ハイブリッド証明書信頼展開ガイド

この記事では、次に該当する Windows Hello for Business の機能またはシナリオについて説明します。

• 展開の種類:
• 信頼の種類:
• 結合の種類:Microsoft Entra join 、 している Microsoft Entra ハイブリッド参加

要件

展開を開始する前に、「 Windows Hello for Business 展開の計画 」の記事で説明されている要件を確認してください。

開始する前に、次の要件が満たされていることを確認してください。

展開の手順

Microsoft Entra ID へのフェデレーション認証

Windows Hello for Business ハイブリッド証明書の信頼では、Ad FS を使用して Active Directory を Microsoft Entra ID とフェデレーションする必要があります。 また、Azure 登録済みデバイスをサポートするように AD FS ファームを構成する必要もあります。

AD FS とフェデレーション サービスを初めて使用する場合:

• AD FS ファームを展開する前に、AD FS の 主要な概念 を確認する
• AD FS 設計ガイドを確認して、フェデレーション サービスを設計および計画する

AD FS の設計の準備ができたら、 フェデレーション サーバー ファームの展開を 確認して、環境内で AD FS を構成します

Windows Hello for Business で使用する AD FS は、KB4088889 (14393.2155) 以降の更新プログラムがインストールされた Windows Server 2016 である必要があります。

デバイスの登録とデバイスの書き戻し

Windows デバイスは Microsoft Entra ID に登録する必要があります。 Microsoft Entra 参加または Microsoft Entra ハイブリッド参加を使用して、デバイスを Microsoft Entra ID に登録できます。
Microsoft Entra ハイブリッド参加済みデバイスの場合は、 Microsoft Entra ハイブリッド参加実装の計画 に関するガイダンスを確認してください。

Microsoft Entra Connect Sync を使用して Microsoft Entra デバイスの登録を構成する方法の詳細については、 フェデレーション ドメインの Microsoft Entra ハイブリッド参加 の構成に関するガイドを参照してください。
デバイスの登録をサポートする AD FS ファームの 手動構成 については、「 Microsoft Entra デバイス登録用に AD FS を構成する 」ガイドを参照してください。

ハイブリッド証明書信頼のデプロイには、 デバイスのライトバック 機能が必要です。 AD FS への認証には、ユーザーとデバイスの両方が必要です。 通常、ユーザーは同期されますが、デバイスは同期されません。 これにより、AD FS がデバイスを認証できず、Windows Hello for Business 証明書の登録エラーが発生します。 このため、Windows Hello for Business の展開にはデバイスライトバックが必要です。

AD FS を手動で構成した場合、または カスタム設定を使用して Microsoft Entra Connect Sync を実行した場合は、AD FS ファームで デバイスライトバック と デバイス認証 を構成する必要があります。 詳細については、「 デバイスの書き戻しとデバイス認証の構成」を参照してください。

公開キー基盤 (PKI)

認証の トラスト アンカー として、エンタープライズ公開キー インフラストラクチャ (PKI) が必要です。 ドメイン コントローラーには、Windows クライアントが信頼するための証明書が必要です。
認証証明書をユーザーに発行するには、エンタープライズ PKI と証明書登録機関 (CRA) が必要です。 ハイブリッド証明書信頼の展開では、AD FS が CRA として使用されます。

Windows Hello for Business プロビジョニング中に、ユーザーは CRA を介してサインイン証明書を受け取ります。

次のステップ