混合证书信任部署指南

• 适用于:

  ✅ Windows 11, ✅ Windows 10

本文介绍适用于以下Windows Hello 企业版功能或方案：

• 部署类型：
• 信任类型：证书
• 联接类型：Microsoft Entra加入 ，Microsoft Entra混合加入

---

重要提示

与关键信任模型相比，建议使用Windows Hello 企业版云 Kerberos信任部署模型。 如果不需要将证书部署到最终用户，则这也是建议的部署模型。 有关详细信息，请参阅 云 Kerberos 信任部署。

要求

在开始部署之前，请查看规划Windows Hello 企业版部署一文中所述的要求。

在开始之前，请确保满足以下要求：

• 公钥基础结构
• 身份验证
• 设备配置
• 云服务许可
• 准备用户使用Windows Hello

部署步骤

满足先决条件后，部署Windows Hello 企业版包括以下步骤：

• 配置和验证公钥基础结构
• 配置Active Directory 联合身份验证服务
• 在 Windows Hello 企业版 中配置和注册
• (可选) 为加入Microsoft Entra的设备配置单一登录

Microsoft Entra ID的联合身份验证

Windows Hello 企业版混合证书信任要求使用 AD FS 将 Active Directory 与 Microsoft Entra ID 联合。 还必须配置 AD FS 场以支持 Azure 注册的设备。

如果不熟悉 AD FS 和联合身份验证服务：

• 在部署 AD FS 场之前，请查看关键的 AD FS 概念
• 查看 AD FS 设计指南 来设计和规划联合身份验证服务

准备好 AD FS 设计后，请查看 部署联合服务器场 以在环境中配置 AD FS

与 Windows Hello 企业版一起使用的 AD FS 场必须是最低更新为 KB4088889 (14393.2155) 的 Windows Server 2016。

设备注册和设备写回

Windows 设备必须在 Microsoft Entra ID 中注册。 可以使用Microsoft Entra联接或Microsoft Entra混合联接在 Microsoft Entra ID 中注册设备。
对于Microsoft Entra混合联接设备，请查看计划Microsoft Entra混合联接实现页上的指导。

请参阅为联合域配置Microsoft Entra混合加入指南，详细了解如何使用 Microsoft Entra Connect Sync 配置Microsoft Entra设备注册。
有关 AD FS 场的手动配置以支持设备注册，请查看配置 AD FS 以Microsoft Entra设备注册指南。

混合证书信任部署需要 设备写回 功能。 对 AD FS 进行身份验证需要用户和设备进行身份验证。 通常用户是同步的，但设备不是。 这会阻止 AD FS 对设备进行身份验证，并导致Windows Hello 企业版证书注册失败。 因此，Windows Hello 企业版部署需要设备写回。

注意

Windows Hello 企业版在用户和设备之间绑定。 用户和设备需要在 Microsoft Entra ID 和 Active Directory 之间同步。 设备写回用于更新 msDS-KeyCredentialLink 计算机对象上的 属性。

如果手动配置了 AD FS，或者运行了Microsoft Entra使用自定义设置进行连接同步，则必须确保在 AD FS 场中配置设备写回和设备身份验证。 有关详细信息，请参阅 配置设备写回和设备身份验证。

公钥基础结构

需要将企业公钥基础结构 (PKI) 作为 身份验证的信任定位点 。 域控制器需要 Windows 客户端的证书才能信任它们。
企业 PKI 和证书注册机构 (CRA) 需要向用户颁发身份验证证书。 混合证书信任部署使用 AD FS 作为 CRA。

在Windows Hello 企业版预配期间，用户通过 CRA 接收登录证书。

后续步骤

满足先决条件后，使用混合密钥信任模型部署Windows Hello 企业版包括以下步骤：

• 配置和验证 PKI
• 配置 AD FS
• 配置 Windows Hello 企业版设置
• 在 Windows 客户端上预配Windows Hello 企业版
• 为加入Microsoft Entra的设备配置单一登录 (SSO)

下一步：配置和验证公钥基础结构 >