Настройка служб федерации Active Directory в гибридной модели доверия сертификатов

В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:

• Тип развертывания:
• Тип доверия..
• Тип соединения.присоединение к Microsoft Entra , к Microsoft Entra.

Развертывания На основе сертификатов Windows Hello для бизнеса используют AD FS в качестве центра регистрации сертификатов (CRA). CRA отвечает за выдачу и отзыв сертификатов для пользователей. Когда центр регистрации подтверждает запрос на сертификат, он подписывает запрос на сертификат с использованием своего сертификата агента регистрации и отправляет его в центр сертификации.
CRA регистрирует сертификат агента регистрации, а шаблон сертификата проверки подлинности Windows Hello для бизнеса настроен на выдачу сертификатов только для запросов, подписанных сертификатом агента регистрации.

Настройка центра регистрации сертификатов

Войдите на сервер AD FS с учетными данными, эквивалентными администратору домена .

Откройте командную строку Windows PowerShell и введите следующую команду:

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

Регистрация сертификата агента регистрации

AD FS выполняет собственное управление жизненным циклом сертификатов. После настройки центра регистрации с использованием правильного шаблона сертификата, сервер AD FS пытается зарегистрировать сертификат при первом запросе на сертификат или при первом запуске службы.

Примерно за 60 дней до истечения срока действия сертификата агента регистрации служба AD FS пытается обновить сертификат до тех пор, пока он не завершится успешно. Если не удается продлить сертификат и срок действия сертификата истекает, сервер AD FS запрашивает новый сертификат агента регистрации. Можно просмотреть журналы событий AD FS для определения состояния сертификата агента регистрации.

Членство в группах для учетной записи службы AD FS

Учетная запись службы AD FS должна быть членом группы безопасности, на которую нацелена автоматическая регистрация шаблона сертификата проверки подлинности (например, Windows Hello для бизнес-пользователей). Группа безопасности предоставляет службе AD FS разрешения, необходимые для регистрации сертификата проверки подлинности Windows Hello для бизнеса от имени пользователя подготовки.

Войдите в контроллер домена или на рабочую станцию управления, используя учетные данные, эквивалентные администратору домена.

1. Откройте оснастку Пользователи и компьютеры Active Directory.
2. Найдите группу безопасности, предназначенную для автоматической регистрации шаблона сертификата проверки подлинности (например, Windows Hello для бизнес-пользователей)
3. Перейдите на вкладку Участники и нажмите кнопку Добавить.
4. В текстовом поле Введите имена объектов для выбора введите adfssvc или замените имя учетной записи службы AD FS в развертывании > AD FS ОК.
5. Нажмите кнопку ОК, чтобы вернуться к разделу Пользователи и компьютеры Active Directory.
6. Перезапуск сервера AD FS

Проверка раздела и дальнейшие действия

Прежде чем перейти к следующему разделу, убедитесь, что выполнены следующие действия.