ハイブリッド証明書信頼モデルで Active Directory フェデレーション サービスを構成する

この記事では、次に該当する Windows Hello for Business の機能またはシナリオについて説明します。


Windows Hello for Business の証明書ベースの展開では、証明書登録機関 (CRA) として AD FS が使用されます。 CRA は、ユーザーに対する証明書の発行と取り消しを担当します。 登録機関は証明書の要求を確認したら、登録エージェント証明書を使用して証明書要求に署名し、それを証明機関に送信します。
CRA は 登録エージェント証明書に登録し、Windows Hello for Business 認証証明書テンプレート は、登録エージェント証明書で署名された要求にのみ証明書を発行するように構成されています。

AD FS が Windows Hello for Business のユーザー証明書要求を検証するには、 https://enterpriseregistration.windows.net エンドポイントにアクセスできる必要があります。

証明機関を構成する

ドメイン管理者と同等の資格情報を使用して AD FS サーバーにサインインします。

Windows PowerShell プロンプトを開き、次のコマンドを入力します。

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

Windows Hello for Business 登録エージェントと Windows Hello for Business 認証証明書テンプレートに別の名前を付けた場合は、上記のコマンドの WHFBEnrollmentAgentWHFBAuthentication を証明書テンプレートの名前に置き換えます。 テンプレート表示名ではなく、テンプレート名を使用することが重要です。 証明書テンプレート管理コンソール (certtmpl.msc) を使用して、証明書テンプレートの [全般] タブでテンプレート名を表示できます。 または、CA 上の Get-CATemplate PowerShell コマンドレットを使用して、テンプレート名を表示することもできます。

登録エージェント証明書の登録

AD FS は、独自の証明書ライフサイクル管理を実行します。 適切な証明書テンプレートを使って登録機関を構成したら、最初に証明書が要求されたときか、最初にサービスが開始されたときに、AD FS サーバーによって証明書の登録が試みられます。

登録エージェント証明書の有効期限の約 60 日前に、AD FS サービスは成功するまで証明書の更新を試みます。 証明書の更新に失敗し、証明書の有効期限が切れた場合、AD FS サーバーは新しい登録エージェント証明書を要求します。 AD FS イベント ログを確認することで、登録エージェント証明書の状態を判断できます。

AD FS サービス アカウントのグループ メンバーシップ

AD FS サービス アカウントは、認証証明書テンプレートの自動登録を対象とするセキュリティ グループのメンバーである必要があります (たとえば、 Window Hello for Business Users)。 セキュリティ グループは、プロビジョニング ユーザーに代わって Windows Hello for Business 認証証明書を登録するために必要なアクセス許可を AD FS サービスに提供します。

ヒント

adfssvc アカウントは AD FS サービス アカウントです。

Domain Admin と同等の資格情報を使用してドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. [Active Directory ユーザーとコンピューター] を開きます
  2. 認証証明書テンプレートの自動登録の対象となるセキュリティ グループを検索します (たとえば、 Window Hello for Business Users)
  3. [メンバー] タブを選択し、[追加] を選択します
  4. [選択するオブジェクト名を入力します] テキスト ボックスに「adfssvc」と入力するか、AD FS 展開の AD FS サービス アカウントの名前を >OK に置き換えます
  5. [ OK] を選択 して Active Directory ユーザーとコンピューターに戻ります
  6. AD FS サーバーを再起動する

AD FS 2019 以降の証明書信頼モデルでは、既知の PRT の問題が存在します。 AD FS 管理者イベント ログでこのエラーが発生する可能性があります:無効な Oauth 要求を受信しました。 クライアント「NAME」は、スコープ「ugs」でリソースにアクセスできません。 isse とその解決方法の詳細については、「 Windows Server 2019 で破損した AD FS を使用した証明書信頼プロビジョニング」を参照してください。

セクション レビューと次の手順

次のセクションに進む前に、次の手順が完了していることを確認します。

  • 証明機関を構成する
  • AD FS サービス アカウントのグループ メンバーシップの更新