в домене, гарантируя, что объект групповая политика находится в область со всеми компьютерами. Однако фильтрация групп безопасности гарантирует, что только компьютеры, входящие в глобальную группу безопасности NDES Servers, получают и применяют объект групповая политика, что приводит к предоставлению учетной записи службы NDESSvc с соответствующими правами пользователя.

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

1. Запустите Консоль управления групповыми политиками (gpmc.msc).
2. В области навигации разверните домен и щелкните правой кнопкой мыши узел с доменным именем Active Directory и выберите Связать существующий объект групповой политики.
3. В диалоговом окне Выбор объекта групповой политики выберите NDES Service User Rights (Права пользователя службы NDES) или имя ранее созданного объекта групповая политика и нажмите кнопку ОК.

Важно.

Связывание объекта NDES Service User Rights групповая политика с доменом гарантирует, что объект групповая политика находится в область для всех компьютеров. Однако не на всех компьютерах будут применены параметры политики. Только компьютеры, входящие в группу глобальной безопасности серверов NDES, получают параметры политики. Все остальные компьютеры игнорируют объект групповая политика.

Подготовка центра сертификации Active Directory

Необходимо подготовить инфраструктуру открытых ключей и выдающий центр сертификации для поддержки выдачи сертификатов с помощью Microsoft Intune и роли сервера служб регистрации сетевых устройств (NDES). В этой задаче вы будете

• Настройка центра сертификации для предоставления Intune срока действия
• Create шаблон сертификата проверки подлинности NDES-Intune
• Create шаблон сертификата проверки подлинности, присоединенного к Microsoft Entra Windows Hello для бизнеса
• Публикация шаблонов сертификатов

Настройка центра сертификации для предоставления Intune срока действия

При развертывании сертификатов с помощью Microsoft Intune можно указать срок действия в профиле сертификата SCEP, а не полагаться на срок действия в шаблоне сертификата. Если необходимо выдать один и тот же сертификат с разными сроками действия, может оказаться полезным использовать профиль SCEP, учитывая ограниченное количество сертификатов, которые может выдать один сервер NDES.

Примечание.

Пропустите этот шаг, если вы не хотите включать Microsoft Intune, чтобы указать срок действия сертификата. Без этой конфигурации запрос сертификата использует срок действия, заданный в шаблоне сертификата.

Войдите в выдающий центр сертификации с доступом, эквивалентным локальному администратору.

1. Откройте командную строку с повышенными привилегиями и введите следующую команду:

   certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
   

2. Перезапуск службы сертификатов Active Directory

Create шаблон сертификата проверки подлинности NDES-Intune

NDES использует сертификат проверки подлинности сервера для проверки подлинности конечной точки сервера, который шифрует связь между ней и подключающимся клиентом. Соединитель сертификатов Intune использует шаблон сертификата проверки подлинности клиента для проверки подлинности в точке регистрации сертификата.

Войдите в центр сертификации или рабочие станции управления с помощью доменных Администратор эквивалентных учетных данных.

1. Откройте консоль управления центра сертификации

2. Щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление.

3. В консоли шаблонов сертификатов щелкните правой кнопкой мыши шаблон Компьютер в области сведений и выберите Дублировать шаблон.

4. На вкладке Общие введите проверку подлинности NDES-Intune в поле Отображаемое имя шаблона. Настройка срока действия и периода продления в соответствии с потребностями предприятия

   Примечание.

   Если вы используете разные имена шаблонов, вам потребуется запомнить и подставить эти имена в разных участках лаборатории.

5. На вкладке Тема выберите Пункт Предоставить в запросе.

6. На вкладке Шифрование проверьте минимальный размер ключа2048.

7. На вкладке Безопасность выберите Добавить.

8. Выберите Типы объектов, а затем в появившемся окне выберите Компьютеры и нажмите кнопку ОК.

9. Введите сервер NDES в текстовом поле Введите имена объектов для выделения и нажмите кнопку ОК.

10. Выберите сервер NDES в списке Имена групп или пользователей . В разделе Разрешения для выберите поле Разрешить проверка для разрешения Регистрация. Снимите флажок Разрешить проверка разрешения регистрации и автоматической регистрации для всех остальных элементов в списке Имена групп или пользователей, если поля проверка еще не очищены. Нажмите кнопку ОК.

11. Нажмите кнопку Применить , чтобы сохранить изменения и закрыть консоль.

Create шаблон сертификата проверки подлинности, присоединенного к Microsoft Entra Windows Hello для бизнеса

Во время подготовки Windows Hello для бизнеса Windows запрашивает сертификат проверки подлинности у Microsoft Intune, который запрашивает сертификат проверки подлинности от имени пользователя. Эта задача настраивает шаблон сертификата проверки подлинности Windows Hello для бизнеса. Имя шаблона сертификата используется при настройке сервера NDES.

Войдите в центр сертификации или рабочие станции управления с помощью доменных Администратор эквивалентных учетных данных.

1. Откройте консоль управления центра сертификации

2. Щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление.

3. Щелкните правой кнопкой мыши шаблон Входа смарт-карты и выберите пункт Дублировать шаблон.

4. На вкладке Совместимость снимите флажок Показать последующие изменения . Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Центр сертификации. Выберите Windows Server 2012 или Windows Server 2012 R2 в списке Получатель сертификата.

5. На вкладке Общие введите ENTRA JOINED WHFB Authentication (Проверка подлинности WHFB ENTRA JOINED ) в поле Отображаемое имя шаблона. Настройка срока действия и периода продления в соответствии с потребностями предприятия

   Примечание.

   Если вы используете разные имена шаблонов, необходимо запомнить и подставить эти имена в разных участках развертывания.

6. На вкладке Шифрование выберите Поставщик хранилища ключей из списка Категория поставщика. Из списка Имя алгоритма выберите RSA. Введите 2048 в текстовое поле Минимальный размер ключей. Выберите SHA256 в списке хэша запроса .

7. На вкладке Расширения убедитесь, что расширение "Политики приложений " включает вход с помощью смарт-карты.

8. На вкладке Тема выберите Пункт Предоставить в запросе.

9. На вкладке Обработка запросов выберите Подпись и шифрование в списке Назначение . Установите флажок Продлить с тем же ключом проверка. Выберите Регистрация субъекта без необходимости ввода пользователем.

10. На вкладке Безопасность выберите Добавить. Введите NDESSvc в текстовом поле Введите имена объектов для выделения и нажмите кнопку ОК.

11. Выберите NDESSvc в списке Имена групп или пользователей . В разделе Разрешения для серверов NDES установите флажок Разрешить проверка для параметра Чтение и регистрация. Снимите флажок Разрешить проверка разрешения регистрации и автоматической регистрации для всех остальных записей в разделе Имена групп или пользователей, если поля проверка еще не очищены. Нажмите кнопку ОК.

12. Закрытие консоли

Публикация шаблонов сертификатов

Центр сертификации может выдавать только сертификаты, соответствующие шаблонам сертификатов, опубликованным в этот центр сертификации. При наличии более чем одного центра сертификации, если вы хотите, чтобы центр сертификации выдавал сертификаты на основе определенного шаблона сертификата, необходимо опубликовать шаблон сертификата на все центры сертификации, которые должны выдавать такой сертификат.

Важно.

Убедитесь, что вы публикуете шаблоны сертификатов проверки подлинности WHFB ENTRA JOINED в центр сертификации, который Microsoft Intune использует через серверы NDES. Конфигурация NDES предлагает выбрать центр сертификации, из которого запрашивается сертификат. Эти шаблоны сертификатов необходимо опубликовать в этом выдающем центре сертификации. Сертификат проверки подлинности NDES-Intune регистрируется напрямую и может быть опубликован в любом центре сертификации.

Войдите в центр сертификации или рабочие станции управления с учетными данными, эквивалентными администратору предприятия .

1. Откройте консоль управления центра сертификации
2. Развертывание родительского узла из области навигации
3. Выберите Шаблоны сертификатов в области навигации
4. Щелкните правой кнопкой мыши узел Шаблоны сертификатов. Выберите Создать и выберите Шаблон сертификата для выдачи.
5. В окне Включить шаблоны сертификатов выберите шаблоны проверки подлинности NDES-Intune и ENTRA JOINED WHFB Authentication, созданные на предыдущих шагах. Нажмите кнопку ОК , чтобы опубликовать выбранные шаблоны сертификатов в центр сертификации.
6. Закрытие консоли

Установка и настройка роли NDES

В этом разделе содержатся следующие статьи:

• Установка роли службы регистрации сетевых устройств
• Настройка учетной записи службы NDES
• Настройка роли NDES и шаблонов сертификатов
• Create веб-Application Proxy для внутреннего URL-адреса NDES
• Регистрация сертификата проверки подлинности NDES-Intune
• Настройка сертификата веб-сервера для NDES
• Проверка конфигурации

Установка роли служб регистрации сетевых устройств

Установите роль службы регистрации сетевых устройств на компьютере, отличном от центра сертификации.

Войдите в центр сертификации или рабочие станции управления, используя корпоративные Администратор эквивалентные учетные данные.

1. Открытие диспетчер сервера на сервере NDES

2. Выберите Управление. Выберите Добавить роли и компоненты.

3. В мастере добавления ролей и компонентов на странице Перед началом работы нажмите кнопку Далее. Выберите Установка на основе ролей или компонентов на странице Выбор типа установки . Выберите Далее. Выберите Выбрать сервер из пула серверов. Выберите локальный сервер в списке Пул серверов . Нажмите кнопку Далее

   

4. На странице Выбор ролей сервера выберите Службы сертификатов Active Directory в списке Роли .

   

   Выберите Добавить компоненты в диалоговом окне Мастер добавления ролей и компонентов . Нажмите кнопку Далее

   

5. На странице Компоненты разверните узел платформа .NET Framework 3.5 Компоненты. Выберите Активация HTTP. Выберите Добавить компоненты в диалоговом окне Мастер добавления ролей и компонентов . Разверните платформа .NET Framework 4.5 Компоненты. Разверните узел Службы WCF. Выберите Активация HTTP. Выберите Добавить компоненты в диалоговом окне Мастер добавления ролей и компонентов . Нажмите кнопку Далее

   

6. На странице Выбор служб ролей снимите флажок Центр сертификации проверка. Выберите Службу регистрации сетевых устройств. Выберите Добавить компоненты в диалоговом окне Мастер добавления ролей и компонентов . Нажмите кнопку Далее

   

7. Нажмите кнопку Далее на странице Роль веб-сервера (IIS)

8. На странице Выбор служб ролей для роли "Веб-служба" выберите следующие дополнительные службы, если они еще не выбраны, и нажмите кнопку Далее.

   • Фильтрация запросов безопасности > веб-сервера >
   • Разработка > приложений веб-сервера > ASP.NET 3.5
   • Разработка > приложений веб-сервера > ASP.NET 4.5
   • Средства > управления IIS 6 Совместимость > метабазы IIS 6
   • Средства > управления IIS 6 Совместимость > управления IIS 6 WMI Совместимость с IIS 6

   

9. Выберите Установить. После завершения установки перейдите к следующей процедуре. Не нажимайте кнопку Закрыть

   Важно.

   платформа .NET Framework 3.5 не входит в обычную установку. Если сервер подключен к Интернету, установка пытается получить файлы с помощью клиентский компонент Центра обновления Windows. Если сервер не подключен к Интернету, необходимо указать альтернативный путь к источнику , например <driveLetter>:\Sources\SxS\

   

Настройка учетной записи службы NDES

Эта задача добавляет учетную запись службы NDES в локальную группу IIS_USRS. Задача также настраивает учетную запись службы NDES для проверки подлинности и делегирования Kerberos.

Добавление учетной записи службы NDES в группу IIS_USRS

Войдите на сервер NDES с доступом, эквивалентным локальному администратору.

1. Запуск консоль управления локальных пользователей и групп (lusrmgr.msc)
2. Выберите Группы в области навигации. Дважды щелкните группу IIS_IUSRS
3. В диалоговом окне Свойства IIS_IUSRS выберите Добавить. Введите NDESSvc или имя учетной записи службы NDES. Выберите Проверить имена , чтобы проверить имя, а затем нажмите кнопку ОК. Нажмите кнопку ОК , чтобы закрыть диалоговое окно свойств.
4. Закройте консоль управления.

Регистрация имени субъекта-службы в учетной записи службы NDES

Войдите на сервер NDES с доступом, эквивалентным администраторам домена.

1. Открытие командной строки с повышенными привилегиями

2. Введите следующую команду, чтобы зарегистрировать имя субъекта-службы.

   setspn -s http/[FqdnOfNdesServer] [DomainName\\NdesServiceAccount]
   

   где [FqdnOfNdesServer] — это полное доменное имя сервера NDES, а [Имя_домена\NdesServiceAccount] — доменное имя и имя учетной записи службы NDES, разделенное обратной косой чертой (\). Пример команды выглядит следующим образом:

   setspn -s http/ndes.corp.contoso.com contoso\ndessvc
   

Примечание.

Если вы используете одну и ту же учетную запись службы для нескольких серверов NDES, повторите следующую задачу для каждого сервера NDES, на котором выполняется служба NDES.

Настройка учетной записи службы NDES для делегирования

Служба NDES регистрирует сертификаты от имени пользователей. Поэтому необходимо ограничить действия, которые он может выполнять от имени пользователя. Это можно сделать с помощью делегирования.

Выполните вход в контроллер домена с минимальным доступом, эквивалентным администраторам домена.

1. Откройте оснастку Пользователи и компьютеры Active Directory.

2. Найдите учетную запись службы NDES (NDESSvc). Щелкните правой кнопкой мыши и выберите пункт Свойства. Перейдите на вкладку Делегирование .

   

3. Выберите Доверять этому пользователю только для делегирования указанным службам.

4. Выберите Использовать любой протокол проверки подлинности.

5. Выберите Добавить.

6. Выберите Пользователи или компьютеры... Введите имя сервера NDES, используемого для выдачи сертификатов проверки подлинности Windows Hello для бизнеса для Microsoft Entra присоединенных устройств. В списке Доступные службы выберите УЗЕЛ. Нажмите кнопку ОК.

   

7. Повторите шаги 5 и 6 для каждого сервера NDES с помощью этой учетной записи службы. Выберите Добавить.

8. Выберите Пользователи или компьютеры... Введите имя центра сертификации, который эта учетная запись службы NDES использует для выдачи Windows Hello для бизнеса сертификатов проверки подлинности Microsoft Entra присоединенным устройствам. В списке Доступные службы выберите dcom. Удерживая нажатой клавишу CTRL , выберите УЗЕЛ. Нажмите кнопку ОК.

9. Повторите шаги 8 и 9 для каждого центра сертификации, из которого один или несколько серверов NDES запрашивают сертификаты.

   

10. Нажмите ОК. Закрыть Пользователи и компьютеры Active Directory

Настройка шаблонов ролей и сертификатов NDES

Эта задача настраивает роль NDES и шаблоны сертификатов, которые выдает сервер NDES.

Настройка роли NDES

Войдите в центр сертификации или рабочие станции управления, используя корпоративные Администратор эквивалентные учетные данные.

Примечание.

Если серверный диспетчер был закрыт из последнего набора задач, запустите диспетчер сервера и щелкните флаг действия с желтым восклицательным знаком.

1. Выберите ссылку Настройка служб сертификатов Active Directory на целевом сервере .

2. На странице Учетные данные нажмите кнопку Далее.

   

3. На странице Службы ролей выберите Служба регистрации сетевых устройств, а затем нажмите кнопку Далее.

   

4. На странице Учетная запись службы для NDES выберите Указать учетную запись службы (рекомендуется). Выберите Выбрать.... В диалоговом окне Безопасность Windows введите имя пользователя и пароль для учетной записи службы NDES. Нажмите кнопку Далее

   

5. На странице ЦС для NDES выберите имя ЦС. Выберите Выбрать.... Выберите центр сертификации, из которого сервер NDES запрашивает сертификаты. Нажмите кнопку Далее

   

6. В разделе Ra Information (Сведения о ra) нажмите кнопку Далее.

7. На странице Шифрование для NDES нажмите кнопку Далее.

8. Просмотрите страницу Подтверждение . Выберите Настроить.

   

9. Нажмите кнопку Закрыть после завершения настройки.

Настройка шаблонов сертификатов в NDES

Один сервер NDES может запрашивать не более трех шаблонов сертификатов. Сервер NDES определяет, какой сертификат следует выдать, на основе запроса на входящий сертификат, назначенный в профиле сертификата MICROSOFT INTUNE SCEP. Профиль сертификата SCEP Microsoft Intune имеет три значения.

• Цифровая подпись
• Шифрование ключей
• Шифрование ключей, цифровая подпись

Каждое значение сопоставляется со значением реестра на сервере NDES. Сервер NDES преобразует предоставленное входящее значение SCEP в соответствующий шаблон сертификата. В таблице ниже показаны значения профилей SCEP для имен реестра шаблонов сертификатов NDES.

Использование ключа профиля SCEP	Имя значения реестра NDES
Цифровая подпись	SignatureTemplate
Шифрование ключей	EncryptionTemplate
Шифрование ключей Цифровая подпись	GeneralPurposeTemplate

В идеале необходимо сопоставить запрос сертификата со значением реестра, чтобы обеспечить интуитивно понятную конфигурацию (сертификаты шифрования используют шаблон шифрования, сертификаты подписи — шаблон подписи и т. д.). Результатом этого интуитивно понятного проектирования является потенциальный экспоненциальный рост на сервере NDES. Представьте себе организацию, которая должна выдать девять уникальных сертификатов подписи на предприятии.

При необходимости можно настроить сертификат подписи в имени реестра шифрования или сертификат шифрования в значении реестра подписи, чтобы максимально эффективно использовать инфраструктуру NDES. Эта неинтуитивная конструкция требует наличия актуальной и точной документации по конфигурации, чтобы убедиться, что профиль сертификата SCEP настроен для регистрации правильного сертификата, независимо от фактического назначения. Каждой организации необходимо сбалансировать простоту настройки и администрирования с дополнительной инфраструктурой NDES и затратами на управление, которые вместе с ней.

Войдите на сервер NDES с учетными данными, эквивалентными локальному администратору .

1. Открытие командной строки с повышенными привилегиями

2. Используя приведенную выше таблицу, определите, какое значение реестра будет использоваться для запроса сертификатов проверки подлинности Windows Hello для бизнеса для Microsoft Entra присоединенных устройств.

3. Введите следующую команду:

   reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v [registryValueName] /t REG_SZ /d [certificateTemplateName]
   

   где registryValueName — это одно из трех имен значений из приведенной выше таблицы, где certificateTemplateName — это имя шаблона сертификата, созданного для Windows Hello для бизнеса Microsoft Entra присоединенных устройств. Пример.

   reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v SignatureTemplate /t REG_SZ /d ENTRAJOINEDWHFBAuthentication
   

4. Введите Y , когда команда запрашивает разрешение на перезапись существующего значения.

5. Закройте командную строку.

Важно.

Используйте имя шаблона сертификата; не отображаемое имя. Имя шаблона сертификата не содержит пробелов. Имена сертификатов можно просмотреть на вкладке Общие свойств шаблона сертификата в разделе Шаблоны сертификатов консоль управления (certtmpl.msc).

Create веб-Application Proxy для внутреннего URL-адреса NDES.

Регистрация сертификатов для Microsoft Entra присоединенных устройств происходит через Интернет. В результате внутренние URL-адреса NDES должны быть доступны извне. Это можно сделать легко и безопасно с помощью Microsoft Entra прокси приложения. Microsoft Entra прокси приложения обеспечивает единый вход и безопасный удаленный доступ для веб-приложений, размещенных локально, таких как службы регистрации сетевых устройств.

В идеале вы настраиваете профиль сертификата SCEP Microsoft Intune для использования нескольких внешних URL-адресов NDES. Это позволяет Microsoft Intune циклического перебора распределять нагрузку запросов сертификатов с одинаково настроенными серверами NDES (каждый сервер NDES может вмещать около 300 одновременных запросов). Microsoft Intune отправляет эти запросы в прокси-серверы приложений Microsoft Entra.

прокси-серверы приложений Microsoft Entra обслуживаются упрощенными агентами соединителя Application Proxy. Дополнительные сведения см. в статье Что такое Application Proxy. Эти агенты устанавливаются на локальных устройствах, присоединенных к домену, и обеспечивают безопасное исходящее подключение к Azure с проверкой подлинности, ожидая обработки запросов от Microsoft Entra прокси-серверов приложений. Группы соединителей можно создавать в Microsoft Entra ID для назначения определенных соединителей приложениям, определенным службам.

Группа соединителей автоматически циклически перебор, балансировка нагрузки Microsoft Entra запросов прокси приложения к соединителям в назначенной группе соединителей. Это гарантирует, Windows Hello для бизнеса запросы сертификатов имеют несколько выделенных соединителей прокси-сервера приложения Microsoft Entra доступны исключительно для удовлетворения запросов на регистрацию. Балансировка нагрузки серверов и соединителей NDES должна гарантировать, что пользователи своевременно регистрируют свои сертификаты Windows Hello для бизнеса.

Скачивание и установка агента соединителя Application Proxy

Войдите на рабочую станцию с правами пользователя домена.

1. Вход в портал Azure с доступом, эквивалентным глобальному администратору
2. Выберите Все службы. Введите Microsoft Entra ID, чтобы отфильтровать список служб. В разделе СЛУЖБЫ выберите Microsoft Entra ID
3. В разделе УПРАВЛЕНИЕ выберите Прокси приложения.
4. Выберите Скачать службу соединителя. Выберите Принять условия & Скачать. Сохраните файл (AADApplicationProxyConnectorInstaller.exe) в расположении, доступном другим пользователям в домене
5. Войдите на компьютер, на который будет запущен соединитель с доступом, эквивалентным пользователю домена.

   Важно.

   Установите не менее двух соединителей прокси-сервера Microsoft Entra ID для каждого Application Proxy NDES. Стратегически разместите соединители прокси-сервера приложений Microsoft Entra по всей организации, чтобы обеспечить максимальную доступность. Помните, что устройства, на которых запущен соединитель, должны иметь возможность взаимодействовать с Azure и локальными серверами NDES.

6. Запуск AADApplicationProxyConnectorInstaller.exe
7. Прочтите условия лицензии и выберите Я принимаю условия лицензии. Выберите Установить
8. Вход в Microsoft Azure с доступом, эквивалентным соединителю прокси-сервера глобального администратора
9. После завершения установки. Ознакомьтесь со сведениями об исходящих прокси-серверах. Выберите Закрыть
10. Повторите шаги 5–10 для каждого устройства, на которых будет запущен соединитель прокси приложения Microsoft Entra для развертываний сертификатов Windows Hello для бизнеса.

Create группу соединителей

Войдите на рабочую станцию с правами пользователя домена.

1. Вход в портал Azure с доступом, эквивалентным глобальному администратору

2. Выберите Все службы. Введите Microsoft Entra ID, чтобы отфильтровать список служб. В разделе СЛУЖБЫ выберите Microsoft Entra ID

3. В разделе УПРАВЛЕНИЕ выберите Прокси приложения.

   

4. Выберите Создать группу соединителей. В разделе Имя введите NDES WHFB Connectors.

   

5. Выберите каждый агент соединителя в списке Соединители, который будет обслуживать запросы на регистрацию сертификатов Windows Hello для бизнеса.

6. Выберите Сохранить.

Create прокси-сервер приложение Azure

Войдите на рабочую станцию с правами пользователя домена.

1. Вход в портал Azure с доступом, эквивалентным глобальному администратору

2. Выберите Все службы. Введите Microsoft Entra ID, чтобы отфильтровать список служб. В разделе СЛУЖБЫ выберите Microsoft Entra ID

3. В разделе УПРАВЛЕНИЕ выберите Прокси приложения.

4. Выберите Настроить приложение.

5. В разделе Основные параметры рядом с полем Имя введите WHFB NDES 01. Выберите имя, которое сопоставляет этот Microsoft Entra параметр прокси-сервера приложения с локальным сервером NDES. Каждый сервер NDES должен иметь собственный Microsoft Entra прокси приложения, так как два сервера NDES не могут совместно использовать один и тот же внутренний URL-адрес.

6. Рядом с полем Внутренний URL-адрес введите внутреннее полное DNS-имя сервера NDES, связанного с этим Microsoft Entra прокси приложения. Например, https://ndes.corp.mstepdemo.net. Необходимо сопоставить имя основного узла (имя учетной записи компьютера AD) сервера NDES и префиксировать URL-адрес https.

7. В разделе Внутренний URL-адрес выберите https:// в первом списке. В текстовом поле рядом с https:// введите имя узла, которое вы хотите использовать в качестве внешнего имени узла для прокси-сервера приложения Microsoft Entra. В списке рядом с введенным именем узла выберите DNS-суффикс, который вы хотите использовать извне для прокси приложения Microsoft Entra. Рекомендуется использовать значение по умолчанию -[имя_клиента].msapproxy.net, где [tenantName] — это текущее имя клиента Microsoft Entra (-mstephendemo.msappproxy.net).

   

8. Выберите Passthrough (Сквозная передача) в списке предварительной проверки подлинности.

9. Выберите соединители WHFB NDES в списке Групп соединителей

10. В разделе Дополнительные параметры выберите Значение По умолчанию в разделе Время ожидания внутреннего приложения. В разделе Перевод URL-адресов в выберите Да рядом с заголовками и Нет рядом с текстом приложения.

11. Выберите Добавить.

12. Выйдите из портала Azure.

    Важно.

    Запишите внутренние и внешние URL-адреса. Эти сведения потребуются при регистрации сертификата проверки подлинности NDES-Intune.

Регистрация сертификата проверки подлинности NDES-Intune

Эта задача регистрирует сертификат проверки подлинности клиента и сервера, используемый соединителем Intune и сервером NDES.

Войдите на сервер NDES с доступом, эквивалентным локальным администраторам.

1. Запустите диспетчер сертификатов локального компьютера (certlm.msc)

2. Разверните узел Личный в области навигации

3. Щелкните правой кнопкой мыши Личные. Выберите Все задачи и запросите новый сертификат

4. Нажмите кнопку Далее на странице перед началом работы .

5. Нажмите кнопку Далее на странице Выбор политики регистрации сертификатов .

6. На странице Запрос сертификатов выберите поле NDES-Intune Authentication проверка

7. Выберите дополнительные сведения, необходимые для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры

   

8. В разделе Имя субъекта выберите Общее имя из списка Тип. Введите внутренний URL-адрес, используемый в предыдущей задаче (без https://, например ndes.corp.mstepdemo.net), а затем нажмите кнопку Добавить.

9. В разделе Альтернативное имя выберите DNS из списка Тип. Введите внутренний URL-адрес, используемый в предыдущей задаче (без https://, например ndes.corp.mstepdemo.net). Нажмите кнопку Добавить. Введите внешний URL-адрес, используемый в предыдущей задаче (без https://, например ndes-mstephendemo.msappproxy.net). Нажмите кнопку Добавить. По завершении нажмите кнопку ОК .

10. Выберите Регистрация

11. Повторите эти действия для всех серверов NDES, используемых для запроса сертификатов проверки подлинности Windows Hello для бизнеса для устройств, присоединенных к Microsoft Entra

Настройка роли веб-сервера

Эта задача настраивает роль веб-сервера на сервере NDES для использования сертификата проверки подлинности сервера.

Войдите на сервер NDES с доступом, эквивалентным локальному администратору.

1. Запуск диспетчера служб IIS из средств администрирования

2. Разверните узел с именем сервера NDES. Разверните узел Сайты и выберите Веб-сайт по умолчанию.

   

3. Выберите Привязки... в разделе Действия. Нажмите кнопку Добавить.

   

4. Выберите https вполе Тип. Убедитесь, что для параметра Port задано значение 443.

5. Выберите сертификат, который вы зарегистрировали ранее, в списке SSL-сертификатов . Нажмите кнопку ОК.

   

6. Выберите http в списке Привязки сайта . Выберите Удалить.

7. Нажмите кнопку Закрыть в диалоговом окне Привязки сайта .

8. Закрытие диспетчера служб IIS

Проверка конфигурации

Эта задача подтверждает конфигурацию TLS для сервера NDES.

Войдите на сервер NDES с доступом, эквивалентным локальному администратору.

Отключение конфигурации расширенной безопасности Обозреватель Интернета

1. Откройте Диспетчер сервера. Выберите Локальный сервер в области навигации.
2. Выберите Включено рядом с элементом IE Enhanced Security Configuration (Конфигурация усиленной безопасности IE ) в разделе Свойства .
3. В диалоговом окне Конфигурация усиленной безопасности Интернета Обозреватель в разделе Администраторы выберите Выкл. Нажмите кнопку ОК.
4. Закрыть диспетчер сервера

Тестирование веб-сервера NDES

1. Откройте интернет-Обозреватель

2. На панели навигации введите

   https://[fqdnHostName]/certsrv/mscep/mscep.dll
   

   где [fqdnHostName] — это полное внутреннее DNS-имя узла сервера NDES.

В веб-браузере должна появиться веб-страница, аналогичная приведенной ниже. Если вы не видите аналогичную страницу или появится сообщение о недоступности службы 503 , убедитесь, что учетная запись службы NDES имеет соответствующие права пользователя. Вы также можете просмотреть журнал событий приложений на наличие событий с источником NetworkDeviceEnrollmentService .

Убедитесь, что веб-сайт использует сертификат проверки подлинности сервера.

Настройка служб регистрации сетевых устройств для работы с Microsoft Intune

Службы регистрации сетевых устройств успешно настроены. Теперь необходимо изменить конфигурацию для работы с соединителем сертификатов Intune. В этой задаче вы включите сервер NDES и http.sys для обработки длинных URL-адресов.

• Настройка NDES для поддержки длинных URL-адресов

Настройка NDES и HTTP для поддержки длинных URL-адресов

Войдите на сервер NDES с доступом, эквивалентным локальному администратору.

Настройка веб-сайта по умолчанию

1. Запуск диспетчера служб IIS из средств администрирования

2. Разверните узел с именем сервера NDES. Разверните узел Сайты и выберите Веб-сайт по умолчанию.

3. В области содержимого дважды щелкните Фильтрация запросов. В области действий выберите Изменить параметры компонентов...

   

4. Выберите Разрешить расширения имен файлов без списка.

5. Выберите Разрешить незавербованные глаголы

6. Выберите Разрешить высокобитовые символы.

7. Введите 300000000 в поле Максимальная допустимая длина содержимого (байт)

8. Введите 65534 в поле Максимальная длина URL-адреса (байт)

9. Введите 65534 в поле Максимальное число строк запроса (байт)

10. Нажмите ОК. Закрытие диспетчера служб IIS

Настройка параметров для HTTP.SYS

1. Открытие командной строки с повышенными привилегиями

2. Выполните следующие команды:

   reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxFieldLength /t REG_DWORD /d 65534
   reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxRequestBytes /t REG_DWORD /d 65534
   

3. Перезапуск сервера NDES

Скачивание, установка и настройка соединителя сертификатов Intune

Приложение соединителя сертификатов Intune позволяет Microsoft Intune регистрировать сертификаты с помощью локальной PKI для пользователей на устройствах, управляемых Microsoft Intune.

Сведения о том, как скачать, установить и настроить соединитель сертификатов Intune, см. в статье Установка соединителя сертификатов для Microsoft Intune.

Настройка соединителя NDES для отзыва сертификата (необязательно)

При необходимости (необязательно) можно настроить соединитель Intune для отзыва сертификата, когда устройство очищается, отменяется регистрация или когда профиль сертификата выходит из область для целевого пользователя (пользователи удаляются, удаляются или профиль удаляется). Во время настройки соединителя необходимо выбрать параметр Отзыва сертификатов , чтобы включить автоматический отзыв сертификатов для сертификатов, выданных центром сертификации Microsoft Active Directory. Кроме того, необходимо включить учетную запись службы NDES для отзыва.

1. Войдите в центр сертификации, используемый соединителем NDES, с доступом, эквивалентным администратору домена.

2. Запустите центр сертификации консоль управления

3. В области навигации щелкните правой кнопкой мыши имя центра сертификации и выберите Пункт Свойства.

4. Перейдите на вкладку Безопасность , а затем нажмите кнопку Добавить. В поле Введите имена объектов для выбора введите NDESSvc (или имя, присвоенное учетной записи службы NDES). Выберите Проверить имена, а затем нажмите кнопку ОК. Выберите учетную запись службы NDES в списке Имена групп или пользователей . Выберите Разрешить для разрешения Выдача и управление сертификатами . Нажмите кнопку ОК.

   

5. Закрытие центра сертификации

Create и назначение профиля сертификата SCEP

Create группу пользователей сертификатов WHFB, присоединенных к ENTRA

Войдите на рабочую станцию с правами пользователя домена.

1. Вход в портал Azure с доступом, эквивалентным глобальному администратору

2. Выберите Все службы. Введите Microsoft Entra ID, чтобы отфильтровать список служб. В разделе СЛУЖБЫ выберите Microsoft Entra ID

3. Выберите Группы. Выберите Создать группу.

4. Выберите Безопасность в списке Тип группы .

5. В разделе Имя группы введите имя группы. Например, пользователи сертификатов WHFB, присоединенные к ENTRA

6. Укажите описание группы, если применимо.

7. Выберите Назначено в списке Тип членства

   

8. Выберите Участники. Используйте панель Выбор участников , чтобы добавить участников в эту группу. По завершении нажмите кнопку Выбрать

9. Щелкните Создать.

Create профиля сертификата SCEP

Войдите на рабочую станцию с правами пользователя домена.

1. Вход в Центр администрирования Microsoft Intune
2. Выберите Устройства, а затем — Профили конфигурации.
3. Выберите Create Профиль.
4. Выберите Windows 10 и более поздних версий в списке Платформа.
5. Выберите сертификат SCEP в списке Профиль и выберите Create
6. Должен открыться мастер сертификатов SCEP . Рядом с полем Имя введите регистрация сертификата WHFB.
7. Рядом с полем Описание укажите описание, понятное для вашей среды, а затем нажмите кнопку Далее.
8. Выберите Пользователь в качестве типа сертификата.
9. Настройте срок действия сертификата в соответствии с вашей организацией.

   Важно.

   Помните, что необходимо настроить центр сертификации, чтобы разрешить Microsoft Intune настраивать срок действия сертификата.

10. Выберите Регистрация, чтобы Windows Hello для бизнеса, в противном случае произойдет сбой (Windows 10 и более поздних версий) в списке Поставщик хранилища ключей (KSP)
11. Рядом с полем Формат имени субъекта введитеCN={{OnPrem_Distinguished_Name}}, чтобы сделать локальное различающееся имя субъектом выданного сертификата.

    Примечание.

    Если различающееся имя содержит специальные символы, такие как знак плюса ("+"), запятая (","), точка с запятой (";") или знак равенства ("="), имя в скобках должно быть заключено в кавычки: CN="{{OnPrem_Distinguished_Name}}".

    Если длина различающегося имени превышает 64 символа, принудительное применение длины имени в центре сертификации должно быть отключено.

12. Укажите имя участника-пользователя (UPN) в качестве параметра альтернативного имени субъекта . Задайте для параметра значение {{UserPrincipalName}}
13. Сведения о настройке шаблона сертификата WHFB ENTRA JOINED в реестре см. в задаче "Настройка шаблонов сертификатов сертификатов в NDES". Выберите подходящее сочетание использования ключей в списке Использование ключей , которое сопоставляется с настроенным шаблоном NDES в реестре. В этом примере шаблон сертификата проверки подлинности WHFB ENTRA JOINED был добавлен в имя значения реестра SignatureTemplate . Использование ключа , которое сопоставляется с именем этого значения реестра, — цифровая подпись.
14. Выберите ранее настроенный профиль доверенного сертификата , соответствующий корневому сертификату центра сертификации, выдающего сертификат, в качестве корневого сертификата для профиля.
15. В разделе Расширенное использование ключа в поле Имя введите Вход с помощью смарт-карты. Введите 1.3.6.1.4.1.311.20.2.2 в разделе Идентификатор объекта. Выберите Добавить.
16. Введите процент (без знака процента) рядом с полем Порог продления , чтобы определить, когда сертификат следует обновить. Рекомендуемое значение — 20
17. В разделе URL-адреса сервера SCEP введите полное внешнее имя настроенного Microsoft Entra прокси приложения. Добавьте к имени /certsrv/mscep/mscep.dll. Например, https://ndes-mtephendemo.msappproxy.net/certsrv/mscep/mscep.dll. Нажмите кнопку Добавить. Повторите этот шаг для каждого дополнительного Microsoft Entra прокси приложения NDES, настроенного для выдачи сертификатов Windows Hello для бизнеса. Microsoft Intune циклический перебор балансировки нагрузки запросов между URL-адресами, перечисленными в профиле сертификата SCEP
18. Нажмите кнопку Далее
19. Нажмите кнопку Далее несколько раз, чтобы пропустить шаги мастера по тегам области, назначениям и правилам применимости, и выберите Create

Назначение группы профилю сертификата регистрации сертификатов WHFB

Войдите на рабочую станцию с правами пользователя домена.

1. Вход в Центр администрирования Microsoft Intune
2. Выберите Устройства, а затем — Профили конфигурации.
3. Выберите WHFB Certificate Enrollment (Регистрация сертификата WHFB).
4. Выберите Свойства, а затем — Изменить рядом с разделом Назначения.
5. В области Назначения выберите Выбранные группы в списке Назначить . Выберите Выбрать группы для включения.
6. Выберите группу Пользователи сертификатов WHFB ПРИСОЕДИНЕНО к ENTRA . Выберите Выбрать
7. Выберите Просмотр и сохранение, а затем — Сохранить.

Вы успешно завершили настройку. Добавьте пользователей, которым необходимо зарегистрировать сертификат проверки подлинности Windows Hello для бизнеса, в группу ENTRA JOINED WHFB Certificate Users . Эта группа в сочетании с регистрацией устройства Windows Hello для бизнеса конфигурацией предлагает пользователю зарегистрироваться для Windows Hello для бизнеса и зарегистрировать сертификат, который можно использовать для проверки подлинности в локальных ресурсах.

Примечание.

Поставщик службы конфигурации Passport for Work (CSP), который используется для управления Windows Hello для бизнеса с помощью мобильных Управление устройствами (MDM), содержит политику с именем UseCertificateForOnPremAuth. Эта политика не требуется при развертывании сертификатов для Windows Hello для бизнеса пользователей в соответствии с инструкциями, описанными в этом документе, и ее не следует настраивать. Устройства, управляемые с помощью MDM, на которых включен параметр UseCertificateForOnPremAuth, не смогут выполнить проверка предварительных требований для подготовки Windows Hello для бизнеса. Этот сбой блокирует настройку Windows Hello для бизнеса, если она еще не настроена.

Обзор раздела

• Требования
• Подготовка Microsoft Entra Connect
• Подготовка учетной записи службы регистрации сетевых устройств (NDES)
• Подготовка центра сертификации Active Directory
• Установка и настройка роли NDES
• Настройка служб регистрации сетевых устройств для работы с Microsoft Intune
• Скачивание, установка и настройка соединителя сертификатов Intune
• Create и назначение простого протокола регистрации сертификатов (профиль сертификата SCEP)