Руководство по развертыванию гибридного доверия сертификатов

В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:

• Тип развертывания:
• Тип доверия..
• Тип соединения.присоединение к Microsoft Entra , к Microsoft Entra.

Требования

Перед началом развертывания ознакомьтесь с требованиями, описанными в статье Планирование развертывания Windows Hello для бизнеса .

Перед началом работы убедитесь, что выполнены следующие требования:

Шаги развертывания

Федеративная проверка подлинности в Microsoft Entra ID

Для гибридного доверия сертификатов Windows Hello для бизнеса требуется федерация Active Directory с идентификатором Microsoft Entra с помощью AD FS. Необходимо также настроить ферму AD FS для поддержки зарегистрированных устройств Microsoft Entra.

Если вы не знакомы с AD FS и службами федерации:

• Ознакомьтесь с основными понятиями AD FS перед развертыванием фермы AD FS
• Ознакомьтесь с руководством по проектированию AD FS , чтобы спроектировать и спланировать службу федерации.

После подготовки проекта AD FS ознакомьтесь с развертыванием фермы серверов федерации , чтобы настроить AD FS в своей среде.

Для Windows Hello for Business необходимо использовать ферму AD FS под управлением Windows Server 2016 с обновлением не ниже версии KB4088889 (14393.2155).

Регистрация устройства и обратная запись устройств

Устройства Windows должны быть зарегистрированы в идентификаторе Microsoft Entra. Устройства можно зарегистрировать в идентификаторе Microsoft Entra с помощью присоединения к Microsoft Entra или гибридного соединения Microsoft Entra.
Для устройств с гибридным присоединением к Microsoft Entra ознакомьтесь с рекомендациями на странице планирования реализации гибридного присоединения Microsoft Entra .

Дополнительные сведения об использовании Microsoft Entra Sync для настройки регистрации устройств Microsoft Entra см. в руководстве По настройке гибридного присоединения Microsoft Entra для федеративных доменов .
Сведения о настройке фермы AD FS вручную для поддержки регистрации устройств см. в руководстве По настройке AD FS для регистрации устройств Microsoft Entra .

Для гибридных развертываний с доверием к сертификатам требуется функция обратной записи устройства . Для проверки подлинности в AD FS требуется проверка подлинности пользователя и устройства. Как правило, синхронизируются пользователи, а не устройства. Это предотвращает проверку подлинности устройства ad FS и приводит к сбою регистрации сертификатов Windows Hello для бизнеса. По этой причине развертываниям Windows Hello для бизнеса требуется обратная запись устройства.

Если вы настроили AD FS вручную или запустили Microsoft Entra Connect Sync с помощью пользовательских параметров, необходимо настроить обратную запись устройства и проверку подлинности устройств в ферме AD FS. Дополнительные сведения см. в разделе Настройка обратной записи устройства и проверки подлинности устройства.

Инфраструктура открытых ключей

Инфраструктура открытых ключей (PKI) предприятия требуется в качестве привязки доверия для проверки подлинности. Контроллерам домена требуется сертификат, чтобы клиенты Windows доверяли им.
Корпоративный PKI и центр регистрации сертификатов (CRA) необходимы для выдачи пользователям сертификатов проверки подлинности. Гибридное развертывание доверия сертификатов использует AD FS в качестве CRA.

Во время подготовки Windows Hello для бизнеса пользователи получают сертификат входа через CRA.

Дальнейшие действия