Guida alla distribuzione dell'attendibilità dei certificati ibridi

Questo articolo descrive le funzionalità o gli scenari di Windows Hello for Business applicabili a:

• Tipo di distribuzione:ibrido
• Tipo di attendibilità:
• Tipo di join:cui Microsoft Entra partecipa, i Aggiunta ibrida a Microsoft Entra

Requisiti

Prima di avviare la distribuzione, esaminare i requisiti descritti nell'articolo Pianificare una distribuzione di Windows Hello for Business .

Prima di iniziare, verificare che siano soddisfatti i requisiti seguenti:

Fasi di distribuzione

Autenticazione federata a Microsoft Entra ID

L'attendibilità ibrida dei certificati di Windows Hello for Business richiede che Active Directory sia federato con l'ID Microsoft Entra usando AD FS. È anche necessario configurare la farm AD FS per supportare i dispositivi registrati Microsoft Entra.

Se non si ha familiarita' con AD FS e i servizi federativi:

• Esaminare i concetti principali di AD FS prima di distribuire la farm AD FS
• Vedere la guida alla progettazione di AD FS per progettare e pianificare il servizio federativo

Dopo aver pronto la progettazione di AD FS, esaminare la distribuzione di una server farm federativa per configurare AD FS nell'ambiente in uso

La farm di AD FS usata con Windows Hello for Business deve essere Windows Server 2016 con l'aggiornamento minimo diKB4088889 (14393.2155).

Registrazione del dispositivo e writeback del dispositivo

I dispositivi Windows devono essere registrati in Microsoft Entra ID. I dispositivi possono essere registrati in Microsoft Entra ID usando l'aggiunta a Microsoft Entra o l'aggiunta ibrida a Microsoft Entra.
Per i dispositivi aggiunti ibridi a Microsoft Entra, vedere le linee guida nella pagina pianificare l'implementazione dell'aggiunta ibrida a Microsoft Entra .

Per altre informazioni sull'uso di Microsoft Entra Connect Sync per configurare la registrazione del dispositivo Microsoft Entra, vedere la guida Configurare l'aggiunta ibrida di Microsoft Entra per i domini federati .
Per una configurazione manuale della farm AD FS per supportare la registrazione dei dispositivi, vedere la guida Configurare AD FS per la registrazione del dispositivo Microsoft Entra .

Le distribuzioni di attendibilità dei certificati ibridi richiedono la funzionalità di writeback del dispositivo . L'autenticazione in AD FS richiede l'autenticazione sia dell'utente che del dispositivo. In genere gli utenti vengono sincronizzati, ma non i dispositivi. Ciò impedisce ad AD FS di autenticare il dispositivo e causa errori di registrazione dei certificati di Windows Hello for Business. Per questo motivo, le distribuzioni di Windows Hello for Business richiedono il writeback del dispositivo.

Se AD FS è stato configurato manualmente o si è eseguito Microsoft Entra Connect Sync usando impostazioni personalizzate, è necessario assicurarsi di configurare il writeback del dispositivo e l'autenticazione del dispositivo nella farm AD FS. Per altre informazioni, vedere Configurare il writeback del dispositivo e l'autenticazione del dispositivo.

Infrastruttura a chiave pubblica

Un'infrastruttura a chiave pubblica (PKI) aziendale è necessaria come ancoraggio di attendibilità per l'autenticazione. I controller di dominio richiedono un certificato per consentire ai client Windows di considerarli attendibili.
L'infrastruttura a chiave pubblica aziendale e un'autorità di registrazione certificati (CRA) sono necessari per rilasciare certificati di autenticazione agli utenti. La distribuzione ibrida dell'attendibilità dei certificati usa AD FS come cra.

Durante il provisioning di Windows Hello for Business, gli utenti ricevono un certificato di accesso tramite il cra.

Passaggi successivi