ハイブリッド証明書信頼展開ガイド

この記事では、次に該当する Windows Hello for Business の機能またはシナリオについて説明します。


重要

Windows Hello for Business クラウド Kerberos 信頼 は、 キー信頼モデルと比較した場合に推奨されるデプロイ モデルです。 また、エンド ユーザーに証明書を展開する必要がない場合は、推奨されるデプロイ モデルでもあります。 詳細については、「 Cloud Kerberos trust deployment」を参照してください。

要件

展開を開始する前に、「 Windows Hello for Business 展開の計画 」の記事で説明されている要件を確認してください。

開始する前に、次の要件が満たされていることを確認してください。

展開の手順

Microsoft Entra ID へのフェデレーション認証

Windows Hello for Business ハイブリッド証明書の信頼では、Ad FS を使用して Active Directory を Microsoft Entra ID とフェデレーションする必要があります。 また、Microsoft Entra 登録済みデバイスをサポートするように AD FS ファームを構成する必要もあります。

AD FS とフェデレーション サービスを初めて使用する場合:

  • AD FS ファームを展開する前に、AD FS の 主要な概念 を確認する
  • AD FS 設計ガイドを確認して、フェデレーション サービスを設計および計画する

AD FS の設計の準備ができたら、 フェデレーション サーバー ファームの展開を 確認して、環境内で AD FS を構成します

Windows Hello for Business で使用する AD FS は、KB4088889 (14393.2155) 以降の更新プログラムがインストールされた Windows Server 2016 である必要があります。

デバイスの登録とデバイスの書き戻し

Windows デバイスは Microsoft Entra ID に登録する必要があります。 Microsoft Entra 参加または Microsoft Entra ハイブリッド参加を使用して、デバイスを Microsoft Entra ID に登録できます。
Microsoft Entra ハイブリッド参加済みデバイスの場合は、 Microsoft Entra ハイブリッド参加実装の計画 に関するガイダンスを確認してください。

Microsoft Entra Connect Sync を使用して Microsoft Entra デバイスの登録を構成する方法の詳細については、 フェデレーション ドメインの Microsoft Entra ハイブリッド参加 の構成に関するガイドを参照してください。
デバイスの登録をサポートする AD FS ファームの 手動構成 については、「 Microsoft Entra デバイス登録用に AD FS を構成する 」ガイドを参照してください。

ハイブリッド証明書信頼のデプロイには、 デバイスのライトバック 機能が必要です。 AD FS への認証には、ユーザーとデバイスの両方が必要です。 通常、ユーザーは同期されますが、デバイスは同期されません。 これにより、AD FS がデバイスを認証できず、Windows Hello for Business 証明書の登録エラーが発生します。 このため、Windows Hello for Business の展開にはデバイスライトバックが必要です。

Windows Hello for Business は、ユーザーとデバイスの間で関連付けられています。 ユーザーとデバイスの両方を Microsoft Entra ID と Active Directory の間で同期する必要があります。 デバイスライトバックは、コンピューター オブジェクトの msDS-KeyCredentialLink 属性を更新するために使用されます。

AD FS を手動で構成した場合、または カスタム設定を使用して Microsoft Entra Connect Sync を実行した場合は、AD FS ファームで デバイスライトバックデバイス認証 を構成する必要があります。 詳細については、「 デバイスの書き戻しとデバイス認証の構成」を参照してください。

公開キー基盤 (PKI)

認証の トラスト アンカー として、エンタープライズ公開キー インフラストラクチャ (PKI) が必要です。 ドメイン コントローラーには、Windows クライアントが信頼するための証明書が必要です。
認証証明書をユーザーに発行するには、エンタープライズ PKI と証明書登録機関 (CRA) が必要です。 ハイブリッド証明書信頼の展開では、AD FS が CRA として使用されます。

Windows Hello for Business プロビジョニング中に、ユーザーは CRA を介してサインイン証明書を受け取ります。

次のステップ

前提条件が満たされたら、ハイブリッド キー信頼モデルを使用して Windows Hello for Business を展開する手順は次のとおりです。

  • PKI の構成と検証
  • AD FS の構成
  • Windows Hello for Business の設定の構成
  • Windows クライアントで Windows Hello for Business をプロビジョニングする
  • Microsoft Entra 参加済みデバイスのシングル サインオン (SSO) を構成する