Поделиться через

Использование сертификатов для локального единого входа, присоединенного к Microsoft Entra

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:

Если вы планируете использовать сертификаты для локального единого входа, выполните следующие дополнительные действия, чтобы настроить среду для регистрации сертификатов Windows Hello для бизнеса для устройств, присоединенных к Microsoft Entra.

Важно.

Прежде чем продолжить, убедитесь, что вы выполнили настройки на устройствах, присоединенных к Microsoft Entra, для локальной Single-Sign On .

Ниже приведены следующие действия.

Требования

Необходимо установить и настроить дополнительную инфраструктуру, чтобы предоставить устройствам, присоединенным к Microsoft Entra, локальный единый вход.

  • Существующий центр сертификации Windows Server Enterprise
  • Присоединенный к домену Windows Server, на котором размещена роль служб регистрации сетевых устройств (NDES)

Высокий уровень доступности

Роль сервера NDES выступает в качестве центра регистрации сертификатов (CRA). Серверы регистрации сертификатов регистрировать сертификаты от имени пользователя. Пользователи запрашивают сертификаты из службы NDES, а не непосредственно из центра сертификации, выдающего сертификат.

Архитектура сервера NDES предотвращает кластеризацию или балансировку нагрузки для обеспечения высокого уровня доступности. Чтобы обеспечить высокий уровень доступности, необходимо установить несколько одинаково настроенных серверов NDES и использовать Microsoft Intune для балансировки нагрузки (в режиме циклического перебора).

Роль сервера службы регистрации сетевых устройств (NDES) может выдавать до трех уникальных шаблонов сертификатов. Роль сервера достигает этого путем сопоставления цели запроса сертификата с настроенным шаблоном сертификата. Назначение запроса сертификата имеет три варианта:

  • Signature
  • Шифрование
  • Подпись и шифрование

Если необходимо развернуть более трех типов сертификатов на присоединенное к Microsoft Entra устройство, вам потребуются дополнительные серверы NDES. Кроме того, рекомендуется объединить шаблоны сертификатов, чтобы сократить количество шаблонов сертификатов.

Требования к сети

Все обмен данными осуществляется безопасно через порт 443.

Подготовка Microsoft Entra Connect

Для успешной проверки подлинности в локальных ресурсах с помощью сертификата требуется, чтобы сертификат предоставил указание о локальном домене. Указание может быть различающееся имя пользователя Active Directory в качестве субъекта сертификата, или указание может быть именем участника-пользователя, где суффикс соответствует доменному имени Active Directory.

Большинство сред изменяют суффикс имени участника-пользователя в соответствии с внешним доменным именем организации (или тщеславным доменом), что не позволяет использовать имя участника-пользователя в качестве указания на поиск контроллера домена. Поэтому сертификату требуется локальное различающееся имя пользователя в субъекте, чтобы правильно найти контроллер домена.

Чтобы включить локальное различающееся имя в субъект сертификата, Microsoft Entra Connect необходимо реплицировать атрибут Active Directory различающееся имя в атрибут Microsoft Entra ID onPremisesDistinguishedName . Microsoft Entra Connect версии 1.1.819 включает соответствующие правила синхронизации, необходимые для этих атрибутов.

Проверка версии Microsoft Entra Connect

Войдите на компьютер под управлением Microsoft Entra Connect с доступом, эквивалентным локальному администратору.

  1. Откройте службы синхронизации из папки Microsoft Entra Connect .
  2. В диспетчере службы синхронизации выберите Справка, а затем — О программе.
  3. Если номер версии не является 1.1.819 или более поздней, обновите Microsoft Entra Connect до последней версии.

Убедитесь, что атрибут onPremisesDistinguishedName синхронизирован.

Самый простой способ убедиться, что атрибут onPremisesDistingushedNamne синхронизирован, — использовать обозреватель Graph для Microsoft Graph.

  1. Откройте веб-браузер и перейдите в Graph Explorer

  2. Выберите Войти в обозреватель Graph и укажите учетные данные Microsoft Entra ID.

    Примечание.

    Чтобы успешно запросить API Graph, необходимо предоставить соответствующие разрешения .

  3. Выберите Изменить разрешения (предварительная версия). Прокрутите вниз и найдите User.Read.All (или любое другое требуемое разрешение) и выберите Согласие. Теперь вам будет предложено предоставить согласие на делегированные разрешения.

  4. В поле URL-адрес Обозревателя Graph введите https://graph.microsoft.com/v1.0/users/[userid]?$select=displayName,userPrincipalName,onPremisesDistinguishedName, где [userid] — это имя участника-пользователя в идентификаторе Microsoft Entra. Выберите Выполнить запрос.

    Примечание.

    Так как конечная точка версии 1.0 API Graph предоставляет только ограниченный набор параметров, мы будем использовать параметр запроса OData (необязательный) $select. Для удобства перед выполнением запроса можно переключить селектор версий API с версии 1.0 на бета-версию . При этом будут предоставлены все доступные сведения о пользователе, но помните, что запросы конечных точек бета-версии не следует использовать в рабочих сценариях.

    Запрос

    GET https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}?$select=displayName,userPrincipalName,onPremisesDistinguishedName

  5. В возвращенных результатах просмотрите данные JSON для атрибута onPremisesDistinguishedName . Убедитесь, что атрибут имеет значение и что значение является точным для данного пользователя. Если атрибут onPremisesDistinguishedName не синхронизирован, значение будет иметь значение NULL.

    Ответ

    HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,userPrincipalName,onPremisesDistinguishedName)/$entity",
    "displayName": "Nestor Wilke",
    "userPrincipalName": "[email protected]",
    "onPremisesDistinguishedName" : "CN=Nestor Wilke,OU=Operations,DC=contoso,DC=com"
}

Подготовка учетной записи службы регистрации сетевых устройств (NDES)

Создание глобальной группы безопасности серверов NDES

В развертывании используется группа безопасности серверов NDES , чтобы назначить службе NDES правильные назначения прав пользователя.

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

  1. Откройте оснастку Пользователи и компьютеры Active Directory.
  2. Развертывание узла домена из области навигации
  3. Щелкните правой кнопкой мыши контейнер Пользователи. Наведите указатель мыши на кнопку Создать и выберите Группировать.
  4. Введите серверы NDES в текстовом поле Имя группы .
  5. Нажмите кнопку ОК.

Добавление сервера NDES в группу глобальной безопасности серверов NDES

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

  1. Откройте оснастку Пользователи и компьютеры Active Directory.
  2. Развертывание узла домена из области навигации
  3. Выберите Компьютеры в области навигации. Щелкните правой кнопкой мыши имя сервера NDES, на котором будет размещена роль сервера NDES. Выберите Добавить в группу.
  4. Введите серверы NDES вполе Введите имена объектов для выбора. Нажмите ОК. Нажмите кнопку ОК в диалоговом окне Успешное выполнение доменных служб Active Directory .

Примечание.

Для обеспечения высокого уровня доступности у вас должно быть несколько серверов NDES для обслуживания запросов на сертификаты Windows Hello для бизнеса. Необходимо добавить в эту группу дополнительные серверы NDES Windows Hello для бизнеса, чтобы убедиться, что они получают правильную конфигурацию.

Создание учетной записи службы NDES

Роль служб регистрации сетевых устройств (NDES) выполняется под учетной записью службы. Как правило, предпочтительно запускать службы с помощью групповой управляемой учетной записи службы (GMSA). Хотя роль NDES можно настроить для запуска с помощью GMSA, соединитель сертификатов Intune не разрабатывался и не тестировался с помощью GMSA и считается неподдерживаемой конфигурацией. В развертывании используется обычная учетная запись служб.

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

  1. В области навигации разверните узел с доменным именем. Выбор пользователей
  2. Щелкните правой кнопкой мыши контейнер Пользователи. Наведите указатель мыши на кнопку Создать и выберите Пользователь. Введите NDESSvc в полях Полное имя и Имя входа пользователя. Нажмите кнопку Далее
  3. Введите безопасный пароль в поле Пароль. Подтвердите безопасный пароль в разделе Подтверждение пароля. Снимите флажок Требовать смены пароля при следующем входе в систему. Нажмите кнопку Далее
  4. Нажмите кнопку Готово

Важно.

Настроить пароль учетной записи службы для параметра Пароль, срок действия которого не истекает , может быть удобнее, но это создает угрозу безопасности. Срок действия обычных паролей учетных записей службы должен истечь в соответствии с политикой срока действия паролей пользователей организации. Создайте напоминание об изменении пароля учетной записи службы за две недели до истечения срока его действия. Поделитесь напоминанием с другими пользователями, которым разрешено изменить пароль, чтобы убедиться, что пароль изменен до истечения срока его действия.

Создание объекта групповой политики "Права пользователя службы NDES"

Объект групповой политики гарантирует, что учетная запись службы NDES имеет право пользователя назначить все серверы NDES в группе серверов NDES . При добавлении новых серверов NDES в среду и эту группу учетная запись службы автоматически получает соответствующие права пользователя через групповую политику.

Войдите в контроллер домена или на рабочие станции управления, используя учетные данные, эквивалентные администратору домена.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).

  2. Разверните домен и выберите узел Объект групповой политики в области навигации.

  3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.

  4. Введите NDES Service Rights в поле имени и нажмите кнопку ОК.

  5. В области содержимого щелкните правой кнопкой мыши объект групповой политики NDES Service Rights и выберите Изменить.

  6. В области навигации разверните узел Политики в разделе Конфигурация компьютера.

  7. Разверните узел Параметры > Windows Параметры безопасности Локальные > политики. Выбор назначений прав пользователя

  8. В области содержимого дважды щелкните Разрешить локальный вход. Выберите Определить эти параметры политики и нажмите кнопку ОК. Выберите Добавить пользователя или группу.... В диалоговом окне Добавление пользователя или группы выберите Обзор. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или Групп введите Администраторы; Операторы резервного копирования; DOMAINNAME\NDESSvc; Пользователи, где DOMAINNAME — это netBios-имя домена (пример CONTOSO\NDESSvc) в именах пользователей и групп. Дважды нажмите кнопку ОК.

  9. В области содержимого дважды щелкните Вход в качестве пакетного задания. Выберите Определить эти параметры политики и нажмите кнопку ОК. Выберите Добавить пользователя или группу.... В диалоговом окне Добавление пользователя или группы выберите Обзор. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или Групп введите Администраторы; Операторы резервного копирования; DOMAINNAME\NDESSvc; Пользователи журнала производительности, где DOMAINNAME — это netBios-имя домена (пример CONTOSO\NDESSvc) в именах пользователей и групп. Дважды нажмите кнопку ОК.

  10. В области содержимого дважды щелкните Войти как услуга. Выберите Определить эти параметры политики и нажмите кнопку ОК. Выберите Добавить пользователя или группу.... В диалоговом окне Добавление пользователя или группы выберите Обзор. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или Групп введите NT SERVICE\ALL SERVICES; DOMAINNAME\NDESSvc , где DOMAINNAME — это netBios-имя домена (пример CONTOSO\NDESSvc) в именах пользователей и групп. Три раза нажмите кнопку ОК .

  11. Закрытие редактора управления групповыми политиками

Настройка безопасности объекта групповой политики "Права пользователя службы NDES"

Лучший способ развернуть объект групповой политики прав пользователя службы NDES — использовать фильтрацию групп безопасности. Это позволяет легко управлять компьютерами, получающими параметры групповой политики, добавляя их в группу.

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. Разверните домен и выберите узел Объект групповой политики в области навигации.
  3. Дважды щелкните объект групповой политики "Права пользователя службы NDES "
  4. В разделе Фильтрация безопасности области содержимого выберите Добавить. Введите серверы NDES или имя ранее созданной группы безопасности и нажмите кнопку ОК.
  5. Перейдите на вкладку Делегирование . Выберите Пользователи, прошедшие проверку подлинности , и выберите Дополнительно.
  6. В списке Группы или пользователи выберите Прошедшие проверку. В списке Разрешения для прошедших проверку пользователей снимите флажок Разрешить для разрешения Применить групповую политику. Нажмите кнопку ОК.

Развертывание объекта групповой политики "Права пользователя" службы NDES

Приложение объекта групповой политики прав пользователя службы NDES использует фильтрацию групп безопасности. Это позволяет связать объект групповой политики в домене, гарантируя, что объект групповой политики находится в пределах области действия для всех компьютеров. Однако фильтрация групп безопасности гарантирует, что только компьютеры, входящие в глобальную группу безопасности NDES Servers , получают и применяют объект групповой политики, что приводит к предоставлению учетной записи службы NDESSvc с соответствующими правами пользователя.

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. В области навигации разверните домен и щелкните правой кнопкой мыши узел с доменным именем Active Directory и выберите Связать существующий объект групповой политики.
  3. В диалоговом окне Выбор объекта групповой политики выберите NDES Service User Rights (Права пользователя службы NDES) или имя созданного ранее объекта групповой политики и нажмите кнопку ОК.

Важно.

Связывание объекта групповой политики прав пользователя службы NDES с доменом гарантирует, что объект групповой политики находится в области действия для всех компьютеров. Однако не на всех компьютерах будут применены параметры политики. Только компьютеры, входящие в группу глобальной безопасности серверов NDES, получают параметры политики. Все остальные компьютеры игнорируют объект групповой политики.

Подготовка центра сертификации Active Directory

Необходимо подготовить инфраструктуру открытых ключей и выдающий центр сертификации для поддержки выдачи сертификатов с помощью Microsoft Intune и роли сервера служб регистрации сетевых устройств (NDES). В этой задаче вы будете

  • Настройка центра сертификации для предоставления Intune срока действия
  • Создание шаблона сертификата проверки подлинности NDES-Intune
  • Создание шаблона сертификата проверки подлинности Windows Hello для бизнеса, присоединенного к Microsoft Entra
  • Публикация шаблонов сертификатов

Настройка центра сертификации для предоставления Intune срока действия

При развертывании сертификатов с помощью Microsoft Intune можно указать срок действия в профиле сертификата SCEP, а не полагаться на срок действия в шаблоне сертификата. Если необходимо выдать один и тот же сертификат с разными сроками действия, может оказаться полезным использовать профиль SCEP, учитывая ограниченное количество сертификатов, которые может выдать один сервер NDES.

Примечание.

Пропустите этот шаг, если вы не хотите включать Microsoft Intune для указания срока действия сертификата. Без этой конфигурации запрос сертификата использует срок действия, заданный в шаблоне сертификата.

Войдите в выдающий центр сертификации с доступом, эквивалентным локальному администратору.

  1. Откройте командную строку с повышенными привилегиями и введите следующую команду:

    certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

  2. Перезапуск службы сертификатов Active Directory

Создание шаблона сертификата проверки подлинности NDES-Intune

NDES использует сертификат проверки подлинности сервера для проверки подлинности конечной точки сервера, который шифрует связь между ней и подключающимся клиентом. Соединитель сертификатов Intune использует шаблон сертификата проверки подлинности клиента для проверки подлинности в точке регистрации сертификата.

Войдите в центр сертификации или рабочие станции управления, используя учетные данные, эквивалентные администратору домена .

  1. Открытие консоли управления центром сертификации

  2. Щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление.

  3. В консоли шаблонов сертификатов щелкните правой кнопкой мыши шаблон Компьютер в области сведений и выберите Дублировать шаблон.

  4. На вкладке Общие в поле Отображаемое имя шаблона введите проверку подлинности NDES-Intune. Настройка срока действия и периода продления в соответствии с потребностями предприятия

    Примечание.

    Если вы используете разные имена шаблонов, вам потребуется запомнить и подставить эти имена в разных участках лаборатории.

  5. На вкладке Тема выберите Пункт Предоставить в запросе.

  6. На вкладке Шифрование проверьте минимальный размер ключа2048.

  7. На вкладке Безопасность выберите Добавить.

  8. Выберите Типы объектов, а затем в появившемся окне выберите Компьютеры и нажмите кнопку ОК.

  9. Введите сервер NDES в текстовом поле Введите имена объектов для выделения и нажмите кнопку ОК.

  10. Выберите сервер NDES в списке Имена групп или пользователей . В разделе Разрешения для установите флажок Разрешить для разрешения Регистрация . Снимите флажок Разрешить для разрешений регистрация и автоматическая регистрация для всех остальных элементов в списке Имена групп или пользователей , если флажки еще не сняты. Нажмите кнопку ОК.

  11. Нажмите кнопку Применить , чтобы сохранить изменения и закрыть консоль.

Создание шаблона сертификата проверки подлинности Windows Hello для бизнеса, присоединенного к Microsoft Entra

Во время подготовки Windows Hello для бизнеса Windows запрашивает сертификат проверки подлинности из Microsoft Intune, который запрашивает сертификат проверки подлинности от имени пользователя. Эта задача настраивает шаблон сертификата проверки подлинности Windows Hello для бизнеса. Имя шаблона сертификата используется при настройке сервера NDES.

Войдите в центр сертификации или рабочие станции управления с учетными данными, эквивалентными администратору домена .

  1. Открытие консоли управления центром сертификации

  2. Щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление.

  3. Щелкните правой кнопкой мыши шаблон Входа смарт-карты и выберите пункт Дублировать шаблон.

  4. На вкладке Совместимость снимите флажок Показать последующие изменения . Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Центр сертификации. Выберите Windows Server 2012 или Windows Server 2012 R2 в списке получателей сертификата .

  5. На вкладке Общие введите ENTRA JOINED WHFB Authentication (Проверка подлинности WHFB ENTRA JOINED ) в поле Отображаемое имя шаблона. Настройка срока действия и периода продления в соответствии с потребностями предприятия

    Примечание.

    Если вы используете разные имена шаблонов, необходимо запомнить и подставить эти имена в разных участках развертывания.

  6. На вкладке Шифрование выберите Поставщик хранилища ключей из списка Категория поставщика. Из списка Имя алгоритма выберите RSA. Введите 2048 в текстовое поле Минимальный размер ключей. Выберите SHA256 в списке хэша запроса .

  7. На вкладке Расширения убедитесь, что расширение "Политики приложений " включает вход с помощью смарт-карты.

  8. На вкладке Тема выберите Пункт Предоставить в запросе.

  9. На вкладке Обработка запросов выберите Подпись и шифрование в списке Назначение . Установите флажок Продлить с тем же ключом . Выберите Регистрация субъекта без необходимости ввода пользователем.

  10. На вкладке Безопасность выберите Добавить. Введите NDESSvc в текстовом поле Введите имена объектов для выделения и нажмите кнопку ОК.

  11. Выберите NDESSvc в списке Имена групп или пользователей . В разделе Разрешения для серверов NDES установите флажок Разрешить для чтения и регистрации. Снимите флажок Разрешить для разрешений регистрация и автоматическая регистрация для всех остальных записей в разделе Имена групп или пользователей , если флажки еще не сняты. Нажмите кнопку ОК.

  12. Закрытие консоли

Публикация шаблонов сертификатов

Центр сертификации может выдавать только сертификаты, соответствующие шаблонам сертификатов, опубликованным в этот центр сертификации. При наличии более чем одного центра сертификации, если вы хотите, чтобы центр сертификации выдавал сертификаты на основе определенного шаблона сертификата, необходимо опубликовать шаблон сертификата на все центры сертификации, которые должны выдавать такой сертификат.

Важно.

Убедитесь, что вы публикуете шаблоны сертификатов проверки подлинности WHFB ENTRA JOINED в центре сертификации, который использует Microsoft Intune, через серверы NDES. Конфигурация NDES предлагает выбрать центр сертификации, из которого запрашивается сертификат. Эти шаблоны сертификатов необходимо опубликовать в этом выдающем центре сертификации. Сертификат проверки подлинности NDES-Intune регистрируется напрямую и может быть опубликован в любом центре сертификации.

Войдите в центр сертификации или рабочие станции управления с учетными данными, эквивалентными администратору предприятия .

  1. Открытие консоли управления центром сертификации
  2. Развертывание родительского узла из области навигации
  3. Выберите Шаблоны сертификатов в области навигации
  4. Щелкните правой кнопкой мыши узел Шаблоны сертификатов. Выберите Создать и выберите Шаблон сертификата для выдачи.
  5. В окне Включение шаблонов сертификатов выберите шаблоны проверки подлинности NDES-Intune и ENTRA JOINED WHFB Authentication , созданные на предыдущих шагах. Нажмите кнопку ОК , чтобы опубликовать выбранные шаблоны сертификатов в центр сертификации.
  6. Закрытие консоли

Установка и настройка роли NDES

В этом разделе содержатся следующие статьи:

  • Установка роли службы регистрации сетевых устройств
  • Настройка учетной записи службы NDES
  • Настройка роли NDES и шаблонов сертификатов
  • Создание прокси-сервера веб-приложения для внутреннего URL-адреса NDES
  • Регистрация сертификата проверки подлинности NDES-Intune
  • Настройка сертификата веб-сервера для NDES
  • Проверка конфигурации

Установка роли служб регистрации сетевых устройств

Установите роль службы регистрации сетевых устройств на компьютере, отличном от центра сертификации.

Войдите в центр сертификации или рабочие станции управления с учетными данными, эквивалентными администратору предприятия .

  1. Открытие диспетчера сервера на сервере NDES

  2. Выберите Управление. Выберите Добавить роли и компоненты.

  3. В мастере добавления ролей и компонентов на странице Перед началом работы нажмите кнопку Далее. Выберите Установка на основе ролей или компонентов на странице Выбор типа установки . Выберите Далее. Выберите Выбрать сервер из пула серверов. Выберите локальный сервер в списке Пул серверов . Нажмите кнопку Далее

    Конечный сервер диспетчера серверов.

  4. На странице Выбор ролей сервера выберите Службы сертификатов Active Directory в списке Роли .

    Роль AD CS диспетчера сервера.

    Выберите Добавить компоненты в диалоговом окне Мастер добавления ролей и компонентов . Нажмите кнопку Далее

    Добавление компонентов диспетчера сервера.

  5. На странице Компоненты разверните узел Компоненты .NET Framework 3.5. Выберите Активация HTTP. Выберите Добавить компоненты в диалоговом окне Мастер добавления ролей и компонентов . Разверните узел Компоненты .NET Framework 4.5. Разверните узел Службы WCF. Выберите Активация HTTP. Выберите Добавить компоненты в диалоговом окне Мастер добавления ролей и компонентов . Нажмите кнопку Далее

    Активация функции диспетчера сервера по протоколу HTTP.

  6. На странице Выбор служб ролей снимите флажок Центр сертификации . Выберите Службу регистрации сетевых устройств. Выберите Добавить компоненты в диалоговом окне Мастер добавления ролей и компонентов . Нажмите кнопку Далее

    Роль ADCS NDES диспетчера сервера.

  7. Нажмите кнопку Далее на странице Роль веб-сервера (IIS)

  8. На странице Выбор служб ролей для роли "Веб-служба" выберите следующие дополнительные службы, если они еще не выбраны, и нажмите кнопку Далее.

    • Фильтрация запросов безопасности > веб-сервера >
    • Разработка > приложений веб-сервера > ASP.NET 3.5
    • Разработка > приложений веб-сервера > ASP.NET 4.5
    • Средства > управления IIS 6 Совместимость > метабазы IIS 6
    • Средства > управления IIS 6 Совместимость > управления IIS 6 WMI Совместимость с IIS 6

    Роль веб-сервера диспетчера сервера.

  9. Выберите Установить. После завершения установки перейдите к следующей процедуре. Не нажимайте кнопку Закрыть

    Важно.

    Платформа .NET Framework 3.5 не включена в обычную установку. Если сервер подключен к Интернету, установка пытается получить файлы с помощью Центра обновления Windows. Если сервер не подключен к Интернету, необходимо указать альтернативный путь к источнику , например <driveLetter>:\Sources\SxS\

    .NET рядом.

Настройка учетной записи службы NDES

Эта задача добавляет учетную запись службы NDES в локальную группу IIS_USRS. Задача также настраивает учетную запись службы NDES для проверки подлинности и делегирования Kerberos.

Добавление учетной записи службы NDES в группу IIS_USRS

Войдите на сервер NDES с доступом, эквивалентным локальному администратору.

  1. Запустите консоль управления "Локальные пользователи и группы " (lusrmgr.msc)
  2. Выберите Группы в области навигации. Дважды щелкните группу IIS_IUSRS
  3. В диалоговом окне Свойства IIS_IUSRS выберите Добавить. Введите NDESSvc или имя учетной записи службы NDES. Выберите Проверить имена , чтобы проверить имя, а затем нажмите кнопку ОК. Нажмите кнопку ОК , чтобы закрыть диалоговое окно свойств.
  4. Закройте консоль управления.

Регистрация имени субъекта-службы в учетной записи службы NDES

Войдите на сервер NDES с доступом, эквивалентным администраторам домена.

  1. Открытие командной строки с повышенными привилегиями

  2. Введите следующую команду, чтобы зарегистрировать имя субъекта-службы.

    setspn -s http/[FqdnOfNdesServer] [DomainName\\NdesServiceAccount]

    где [FqdnOfNdesServer] — это полное доменное имя сервера NDES, а [Имя_домена\NdesServiceAccount] — доменное имя и имя учетной записи службы NDES, разделенное обратной косой чертой (\). Пример команды выглядит следующим образом:

    setspn -s http/ndes.corp.contoso.com contoso\ndessvc

Примечание.

Если вы используете одну и ту же учетную запись службы для нескольких серверов NDES, повторите следующую задачу для каждого сервера NDES, на котором выполняется служба NDES.

Настройка командной строки имени субъекта-службы.

Настройка учетной записи службы NDES для делегирования

Служба NDES регистрирует сертификаты от имени пользователей. Поэтому необходимо ограничить действия, которые он может выполнять от имени пользователя. Это можно сделать с помощью делегирования.

Выполните вход в контроллер домена с минимальным доступом, эквивалентным администраторам домена.

  1. Откройте оснастку Пользователи и компьютеры Active Directory.

  2. Найдите учетную запись службы NDES (NDESSvc). Щелкните правой кнопкой мыши и выберите пункт Свойства. Перейдите на вкладку Делегирование .

    Вкладка Делегирование NDES.

  3. Выберите Доверять этому пользователю только для делегирования указанным службам.

  4. Выберите Использовать любой протокол проверки подлинности.

  5. Выберите Добавить.

  6. Выберите Пользователи или компьютеры... Введите имя сервера NDES, используемого для выдачи сертификатов проверки подлинности Windows Hello для бизнеса устройствам, присоединенным к Microsoft Entra. В списке Доступные службы выберите УЗЕЛ. Нажмите кнопку ОК.

    Делегирование службы NDES в узел NDES.

  7. Повторите шаги 5 и 6 для каждого сервера NDES с помощью этой учетной записи службы. Выберите Добавить.

  8. Выберите Пользователи или компьютеры... Введите имя центра сертификации, выдавшего эту учетную запись службы NDES, для выдачи сертификатов проверки подлинности Windows Hello для бизнеса устройствам, присоединенным к Microsoft Entra. В списке Доступные службы выберите dcom. Удерживая нажатой клавишу CTRL , выберите УЗЕЛ. Нажмите кнопку ОК.

  9. Повторите шаги 8 и 9 для каждого центра сертификации, из которого один или несколько серверов NDES запрашивают сертификаты.

    Делегирование службы NDES завершено.

  10. Нажмите ОК. Закрытие пользователей и компьютеров Active Directory

Настройка шаблонов ролей и сертификатов NDES

Эта задача настраивает роль NDES и шаблоны сертификатов, которые выдает сервер NDES.

Настройка роли NDES

Войдите в центр сертификации или рабочие станции управления с учетными данными, эквивалентными администратору предприятия .

Примечание.

Если вы закрыли диспетчер сервера из последнего набора задач, запустите диспетчер сервера и щелкните флаг действия, на который отображается желтый восклицательный знак.

После установки после установки желтый флаг диспетчера сервера.

  1. Выберите ссылку Настройка служб сертификатов Active Directory на целевом сервере .

  2. На странице Учетные данные нажмите кнопку Далее.

    Учетные данные установки NDES.

  3. На странице Службы ролей выберите Служба регистрации сетевых устройств, а затем нажмите кнопку Далее.

    Службы ролей NDES.

  4. На странице Учетная запись службы для NDES выберите Указать учетную запись службы (рекомендуется). Выберите Выбрать.... Введите имя пользователя и пароль для учетной записи службы NDES в диалоговом окне Безопасность Windows . Нажмите кнопку Далее

    Учетная запись службы NDES для NDES.

  5. На странице ЦС для NDES выберите имя ЦС. Выберите Выбрать.... Выберите центр сертификации, из которого сервер NDES запрашивает сертификаты. Нажмите кнопку Далее

    Выбор ЦС NDES.

  6. В разделе Ra Information (Сведения о ra) нажмите кнопку Далее.

  7. На странице Шифрование для NDES нажмите кнопку Далее.

  8. Просмотрите страницу Подтверждение . Выберите Настроить.

    Подтверждение NDES.

  9. Нажмите кнопку Закрыть после завершения настройки.

Настройка шаблонов сертификатов в NDES

Один сервер NDES может запрашивать не более трех шаблонов сертификатов. Сервер NDES определяет, какой сертификат следует выдать, на основе входящего запроса сертификата, назначенного в профиле сертификата SCEP Microsoft Intune. Профиль сертификата SCEP Microsoft Intune имеет три значения.

  • Цифровая подпись
  • Шифрование ключей
  • Шифрование ключей, цифровая подпись

Каждое значение сопоставляется со значением реестра на сервере NDES. Сервер NDES преобразует предоставленное входящее значение SCEP в соответствующий шаблон сертификата. В таблице ниже показаны значения профилей SCEP для имен реестра шаблонов сертификатов NDES.

Использование ключа профиля SCEP Имя значения реестра NDES
Цифровая подпись SignatureTemplate
Шифрование ключей EncryptionTemplate
Шифрование ключей
Цифровая подпись		 GeneralPurposeTemplate

В идеале необходимо сопоставить запрос сертификата со значением реестра, чтобы обеспечить интуитивно понятную конфигурацию (сертификаты шифрования используют шаблон шифрования, сертификаты подписи — шаблон подписи и т. д.). Результатом этого интуитивно понятного проектирования является потенциальный экспоненциальный рост на сервере NDES. Представьте себе организацию, которая должна выдать девять уникальных сертификатов подписи на предприятии.

При необходимости можно настроить сертификат подписи в имени реестра шифрования или сертификат шифрования в значении реестра подписи, чтобы максимально эффективно использовать инфраструктуру NDES. Эта неинтуитивная конструкция требует наличия актуальной и точной документации по конфигурации, чтобы убедиться, что профиль сертификата SCEP настроен для регистрации правильного сертификата, независимо от фактического назначения. Каждой организации необходимо сбалансировать простоту настройки и администрирования с дополнительной инфраструктурой NDES и затратами на управление, которые вместе с ней.

Войдите на сервер NDES с учетными данными, эквивалентными локальному администратору .

  1. Открытие командной строки с повышенными привилегиями

  2. С помощью приведенной выше таблицы определите, какое значение реестра будет использоваться для запроса сертификатов проверки подлинности Windows Hello для бизнеса для устройств, присоединенных к Microsoft Entra.

  3. Введите следующую команду:

    reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v [registryValueName] /t REG_SZ /d [certificateTemplateName]

    где registryValueName — это одно из трех имен значений из приведенной выше таблицы, а где certificateTemplateName — это имя шаблона сертификата, созданного для устройств, присоединенных к Windows Hello для бизнеса Microsoft Entra. Пример.

    reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v SignatureTemplate /t REG_SZ /d ENTRAJOINEDWHFBAuthentication

  4. Введите Y , когда команда запрашивает разрешение на перезапись существующего значения.

  5. Закройте командную строку.

Важно.

Используйте имя шаблона сертификата; не отображаемое имя. Имя шаблона сертификата не содержит пробелов. Имена сертификатов можно просмотреть на вкладке Общие свойств шаблона сертификата в консоли управления "Шаблоны сертификатов " (certtmpl.msc).

Создайте прокси-сервер веб-приложения для внутреннего URL-адреса NDES.

Регистрация сертификатов для устройств, присоединенных к Microsoft Entra, происходит через Интернет. В результате внутренние URL-адреса NDES должны быть доступны извне. Это можно сделать легко и безопасно с помощью прокси приложения Microsoft Entra. Прокси приложения Microsoft Entra обеспечивает единый вход и безопасный удаленный доступ для локальных веб-приложений, таких как службы регистрации сетевых устройств.

В идеале вы настраиваете профиль сертификата SCEP Microsoft Intune для использования нескольких внешних URL-адресов NDES. Это позволяет Microsoft Intune с циклическим перебором распределять нагрузку запросов сертификатов на одинаково настроенные серверы NDES (каждый сервер NDES может вмещать около 300 одновременных запросов). Microsoft Intune отправляет эти запросы в прокси-серверы приложений Microsoft Entra.

Прокси-серверы приложений Microsoft Entra обслуживаются упрощенными агентами соединителя прокси приложения. Дополнительные сведения см. в статье Что такое прокси приложения . Эти агенты устанавливаются на локальных устройствах, присоединенных к домену, и обеспечивают безопасное исходящее подключение к Azure с проверкой подлинности, ожидая обработки запросов от прокси-серверов приложений Microsoft Entra. Группы соединителей можно создать в Идентификаторе Microsoft Entra, чтобы назначить определенные соединители приложениям, определенным службам.

Группа соединителей автоматически циклически перебор, балансировка нагрузки запросов прокси приложения Microsoft Entra к соединителям в назначенной группе соединителей. Это гарантирует, что запросы сертификатов Windows Hello для бизнеса имеют несколько выделенных соединителей прокси приложения Microsoft Entra, доступных исключительно для удовлетворения запросов на регистрацию. Балансировка нагрузки серверов и соединителей NDES должна обеспечить своевременную регистрацию сертификатов Windows Hello для бизнеса.

Скачивание и установка агента соединителя прокси приложения

Войдите на рабочую станцию с правами пользователя домена.

  1. Доступ к Центру администрирования Microsoft Entra в качестве по крайней мере администратора приложений
  2. Выберите Все службы. Введите Идентификатор Microsoft Entra , чтобы отфильтровать список служб. В разделе СЛУЖБЫ выберите Идентификатор Microsoft Entra.
  3. В разделе УПРАВЛЕНИЕ выберите Прокси приложения.
  4. Выберите Скачать службу соединителя. Выберите Принять условия & Скачать. Сохраните файл (AADApplicationProxyConnectorInstaller.exe) в расположении, доступном другим пользователям в домене Azure Application Proxy Connectors.
  5. Войдите на компьютер, на который будет запущен соединитель с доступом, эквивалентным пользователю домена.

    Важно.

    Установите как минимум два соединителя прокси-сервера Microsoft Entra ID для каждого прокси приложения NDES. Стратегическое расположение соединителей прокси приложения Microsoft Entra по всей организации, чтобы обеспечить максимальную доступность. Помните, что устройства, на которых запущен соединитель, должны иметь возможность взаимодействовать с Azure и локальными серверами NDES.

  6. Запуск AADApplicationProxyConnectorInstaller.exe
  7. Прочтите условия лицензии и выберите Я принимаю условия лицензии. Выберите УстановитьСоединитель прокси приложения Azure: условия лицензии
  8. Вход по крайней мере от имени администратора приложенийAzure Application Proxy Connector: вход
  9. После завершения установки. Ознакомьтесь со сведениями об исходящих прокси-серверах. Выберите ЗакрытьСоединитель прокси приложения Azure: чтение
  10. Повторите шаги 5–10 для каждого устройства, на которых будет запущен соединитель прокси приложения Microsoft Entra для развертывания сертификатов Windows Hello для бизнеса

Создание группы соединителей

Войдите на рабочую станцию с правами пользователя домена.

  1. Доступ к Центру администрирования Microsoft Entra в качестве по крайней мере администратора приложений

  2. Выберите Все службы. Введите Идентификатор Microsoft Entra , чтобы отфильтровать список служб. В разделе СЛУЖБЫ выберите Идентификатор Microsoft Entra.

  3. В разделе УПРАВЛЕНИЕ выберите Прокси приложения.

    Группы соединителей Прокси приложения Azure.

  4. Выберите Создать группу соединителей. В разделе Имя введите NDES WHFB Connectors.

    Группа новых соединителей приложений Azure.

  5. Выберите каждый агент соединителя в списке Соединители, который будет обслуживать запросы на регистрацию сертификатов Windows Hello для бизнеса.

  6. Выберите Сохранить.

Создание прокси приложения Azure

Войдите на рабочую станцию с правами пользователя домена.

  1. Доступ к Центру администрирования Microsoft Entra в качестве по крайней мере администратора приложений

  2. Выберите Все службы. Введите Идентификатор Microsoft Entra , чтобы отфильтровать список служб. В разделе СЛУЖБЫ выберите Идентификатор Microsoft Entra.

  3. В разделе УПРАВЛЕНИЕ выберите Прокси приложения.

  4. Выберите Настроить приложение.

  5. В разделе Основные параметры рядом с полем Имя введите WHFB NDES 01. Выберите имя, которое сопоставляет этот параметр прокси приложения Microsoft Entra с локальным сервером NDES. Каждый сервер NDES должен иметь собственный прокси приложения Microsoft Entra, так как два сервера NDES не могут совместно использовать один и тот же внутренний URL-адрес.

  6. Рядом с полем Внутренний URL-адрес введите внутреннее полное DNS-имя сервера NDES, связанного с этим прокси-сервером приложения Microsoft Entra. Например, https://ndes.corp.mstepdemo.net. Необходимо сопоставить имя основного узла (имя учетной записи компьютера AD) сервера NDES и префиксировать URL-адрес https.

  7. В разделе Внутренний URL-адрес выберите https:// в первом списке. В текстовом поле рядом с https:// введите имя узла, которое вы хотите использовать в качестве внешнего имени узла для прокси-сервера приложения Microsoft Entra. В списке рядом с введенным именем узла выберите DNS-суффикс, который вы хотите использовать извне для прокси приложения Microsoft Entra. Рекомендуется использовать значение по умолчанию -[имя_клиента].msapproxy.net, где [tenantName] — текущее имя клиента Microsoft Entra (-mstephendemo.msappproxy.net).

    Конфигурация прокси приложения Azure NDES.

  8. Выберите Passthrough (Сквозная передача) в списке предварительной проверки подлинности.

  9. Выберите соединители WHFB NDES в списке Групп соединителей

  10. В разделе Дополнительные параметры выберите Значение По умолчанию в разделе Время ожидания внутреннего приложения. В разделе Перевод URL-адресов в выберите Да рядом с заголовками и Нет рядом с текстом приложения.

  11. Выберите Добавить.

  12. Выйдите из портала Azure.

    Важно.

    Запишите внутренние и внешние URL-адреса. Эти сведения потребуются при регистрации сертификата проверки подлинности NDES-Intune.

Регистрация сертификата проверки подлинности NDES-Intune

Эта задача регистрирует сертификат проверки подлинности клиента и сервера, используемый соединителем Intune и сервером NDES.

Войдите на сервер NDES с доступом, эквивалентным локальным администраторам.

  1. Запустите диспетчер сертификатов локального компьютера (certlm.msc)

  2. Разверните узел Личный в области навигации

  3. Щелкните правой кнопкой мыши Личные. Выберите Все задачи и запросите новый сертификат

  4. Нажмите кнопку Далее на странице перед началом работы .

  5. Нажмите кнопку Далее на странице Выбор политики регистрации сертификатов .

  6. На странице Запрос сертификатов установите флажок Проверка подлинности NDES-Intune

  7. Выберите дополнительные сведения, необходимые для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры

    Пример вкладки

  8. В разделе Имя субъекта выберите Общее имя из списка Тип. Введите внутренний URL-адрес, используемый в предыдущей задаче (без https://, например ndes.corp.mstepdemo.net), а затем нажмите кнопку Добавить.

  9. В разделе Альтернативное имя выберите DNS из списка Тип. Введите внутренний URL-адрес, используемый в предыдущей задаче (без https://, например ndes.corp.mstepdemo.net). Нажмите кнопку Добавить. Введите внешний URL-адрес, используемый в предыдущей задаче (без https://, например ndes-mstephendemo.msappproxy.net). Нажмите кнопку Добавить. По завершении нажмите кнопку ОК .

  10. Выберите Регистрация

  11. Повторите эти действия для всех серверов NDES, используемых для запроса сертификатов проверки подлинности Windows Hello для бизнеса для устройств, присоединенных к Microsoft Entra.

Настройка роли веб-сервера

Эта задача настраивает роль веб-сервера на сервере NDES для использования сертификата проверки подлинности сервера.

Войдите на сервер NDES с доступом, эквивалентным локальному администратору.

  1. Запуск диспетчера служб IIS из средств администрирования

  2. Разверните узел с именем сервера NDES. Разверните узел Сайты и выберите Веб-сайт по умолчанию.

    Консоль IIS NDES

  3. Выберите Привязки... в разделе Действия. Нажмите кнопку Добавить.

    Консоль IIS NDES: добавление

  4. Выберите https вполе Тип. Убедитесь, что для параметра Port задано значение 443.

  5. Выберите сертификат, который вы зарегистрировали ранее, в списке SSL-сертификатов . Нажмите кнопку ОК.

    Консоль IIS NDES: список сертификатов

  6. Выберите http в списке Привязки сайта . Выберите Удалить.

  7. Нажмите кнопку Закрыть в диалоговом окне Привязки сайта .

  8. Закрытие диспетчера служб IIS

Проверка конфигурации

Эта задача подтверждает конфигурацию TLS для сервера NDES.

Войдите на сервер NDES с доступом, эквивалентным локальному администратору.

Отключение конфигурации усиленной безопасности Internet Explorer

  1. Откройте Диспетчер сервера. Выберите Локальный сервер в области навигации.
  2. Выберите Включено рядом с элементом IE Enhanced Security Configuration (Конфигурация усиленной безопасности IE ) в разделе Свойства .
  3. В диалоговом окне Конфигурация усиленной безопасности Internet Explorer в разделе Администраторы выберите Выкл. Нажмите кнопку ОК.
  4. Закрыть диспетчер сервера

Тестирование веб-сервера NDES

  1. Открытие Internet Explorer

  2. На панели навигации введите

    https://[fqdnHostName]/certsrv/mscep/mscep.dll

    где [fqdnHostName] — это полное внутреннее DNS-имя узла сервера NDES.

В веб-браузере должна появиться веб-страница, аналогичная приведенной ниже. Если вы не видите аналогичную страницу или появится сообщение о недоступности службы 503 , убедитесь, что учетная запись службы NDES имеет соответствующие права пользователя. Вы также можете просмотреть журнал событий приложений на наличие событий с источником NetworkDeviceEnrollmentService .

Консоль IIS NDES: источник

Убедитесь, что веб-сайт использует сертификат проверки подлинности сервера.

Консоль IIS NDES: подтвердите

Настройка служб регистрации сетевых устройств для работы с Microsoft Intune

Службы регистрации сетевых устройств успешно настроены. Теперь необходимо изменить конфигурацию для работы с соединителем сертификатов Intune. В этой задаче вы включите сервер NDES и http.sys для обработки длинных URL-адресов.

  • Настройка NDES для поддержки длинных URL-адресов

Настройка NDES и HTTP для поддержки длинных URL-адресов

Войдите на сервер NDES с доступом, эквивалентным локальному администратору.

Настройка веб-сайта по умолчанию

  1. Запуск диспетчера служб IIS из средств администрирования

  2. Разверните узел с именем сервера NDES. Разверните узел Сайты и выберите Веб-сайт по умолчанию.

  3. В области содержимого дважды щелкните Фильтрация запросов. В области действий выберите Изменить параметры компонентов...

    Фильтрация запросов NDES Intune.

  4. Выберите Разрешить расширения имен файлов без списка.

  5. Выберите Разрешить незавербованные глаголы

  6. Выберите Разрешить высокобитовые символы.

  7. Введите 300000000 в поле Максимальная допустимая длина содержимого (байт)

  8. Введите 65534 в поле Максимальная длина URL-адреса (байт)

  9. Введите 65534 в поле Максимальное число строк запроса (байт)

  10. Нажмите ОК. Закрытие диспетчера служб IIS

Настройка параметров для HTTP.SYS

  1. Открытие командной строки с повышенными привилегиями

  2. Выполните следующие команды:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxFieldLength /t REG_DWORD /d 65534
reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxRequestBytes /t REG_DWORD /d 65534

  3. Перезапуск сервера NDES

Скачивание, установка и настройка соединителя сертификатов Intune

Приложение Intune Certificate Connector позволяет Microsoft Intune регистрировать сертификаты с помощью локальной PKI для пользователей на устройствах, управляемых Microsoft Intune.

Сведения о том, как скачать, установить и настроить соединитель сертификатов Intune, см. в статье Установка соединителя сертификатов для Microsoft Intune.

Настройка соединителя NDES для отзыва сертификата (необязательно)

При необходимости (необязательно) можно настроить соединитель Intune для отзыва сертификатов, когда устройство очищается, отменяется регистрация или когда профиль сертификата выходит за пределы области действия целевого пользователя (пользователи удаляются, удаляются или профиль удаляется). Во время настройки соединителя необходимо выбрать параметр Отзыва сертификатов , чтобы включить автоматический отзыв сертификатов для сертификатов, выданных центром сертификации Microsoft Active Directory. Кроме того, необходимо включить учетную запись службы NDES для отзыва.

  1. Войдите в центр сертификации, используемый соединителем NDES, с доступом, эквивалентным администратору домена.

  2. Запуск консоли управления центра сертификации

  3. В области навигации щелкните правой кнопкой мыши имя центра сертификации и выберите Пункт Свойства.

  4. Перейдите на вкладку Безопасность , а затем нажмите кнопку Добавить. В поле Введите имена объектов для выбора введите NDESSvc (или имя, присвоенное учетной записи службы NDES). Выберите Проверить имена, а затем нажмите кнопку ОК. Выберите учетную запись службы NDES в списке Имена групп или пользователей . Выберите Разрешить для разрешения Выдача и управление сертификатами . Нажмите кнопку ОК.

    Настройте отзыв сертификата Intune 02.

  5. Закрытие центра сертификации

Создание и назначение профиля сертификата SCEP

Создание группы пользователей сертификатов WHFB, ПРИСОЕДИНЕНных к ENTRA

Войдите на рабочую станцию с правами пользователя домена.

  1. Доступ к Центру администрирования Microsoft Entra в качестве по крайней мере администратора приложений

  2. Выберите Все службы. Введите Идентификатор Microsoft Entra , чтобы отфильтровать список служб. В разделе СЛУЖБЫ выберите Идентификатор Microsoft Entra.

  3. Выберите Группы. Выберите Создать группу.

  4. Выберите Безопасность в списке Тип группы .

  5. В разделе Имя группы введите имя группы. Например, пользователи сертификатов WHFB, присоединенные к ENTRA

  6. Укажите описание группы, если применимо.

  7. Выберите Назначено в списке Тип членства

    Создание новой группы Microsoft Entra.

  8. Выберите Участники. Используйте панель Выбор участников , чтобы добавить участников в эту группу. По завершении нажмите кнопку Выбрать

  9. Щелкните Создать.

Создание профиля сертификата SCEP

Войдите на рабочую станцию с правами пользователя домена.

  1. Вход в Центр администрирования Microsoft Intune
  2. Выберите Устройства, а затем — Профили конфигурации.
  3. Выберите Создать профиль. Настройка устройства Intune Создание профиля.
  4. Выберите Windows 10 и более поздних версий в списке Платформа .
  5. Выберите сертификат SCEP в списке Профиль и нажмите кнопку Создать.
  6. Должен открыться мастер сертификатов SCEP . Рядом с полем Имя введите регистрация сертификата WHFB.
  7. Рядом с полем Описание укажите описание, понятное для вашей среды, а затем нажмите кнопку Далее.
  8. Выберите Пользователь в качестве типа сертификата.
  9. Настройте срок действия сертификата в соответствии с вашей организацией.

    Важно.

    Помните, что необходимо настроить центр сертификации, чтобы разрешить Microsoft Intune настраивать срок действия сертификатов.

  10. Выберите Регистрация в Windows Hello для бизнеса, в противном случае произойдет сбой (Windows 10 и более поздних версий) в списке Поставщик хранилища ключей (KSP)
  11. Рядом с полем Формат имени субъекта введитеCN={{OnPrem_Distinguished_Name}}, чтобы сделать локальное различающееся имя субъектом выданного сертификата.

    Примечание.

    Если различающееся имя содержит специальные символы, такие как знак плюса ("+"), запятая (","), точка с запятой (";") или знак равенства ("="), имя в скобках должно быть заключено в кавычки: CN="{{OnPrem_Distinguished_Name}}".

    Если длина различающегося имени превышает 64 символа, принудительное применение длины имени в центре сертификации должно быть отключено.

  12. Укажите имя участника-пользователя (UPN) в качестве параметра альтернативного имени субъекта . Задайте для параметра значение {{UserPrincipalName}}
  13. Сведения о настройке шаблона сертификата WHFB ENTRA JOINED в реестре см. в задаче "Настройка шаблонов сертификатов сертификатов в NDES". Выберите подходящее сочетание использования ключей в списке Использование ключей , которое сопоставляется с настроенным шаблоном NDES в реестре. В этом примере шаблон сертификата проверки подлинности WHFB ENTRA JOINED был добавлен в имя значения реестра SignatureTemplate . Использование ключа , которое сопоставляется с именем этого значения реестра, — цифровая подпись.
  14. Выберите ранее настроенный профиль доверенного сертификата , соответствующий корневому сертификату центра сертификации, выдающего сертификат, в качестве корневого сертификата для профиля.
  15. В разделе Расширенное использование ключа в поле Имя введите Вход с помощью смарт-карты. Введите 1.3.6.1.4.1.311.20.2.2 в разделе Идентификатор объекта. Выберите Добавить.
  16. Введите процент (без знака процента) рядом с полем Порог продления , чтобы определить, когда сертификат следует обновить. Рекомендуемое значение — 20WHFB WHFB сертификатов SCEP, EKU.
  17. В разделе URL-адреса сервера SCEP введите полное внешнее имя настроенного прокси приложения Microsoft Entra. Добавьте к имени /certsrv/mscep/mscep.dll. Например, https://ndes-mtephendemo.msappproxy.net/certsrv/mscep/mscep.dll. Нажмите кнопку Добавить. Повторите этот шаг для каждого дополнительного прокси-сервера приложения Microsoft Entra NDES, настроенного для выдачи сертификатов Windows Hello для бизнеса. Циклический перебор Microsoft Intune распределяет нагрузку между URL-адресами, указанными в профиле сертификата SCEP.
  18. Нажмите кнопку Далее
  19. Нажмите кнопку Далее несколько раз, чтобы пропустить шаги мастера по тегам области, назначениям и правилам применимости , и нажмите кнопку Создать.

Назначение группы профилю сертификата регистрации сертификатов WHFB

Войдите на рабочую станцию с правами пользователя домена.

  1. Вход в Центр администрирования Microsoft Intune
  2. Выберите Устройства, а затем — Профили конфигурации.
  3. Выберите WHFB Certificate Enrollment (Регистрация сертификата WHFB).
  4. Выберите Свойства, а затем — Изменить рядом с разделом Назначения.
  5. В области Назначения выберите Выбранные группы в списке Назначить . Выберите Выбрать группы для включения. Назначение профиля SCEP WHFB.
  6. Выберите группу Пользователи сертификатов WHFB ПРИСОЕДИНЕНО к ENTRA . Выберите Выбрать
  7. Выберите Просмотр и сохранение, а затем — Сохранить.

Вы успешно завершили настройку. Добавьте пользователей, которым необходимо зарегистрировать сертификат проверки подлинности Windows Hello для бизнеса, в группу ENTRA JOINED WHFB Certificate Users . Эта группа в сочетании с конфигурацией регистрации устройств Windows Hello для бизнеса предлагает пользователю зарегистрироваться в Windows Hello для бизнеса и зарегистрировать сертификат, который можно использовать для проверки подлинности в локальных ресурсах.

Примечание.

Поставщик службы конфигурации Passport for Work (CSP), который используется для управления Windows Hello для бизнеса с помощью управления мобильными устройствами (MDM), содержит политику с именем UseCertificateForOnPremAuth. Эта политика не требуется при развертывании сертификатов для пользователей Windows Hello для бизнеса в соответствии с инструкциями, описанными в этом документе, и ее не следует настраивать. Устройства, управляемые с помощью MDM, на которых включен параметр UseCertificateForOnPremAuth, не пройдут проверку готовности Windows Hello для бизнеса. Эта ошибка блокирует настройку Windows Hello для бизнеса, если она еще не настроена.

Обзор раздела

  • Требования
  • Подготовка Microsoft Entra Connect
  • Подготовка учетной записи службы регистрации сетевых устройств (NDES)
  • Подготовка центра сертификации Active Directory
  • Установка и настройка роли NDES
  • Настройка служб регистрации сетевых устройств для работы с Microsoft Intune
  • Скачивание, установка и настройка соединителя сертификатов Intune
  • Создание и назначение простого протокола регистрации сертификатов (профиль сертификата SCEP)