ハイブリッド証明書信頼モデルで Active Directory フェデレーション サービスを構成する

この記事では、次に該当する Windows Hello for Business の機能またはシナリオについて説明します。

• 展開の種類:
• 信頼の種類:
• 結合の種類:Microsoft Entra join 、 している Microsoft Entra ハイブリッド参加

Windows Hello for Business の証明書ベースの展開では、証明書登録機関 (CRA) として AD FS が使用されます。 CRA は、ユーザーに対する証明書の発行と取り消しを担当します。 登録機関は証明書の要求を確認したら、登録エージェント証明書を使用して証明書要求に署名し、それを証明機関に送信します。
CRA は 登録エージェント証明書に登録し、Windows Hello for Business 認証証明書テンプレート は、登録エージェント証明書で署名された要求にのみ証明書を発行するように構成されています。

証明機関を構成する

ドメイン管理者と同等の資格情報を使用して AD FS サーバーにサインインします。

Windows PowerShell プロンプトを開き、次のコマンドを入力します。

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

登録エージェント証明書の登録

AD FS は、独自の証明書ライフサイクル管理を実行します。 適切な証明書テンプレートを使って登録機関を構成したら、最初に証明書が要求されたときか、最初にサービスが開始されたときに、AD FS サーバーによって証明書の登録が試みられます。

登録エージェント証明書の有効期限の約 60 日前に、AD FS サービスは成功するまで証明書の更新を試みます。 証明書の更新に失敗し、証明書の有効期限が切れた場合、AD FS サーバーは新しい登録エージェント証明書を要求します。 AD FS イベント ログを確認することで、登録エージェント証明書の状態を判断できます。

AD FS サービス アカウントのグループ メンバーシップ

AD FS サービス アカウントは、認証証明書テンプレートの自動登録を対象とするセキュリティ グループのメンバーである必要があります (たとえば、 Window Hello for Business Users)。 セキュリティ グループは、プロビジョニング ユーザーに代わって Windows Hello for Business 認証証明書を登録するために必要なアクセス許可を AD FS サービスに提供します。

Domain Admin と同等の資格情報を使用してドメイン コントローラーまたは管理ワークステーションにサインインします。

1. [Active Directory ユーザーとコンピューター] を開きます
2. 認証証明書テンプレートの自動登録の対象となるセキュリティ グループを検索します (たとえば、 Window Hello for Business Users)
3. [メンバー] タブを選択し、[追加] を選択します
4. [選択するオブジェクト名を入力します] テキスト ボックスに「adfssvc」と入力するか、AD FS 展開の AD FS サービス アカウントの名前を >OK に置き換えます
5. [ OK] を選択 して Active Directory ユーザーとコンピューターに戻ります
6. AD FS サーバーを再起動する

セクション レビューと次の手順

次のセクションに進む前に、次の手順が完了していることを確認します。