Bereitstellungshandbuch für hybride Zertifikatvertrauensstellungen

In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:


Wichtig

Die Windows Hello for Business-Cloud-Kerberos-Vertrauensstellung ist das empfohlene Bereitstellungsmodell im Vergleich zum Schlüsselvertrauensmodell. Es ist auch das empfohlene Bereitstellungsmodell, wenn Sie keine Zertifikate für die Endbenutzer bereitstellen müssen. Weitere Informationen finden Sie unter Cloudbereitstellung mit Kerberos-Vertrauensstellung.

Anforderungen

Bevor Sie mit der Bereitstellung beginnen, lesen Sie die im Artikel Planen einer Windows Hello for Business-Bereitstellung beschriebenen Anforderungen.

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:

Bereitstellungsschritte

Verbundauthentifizierung mit Microsoft Entra ID

Die Hybridzertifikatvertrauensstellung für Windows Hello for Business erfordert, dass Active Directory mit der Microsoft Entra-ID mithilfe von AD FS verbunden wird. Außerdem müssen Sie die AD FS-Farm so konfigurieren, dass sie bei Microsoft Entra registrierte Geräte unterstützt.

Wenn Sie noch nicht mit AD FS und Verbunddiensten sind:

Sobald Sie Ihr AD FS-Design vorbereitet haben, überprüfen Sie die Bereitstellung einer Verbundserverfarm , um AD FS in Ihrer Umgebung zu konfigurieren.

Die für Windows Hello for Business verwendete AD FS-Farm muss Windows Server 2016 sein und mindestens Update KB4088889 (14393.2155) umfassen.

Geräteregistrierung und Geräterückschreiben

Windows-Geräte müssen in der Microsoft Entra-ID registriert sein. Geräte können in Microsoft Entra ID mit Microsoft Entra Join oder Microsoft Entra Hybrid Join registriert werden.
Lesen Sie für in Microsoft Entra hybrid eingebundene Geräte die Anleitung auf der Seite zum Planen Ihrer Microsoft Entra Hybrid Join-Implementierung .

Weitere Informationen zur Verwendung der Microsoft Entra Connect-Synchronisierung zum Konfigurieren der Microsoft Entra-Geräteregistrierung finden Sie im Leitfaden Konfigurieren der Microsoft Entra-Hybrideinbindung für Verbunddomänen .
Eine manuelle Konfiguration Ihrer AD FS-Farm zur Unterstützung der Geräteregistrierung finden Sie im Leitfaden Konfigurieren von AD FS für Microsoft Entra-Geräteregistrierung .

Hybridbereitstellungen mit Zertifikatvertrauensstellung erfordern das Feature zum Zurückschreiben von Geräten . Die Authentifizierung bei AD FS erfordert sowohl den Benutzer als auch das Gerät, um sich zu authentifizieren. In der Regel werden die Benutzer, aber keine Geräte synchronisiert. Dadurch wird verhindert, dass AD FS das Gerät authentifiziert, und dies führt zu Fehlern bei der Registrierung von Windows Hello for Business-Zertifikaten. Aus diesem Grund ist für Windows Hello for Business-Bereitstellungen ein Geräterückschreiben erforderlich.

Hinweis

Windows Hello for Business ist zwischen einem Benutzer und einem Gerät gebunden. Sowohl der Benutzer als auch das Gerät müssen zwischen Microsoft Entra ID und Active Directory synchronisiert werden. Das Zurückschreiben des Geräts wird verwendet, um das msDS-KeyCredentialLink Attribut für das Computerobjekt zu aktualisieren.

Wenn Sie AD FS manuell konfiguriert haben oder Die Microsoft Entra Connect-Synchronisierung mit benutzerdefinierten Einstellungen ausgeführt haben, müssen Sie sicherstellen, dass das Zurückschreiben des Geräts und die Geräteauthentifizierung in Ihrer AD FS-Farm konfiguriert sind. Weitere Informationen finden Sie unter Konfigurieren des Geräterückschreibens und der Geräteauthentifizierung.

Public Key-Infrastruktur

Eine Unternehmens-PKI (Public Key-Infrastruktur) ist als Vertrauensanker für die Authentifizierung erforderlich. Domänencontroller benötigen ein Zertifikat, damit Windows-Clients ihnen vertrauen können.
Die Unternehmens-PKI und eine Zertifikatregistrierungsstelle (Certificate Registration Authority, CRA) müssen Authentifizierungszertifikate für Benutzer ausstellen. Die Hybridbereitstellung mit Zertifikatvertrauensstellung verwendet AD FS als CRA.

Während der Bereitstellung von Windows Hello for Business erhalten Benutzer über die CRA ein Anmeldezertifikat.

Nächste Schritte

Sobald die Voraussetzungen erfüllt sind, besteht die Bereitstellung von Windows Hello for Business mit einem hybriden Schlüsselvertrauensmodell aus den folgenden Schritten:

  • Konfigurieren und Überprüfen der PKI
  • Konfigurieren von AD FS
  • Konfigurieren der Einstellungen für Windows Hello for Business
  • Bereitstellen von Windows Hello for Business auf Windows-Clients
  • Konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) für in Microsoft Entra eingebundene Geräte