Руководство по развертыванию гибридного доверия сертификатов
В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:
- Тип развертывания:
- Тип доверия..
- Тип соединения.присоединение к Microsoft Entra , к Microsoft Entra.
Важно.
Облачная модель доверия Kerberos в Windows Hello для бизнеса — это рекомендуемая модель развертывания по сравнению с ключевой моделью доверия. Это также рекомендуемая модель развертывания, если вам не нужно развертывать сертификаты для конечных пользователей. Дополнительные сведения см. в статье Развертывание доверия в облаке Kerberos.
Требования
Перед началом развертывания ознакомьтесь с требованиями, описанными в статье Планирование развертывания Windows Hello для бизнеса .
Перед началом работы убедитесь, что выполнены следующие требования:
Шаги развертывания
После выполнения предварительных требований развертывание Windows Hello для бизнеса состоит из следующих шагов.
Федеративная проверка подлинности в Microsoft Entra ID
Для гибридного доверия сертификатов Windows Hello для бизнеса требуется федерация Active Directory с идентификатором Microsoft Entra с помощью AD FS. Необходимо также настроить ферму AD FS для поддержки зарегистрированных устройств Microsoft Entra.
Если вы не знакомы с AD FS и службами федерации:
- Ознакомьтесь с основными понятиями AD FS перед развертыванием фермы AD FS
- Ознакомьтесь с руководством по проектированию AD FS , чтобы спроектировать и спланировать службу федерации.
После подготовки проекта AD FS ознакомьтесь с развертыванием фермы серверов федерации , чтобы настроить AD FS в своей среде.
Для Windows Hello for Business необходимо использовать ферму AD FS под управлением Windows Server 2016 с обновлением не ниже версии KB4088889 (14393.2155).
Регистрация устройства и обратная запись устройств
Устройства Windows должны быть зарегистрированы в идентификаторе Microsoft Entra. Устройства можно зарегистрировать в идентификаторе Microsoft Entra с помощью присоединения к Microsoft Entra или гибридного соединения Microsoft Entra.
Для устройств с гибридным присоединением к Microsoft Entra ознакомьтесь с рекомендациями на странице планирования реализации гибридного присоединения Microsoft Entra .
Дополнительные сведения об использовании Microsoft Entra Sync для настройки регистрации устройств Microsoft Entra см. в руководстве По настройке гибридного присоединения Microsoft Entra для федеративных доменов .
Сведения о настройке фермы AD FS вручную для поддержки регистрации устройств см. в руководстве По настройке AD FS для регистрации устройств Microsoft Entra .
Для гибридных развертываний с доверием к сертификатам требуется функция обратной записи устройства . Для проверки подлинности в AD FS требуется проверка подлинности пользователя и устройства. Как правило, синхронизируются пользователи, а не устройства. Это предотвращает проверку подлинности устройства ad FS и приводит к сбою регистрации сертификатов Windows Hello для бизнеса. По этой причине развертываниям Windows Hello для бизнеса требуется обратная запись устройства.
Примечание.
Windows Hello для бизнеса связана между пользователем и устройством. Пользователь и устройство должны быть синхронизированы между Идентификатором Microsoft Entra и Active Directory. Обратная запись устройства используется для обновления атрибута msDS-KeyCredentialLink
в объекте компьютера.
Если вы настроили AD FS вручную или запустили Microsoft Entra Connect Sync с помощью пользовательских параметров, необходимо настроить обратную запись устройства и проверку подлинности устройств в ферме AD FS. Дополнительные сведения см. в разделе Настройка обратной записи устройства и проверки подлинности устройства.
Инфраструктура открытых ключей
Инфраструктура открытых ключей (PKI) предприятия требуется в качестве привязки доверия для проверки подлинности. Контроллерам домена требуется сертификат, чтобы клиенты Windows доверяли им.
Корпоративный PKI и центр регистрации сертификатов (CRA) необходимы для выдачи пользователям сертификатов проверки подлинности. Гибридное развертывание доверия сертификатов использует AD FS в качестве CRA.
Во время подготовки Windows Hello для бизнеса пользователи получают сертификат входа через CRA.
Дальнейшие действия
После выполнения предварительных требований развертывание Windows Hello для бизнеса с гибридной моделью доверия ключей состоит из следующих шагов.
- Настройка и проверка PKI
- Настройка AD FS
- Настройка параметров Windows Hello для бизнеса
- Подготовка Windows Hello для бизнеса в клиентах Windows
- Настройка единого входа для устройств, присоединенных к Microsoft Entra