混合式憑證信任部署指南
本文說明 Windows Hello 企業版 適用的功能或案例:
- 部署類型:
- 信任類型:信任
- 聯結類型: Microsoft Entra 加入 、 Microsoft Entra 混合式加入
重要
相較於密鑰信任模型,Windows Hello 企業版 雲端 Kerberos 信任是建議的部署模型。 如果您不需要將憑證部署給終端使用者,這也是建議的部署模型。 如需詳細資訊,請參閱 雲端 Kerberos 信任部署。
需求
開始部署之前,請檢閱規劃 Windows Hello 企業版 部署一文中所述的需求。
開始之前,請確定符合下列需求:
部署步驟
一旦符合必要條件,部署 Windows Hello 企業版 包含下列步驟:
同盟驗證以 Microsoft Entra ID
Windows Hello 企業版 混合式憑證信任需要 Active Directory 與使用 AD FS 的 Microsoft Entra ID 同盟。 您也必須設定 AD FS 伺服器陣列以支援已註冊 Azure 的裝置。
如果您不熟悉 AD FS 和同盟服務:
- 在部署 AD FS 伺服器陣列之前,請先檢閱重要的AD FS概念
- 檢閱 AD FS 設計指南 ,以設計和規劃您的同盟服務
準備好AD FS設計之後,請檢閱 部署同盟伺服器陣 列以在您的環境中設定AD FS
與 Windows Hello 企業版搭配使用的 AD FS 伺服器陣列必須是至少更新到 KB4088889 (14393.2155) 的 Windows Server 2016。
裝置註冊和裝置回寫
Windows 裝置必須在 Microsoft Entra ID 中註冊。 您可以使用 Microsoft Entra 加入或 Microsoft Entra 混合式加入,在 Microsoft Entra ID 中註冊裝置。
針對 Microsoft Entra 混合式聯結裝置,請檢閱規劃 Microsoft Entra 混合式聯結實作頁面上的指引。
請參閱為同盟網域設定 Microsoft Entra 混合式加入指南,以深入瞭解如何使用 Microsoft Entra Connect Sync 來設定 Microsoft Entra 裝置註冊。
如需AD FS 伺服器陣列的手動設定以支援裝置註冊,請檢閱設定AD FS以 Microsoft Entra裝置註冊指南。
混合式憑證信任部署需要 裝置回寫 功能。 對 AD FS 的驗證需要使用者和裝置進行驗證。 同步處理的通常是使用者,而不是裝置。 這可防止 AD FS 驗證裝置,並導致 Windows Hello 企業版 憑證註冊失敗。 因此,Windows Hello 企業版 部署需要裝置回寫。
注意
Windows Hello 企業版 系結在用戶和裝置之間。 用戶和裝置都必須在 Microsoft Entra ID 與 Active Directory 之間進行同步處理。 裝置回寫可用來更新 msDS-KeyCredentialLink 計算機物件上的屬性。
如果您手動設定 AD FS,或如果您執行了 Microsoft Entra Connect Sync using Custom Settings,您必須確定要在 AD FS 伺服器陣列中設定裝置回寫和裝置驗證。 如需詳細資訊, 請參閱設定裝置回寫和裝置驗證。
公開金鑰基礎結構
需要企業公鑰基礎結構 (PKI) 作為驗證 的信任錨點 。 域控制器需要憑證,Windows 用戶端才能信任它們。
企業 PKI 和憑證註冊授權單位 (CRA) 必須發行驗證憑證給使用者。 混合式憑證信任部署會使用AD FS作為 CRA。
在 Windows Hello 企業版 布建期間,用戶會透過 CRA 收到登入憑證。
後續步驟
一旦符合必要條件,使用混合式密鑰信任模型部署 Windows Hello 企業版 包含下列步驟:
- 設定和驗證 PKI
- 設定 AD FS
- 設定 Windows Hello 企業版設定
- 在 Windows 用戶端上布建 Windows Hello 企業版
- 為已加入 Microsoft Entra的裝置設定單一登錄 (SSO)
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應