Konfigurieren von Active Directory-Verbunddiensten in einem hybriden Zertifikatvertrauensmodell

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:

• Bereitstellungstyp:
• Vertrauenstyp:.
• Jointyp:Microsoft Entra join . Microsoft Entra Hybrid Join.

---

Die zertifikatbasierten Windows Hello for Business-Bereitstellungen verwenden AD FS als Zertifikatregistrierungsstelle (Certificate Registration Authority, CRA). Die CRA ist für das Ausstellen und Widerrufen von Zertifikaten für Benutzer verantwortlich. Nachdem die Registrierungsstelle die Zertifikatanforderung überprüft hat, signiert sie die Zertifikatanforderung mit ihrem Registrierungs-Agent-Zertifikat und sendet sie an die Zertifizierungsstelle.
Die CRA registriert sich für ein Registrierungs-Agent-Zertifikat, und die Windows Hello for Business-Authentifizierungszertifikatvorlage ist so konfiguriert, dass nur Zertifikate für Anforderungen ausgestellt werden, die mit einem Registrierungs-Agent-Zertifikat signiert sind.

Hinweis

Damit AD FS Benutzerzertifikatanforderungen für Windows Hello for Business überprüfen kann, muss es auf den https://enterpriseregistration.windows.net Endpunkt zugreifen können.

Konfigurieren der Zertifizierungsstelle

Melden Sie sich beim AD FS-Server mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.

Öffnen Sie eine Windows PowerShell-Eingabeaufforderung , und geben Sie den folgenden Befehl ein:

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

Hinweis

Wenn Sie ihrem Windows Hello for Business-Registrierungs-Agent und Den Windows Hello for Business-Authentifizierungszertifikatvorlagen andere Namen gegeben haben, ersetzen Sie WHFBEnrollmentAgent und WHFBAuthentication im obigen Befehl durch den Namen Ihrer Zertifikatvorlagen. Es ist wichtig, dass Sie den Namen der Vorlage und nicht den Vorlagenanzeigename verwenden. Sie können den Vorlagennamen auf der Registerkarte Allgemein der Zertifikatvorlage anzeigen, indem Sie die Verwaltungskonsole für Zertifikatvorlagen (certtmpl.msc) verwenden. Alternativ können Sie den Vorlagennamen mithilfe des Get-CATemplate PowerShell-Cmdlets auf einer Zertifizierungsstelle anzeigen.

Registrierung eines Zertifikats für den Registrierungs-Agent

AD FS führt eine eigene Zertifikatlebenszyklusverwaltung durch. Sobald die Registrierungsstelle mit der richtigen Zertifikatvorlage konfiguriert ist, versucht der AD FS-Server das Zertifikat mit der ersten Zertifikatanforderung oder beim ersten Start des Dienstes zu registrieren.

Ungefähr 60 Tage vor Ablauf des Registrierungs-Agent-Zertifikats versucht der AD FS-Dienst, das Zertifikat zu erneuern, bis es erfolgreich ist. Wenn das Zertifikat nicht verlängert werden kann und das Zertifikat abläuft, fordert der AD FS-Server ein neues Registrierungs-Agent-Zertifikat an. Sie können die AD FS-Ereignisprotokolle anzeigen, um den Status des Registrierungs-Agent-Zertifikats zu ermitteln.

Gruppenmitgliedschaften für das AD FS-Dienstkonto

Das AD FS-Dienstkonto muss Mitglied der Sicherheitsgruppe sein, für die die automatische Registrierung der Authentifizierungszertifikatvorlage vorgesehen ist (z. B. Windows Hello for Business-Benutzer). Die Sicherheitsgruppe stellt dem AD FS-Dienst die Berechtigungen bereit, die zum Registrieren eines Windows Hello for Business-Authentifizierungszertifikats im Namen des Bereitstellungsbenutzers erforderlich sind.

Tipp

Das adfssvc-Konto ist das AD FS-Dienstkonto.

Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit den Anmeldeinformationen eines Domänenadministrators an.

1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Suchen Sie nach der Sicherheitsgruppe, für die die automatische Registrierung der Authentifizierungszertifikatvorlage vorgesehen ist (z. B. Windows Hello for Business-Benutzer).
3. Wählen Sie die Registerkarte Mitglieder und dann Hinzufügen aus.
4. Geben Sie im Textfeld Geben Sie die auszuwählenden Objektnamen ein adfssvc ein, oder ersetzen Sie den Namen des AD FS-Dienstkontos in Ihrer AD FS-Bereitstellung >OK.
5. Wählen Sie OK aus, um zu Active Directory-Benutzer und -Computer zurückzukehren.
6. Neustarten des AD FS-Servers

Hinweis

Für AD FS 2019 und höher in einem Zertifikatvertrauensmodell besteht ein bekanntes PRT-Problem. Dieser Fehler tritt möglicherweise in DEN AD FS-Administratorereignisprotokollen auf: Ungültige Oauth-Anforderung empfangen. Der Client "NAME" darf nicht auf die Ressource mit dem Bereich "ugs" zugreifen. Weitere Informationen zur isse und ihrer Auflösung finden Sie unter Zertifikatvertrauensbereitstellung mit AD FS broken unter Windows Server 2019.

Abschnittsüberprüfung und nächste Schritte

Bevor Sie mit dem nächsten Abschnitt fortfahren, stellen Sie sicher, dass die folgenden Schritte abgeschlossen sind:

• Konfigurieren der Zertifizierungsstelle
• Gruppenmitgliedschaften für das AD FS-Dienstkonto aktualisieren

Weiter: Konfigurieren von Richtlinieneinstellungen >