Verwenden von Zertifikaten für in Microsoft Entra eingebundenes lokales einmaliges Anmelden
In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:
Wenn Sie Zertifikate für das lokale einmalige Anmelden verwenden möchten, führen Sie die folgenden zusätzlichen Schritte aus, um die Umgebung für die Registrierung von Windows Hello for Business-Zertifikaten für in Microsoft Entra eingebundene Geräte zu konfigurieren.
Wichtig
Stellen Sie sicher, dass Sie die Konfigurationen auf in Microsoft Entra eingebundenen Geräten für lokale Single-Sign On ausgeführt haben, bevor Sie fortfahren.
Sie führen folgende Schritte aus:
- Vorbereiten von Microsoft Entra Connect
- Vorbereiten des Dienstkontos für die Netzwerkgeräteregistrierungsdienste
- Vorbereiten der Active Directory-Zertifikatdienste
- Installieren der Rolle "Registrierungsdienste für Netzwerkgeräte"
- Konfigurieren der Registrierungsdienste für Netzwerkgeräte für die Verwendung mit Microsoft Intune
- Herunterladen, Installieren und Konfigurieren des Intune-Zertifikatconnectors
- Erstellen und Zuweisen eines SCEP-Zertifikatprofils (Simple Certificate Enrollment Protocol)
Anforderungen
Sie müssen eine zusätzliche Infrastruktur installieren und konfigurieren, um in Microsoft Entra eingebundene Geräte lokales einmaliges Anmelden bereitzustellen.
- Eine vorhandene Windows Server Enterprise-Zertifizierungsstelle
- Ein in die Domäne eingebundener Windows Server, der die Rolle "Registrierungsdienste für Netzwerkgeräte" (NDES) hostet
Hochverfügbarkeit
Die NDES-Serverrolle fungiert als Zertifikatregistrierungsstelle (Certificate Registration Authority, CRA). Zertifikatregistrierungsserver registrieren Zertifikate im Namen des Benutzers. Benutzer fordern Zertifikate vom NDES-Dienst und nicht direkt von der ausstellenden Zertifizierungsstelle an.
Die Architektur des NDES-Servers verhindert, dass er für Hochverfügbarkeit gruppiert oder lastenausgleicht wird. Um Hochverfügbarkeit zu gewährleisten, müssen Sie mehr als einen identisch konfigurierten NDES-Server installieren und dann Microsoft Intune zum Lastenausgleich verwenden (im Roundrobin-Modus).
Die NDES-Serverrolle (Network Device Enrollment Service) kann bis zu drei eindeutige Zertifikatvorlagen ausstellen. Die Serverrolle erreicht dies, indem der Zweck der Zertifikatanforderung einer konfigurierten Zertifikatvorlage zugeordnet wird. Der Zweck der Zertifikatanforderung hat drei Optionen:
- Signatur
- Verschlüsselung
- Signatur und Verschlüsselung
Wenn Sie mehr als drei Arten von Zertifikaten auf dem in Microsoft Entra eingebundenen Gerät bereitstellen müssen, benötigen Sie zusätzliche NDES-Server. Alternativ können Sie die Konsolidierung von Zertifikatvorlagen in Betracht ziehen, um die Anzahl der Zertifikatvorlagen zu reduzieren.
Netzwerkanforderungen
Die gesamte Kommunikation erfolgt sicher über Port 443.
Vorbereiten von Microsoft Entra Connect
Eine erfolgreiche Authentifizierung bei lokalen Ressourcen mithilfe eines Zertifikats erfordert, dass das Zertifikat einen Hinweis zur lokalen Domäne bereitstellt. Der Hinweis kann der Active Directory-Distinguished Name des Benutzers als Antragsteller des Zertifikats sein, oder der Hinweis kann der Benutzerprinzipalname des Benutzers sein, wobei das Suffix mit dem Active Directory-Domänennamen übereinstimmt.
In den meisten Umgebungen wird das Suffix für den Benutzerprinzipalnamen so geändert, dass es mit dem externen Domänennamen (oder der Vanitydomäne) der Organisation übereinstimmt. Dadurch wird verhindert, dass der Benutzerprinzipalname als Hinweis auf einen Domänencontroller gesucht wird. Daher benötigt das Zertifikat den lokalen Distinguished-Namen des Benutzers im Antragsteller, um einen Domänencontroller ordnungsgemäß zu finden.
Um den lokalen distinguished name in den Antragsteller des Zertifikats aufzunehmen, muss Microsoft Entra Connect das Active Directory DistinguishedName-Attribut in das Attribut Microsoft Entra ID onPremisesDistinguishedName replizieren . Microsoft Entra Connect Version 1.1.819 enthält die richtigen Synchronisierungsregeln, die für diese Attribute erforderlich sind.
Überprüfen der Microsoft Entra Connect-Version
Melden Sie sich auf dem Computer an, auf dem Microsoft Entra Connect ausgeführt wird, mit dem Zugriff, der dem lokalen Administrator entspricht.
- Öffnen Von Synchronization Services aus dem Ordner "Microsoft Entra Connect"
- Wählen Sie im Synchronization Service Managerdie Option Hilfe und dann Info aus.
- Wenn die Versionsnummer nicht 1.1.819 oder höher lautet, aktualisieren Sie Microsoft Entra Connect auf die neueste Version.
Überprüfen, ob das attribut onPremisesDistinguishedName synchronisiert ist
Die einfachste Möglichkeit, um zu überprüfen, ob das attribut onPremisesDistingushedNamne synchronisiert ist, ist die Verwendung des Graph-Explorers für Microsoft Graph.
Öffnen Sie einen Webbrowser, und navigieren Sie zu Graph-Explorer.
Wählen Sie Beim Graph-Explorer anmelden aus, und geben Sie Microsoft Entra ID-Anmeldeinformationen an.
Hinweis
Um die Graph-API erfolgreich abzufragen, müssen ausreichende Berechtigungen erteilt werden.
Wählen Sie Berechtigungen ändern (Vorschau) aus. Scrollen Sie nach unten, suchen Sie User.Read.All (oder eine andere erforderliche Berechtigung), und wählen Sie Zustimmung aus. Sie werden jetzt zur Zustimmung zu delegierten Berechtigungen aufgefordert.
Geben Sie in der Graph-Explorer-URL ein
https://graph.microsoft.com/v1.0/users/[userid]?$select=displayName,userPrincipalName,onPremisesDistinguishedName
, wobei [userid] der Benutzerprinzipalname eines Benutzers in Microsoft Entra ID ist. Wählen Sie Abfrage ausführen aus.Hinweis
Da der v1.0-Endpunkt der Graph-API nur einen begrenzten Satz von Parametern bereitstellt, verwenden wir den $select optionalen OData-Abfrageparameter. Der Einfachheit halber ist es möglich, die API-Versionsauswahl von v1.0 auf Beta umzustellen, bevor die Abfrage ausgeführt wird. Dadurch werden alle verfügbaren Benutzerinformationen bereitgestellt, aber denken Sie daran, dass Betaendpunktabfragen in Produktionsszenarien nicht verwendet werden sollten.
Anforderung
GET https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}?$select=displayName,userPrincipalName,onPremisesDistinguishedName
Überprüfen Sie in den zurückgegebenen Ergebnissen die JSON-Daten für das Attribut onPremisesDistinguishedName . Stellen Sie sicher, dass das Attribut über einen Wert verfügt und dass der Wert für den angegebenen Benutzer korrekt ist. Wenn das onPremisesDistinguishedName-Attribut nicht synchronisiert ist, ist der Wert NULL.
Antwort
HTTP/1.1 200 OK Content-type: application/json { "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,userPrincipalName,onPremisesDistinguishedName)/$entity", "displayName": "Nestor Wilke", "userPrincipalName": "NestorW@contoso.com", "onPremisesDistinguishedName" : "CN=Nestor Wilke,OU=Operations,DC=contoso,DC=com" }
Vorbereiten des NDES-Dienstkontos (Network Device Enrollment Services)
Erstellen der globalen Sicherheitsgruppe für NDES-Server
Die Bereitstellung verwendet die Sicherheitsgruppe NDES-Server , um dem NDES-Dienst die richtigen Benutzerrechten zuzuweisen.
Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.
- Öffnen Sie Active Directory-Benutzer und -Computer.
- Erweitern des Domänenknotens über den Navigationsbereich
- Klicken Sie mit der rechten Maustaste auf den Container Benutzer. Zeigen Sie auf Neu, und wählen Sie Gruppierung aus.
- Geben Sie NDES-Server in das Textfeld Gruppenname ein.
- Wählen Sie OK aus.
Hinzufügen des NDES-Servers zur globalen Sicherheitsgruppe "NDES-Server"
Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.
- Öffnen Sie Active Directory-Benutzer und -Computer.
- Erweitern des Domänenknotens über den Navigationsbereich
- Wählen Sie im Navigationsbereich Computer aus. Klicken Sie mit der rechten Maustaste auf den Namen des NDES-Servers, auf dem die NDES-Serverrolle gehostet wird. Wählen Sie Zu einer Gruppe hinzufügen aus.
- Geben Sie NDES-Server unter Geben Sie die auszuwählenden Objektnamen ein. Wählen Sie OK aus. Wählen Sie im Dialogfeld "Active Directory Domain Services success" (Active Directory-Domänendienste) die Option OK aus.
Hinweis
Für Hochverfügbarkeit sollten Sie über mehrere NDES-Server verfügen, um Windows Hello for Business-Zertifikatanforderungen zu verarbeiten. Sie sollten dieser Gruppe zusätzliche Windows Hello for Business NDES-Server hinzufügen, um sicherzustellen, dass sie die richtige Konfiguration erhalten.
Erstellen des NDES-Dienstkontos
Die Rolle Registrierungsdienste für Netzwerkgeräte (Network Device Enrollment Services, NDES) wird unter einem Dienstkonto ausgeführt. In der Regel ist es bevorzugt, Dienste mit einem gruppenverwalteten Dienstkonto (Group Managed Service Account, GMSA) auszuführen. Während die NDES-Rolle für die Ausführung mit einer GMSA konfiguriert werden kann, wurde der Intune Certificate Connector nicht mit einer GMSA entworfen oder getestet und gilt als nicht unterstützte Konfiguration. Die Bereitstellung verwendet ein normales Dienstkonto.
Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.
- Erweitern Sie im Navigationsbereich den Knoten mit Ihrem Domänennamen. Benutzer auswählen
- Klicken Sie mit der rechten Maustaste auf den Container Benutzer. Zeigen Sie auf Neu , und wählen Sie dann Benutzer aus. Geben Sie NDESSvc unter Vollständiger Name und Benutzeranmeldungsname ein. Wählen Sie Weiter aus.
- Geben Sie unter Kennwort ein sicheres Kennwort ein. Bestätigen Sie das sichere Kennwort unter Kennwort bestätigen. Deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern. Wählen Sie Weiter aus.
- Wählen Sie Fertig stellen aus.
Wichtig
Das Konfigurieren des Kontokennworts des Diensts auf Kennwort läuft nie ab , ist möglicherweise bequemer, stellt jedoch ein Sicherheitsrisiko dar. Normale Dienstkontokennwörter sollten gemäß der Richtlinie zum Ablauf von Benutzerkennwörtern der Organisation ablaufen. Erstellen Sie eine Erinnerung, um das Kennwort des Dienstkontos zwei Wochen vor Ablauf zu ändern. Geben Sie die Erinnerung an andere Personen weiter, die das Kennwort ändern dürfen, um sicherzustellen, dass das Kennwort vor dem Ablauf geändert wird.
Erstellen des Gruppenrichtlinienobjekts für Benutzerrechte des NDES-Diensts
Das Gruppenrichtlinienobjekt stellt sicher, dass das NDES-Dienstkonto über das richtige Benutzerrecht verfügt, um alle NDES-Server in der Gruppe NDES-Server zuzuweisen. Wenn Sie Ihrer Umgebung und dieser Gruppe neue NDES-Server hinzufügen, erhält das Dienstkonto automatisch die richtigen Benutzerrechte über die Gruppenrichtlinie.
Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit den Anmeldedaten eines Domänenadministrators an.
Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
Erweitern Sie die Domäne, und wählen Sie im Navigationsbereich den Knoten Gruppenrichtlinienobjekt aus.
Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekt, und wählen Sie Neu aus.
Geben Sie NDES-Dienstrechte in das Namensfeld ein, und wählen Sie OK aus.
Klicken Sie im Inhaltsbereich mit der rechten Maustaste auf das Gruppenrichtlinienobjekt NDES-Dienstrechte, und wählen Sie Bearbeiten aus.
Erweitern Sie im Navigationsbereich richtlinien unter Computerkonfiguration.
Erweitern Sie Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien. Auswählen von Zuweisungen von Benutzerrechten
Doppelklicken Sie im Inhaltsbereich auf Lokale Anmeldung zulassen. Wählen Sie Diese Richtlinieneinstellungen definieren aus, und wählen Sie OK aus. Wählen Sie Benutzer oder Gruppe hinzufügen... aus. Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen die Option Durchsuchen aus. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählendie Zeichenfolge Administratoren ein. Sicherungsoperatoren; DOMAINNAME\NDESSvc; Benutzer, bei denen DOMAINNAME der NetBios-Name der Domäne (Beispiel CONTOSO\NDESSvc) in Benutzer- und Gruppennamen ist. Wählen Sie zweimal OK aus.
Doppelklicken Sie im Inhaltsbereich auf Als Batchauftrag anmelden. Wählen Sie Diese Richtlinieneinstellungen definieren aus, und wählen Sie OK aus. Wählen Sie Benutzer oder Gruppe hinzufügen... aus. Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen die Option Durchsuchen aus. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählendie Zeichenfolge Administratoren ein. Sicherungsoperatoren; DOMAINNAME\NDESSvc; Leistungsprotokollbenutzer, wobei DOMAINNAME der NetBios-Name der Domäne (Beispiel CONTOSO\NDESSvc) in Benutzer- und Gruppennamen ist. Wählen Sie zweimal OK aus.
Doppelklicken Sie im Inhaltsbereich auf Als Dienst anmelden. Wählen Sie Diese Richtlinieneinstellungen definieren aus, und wählen Sie OK aus. Wählen Sie Benutzer oder Gruppe hinzufügen... aus. Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen die Option Durchsuchen aus. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählenden Namen NT SERVICE\ALL SERVICES ein. DOMAINNAME\NDESSvc, wobei DOMAINNAME der NetBios-Name der Domäne (Beispiel CONTOSO\NDESSvc) in Benutzer- und Gruppennamen ist. Wählen Sie dreimal OK aus.
Schließen des Gruppenrichtlinienverwaltungs-Editors
Konfigurieren der Sicherheit für das Gruppenrichtlinienobjekt des NDES-Diensts mit Benutzerrechten
Die beste Möglichkeit zum Bereitstellen des Gruppenrichtlinienobjekts für Benutzerrechte des NDES-Diensts ist die Verwendung der Sicherheitsgruppenfilterung. Dadurch können Sie die Computer, die die Gruppenrichtlinieneinstellungen erhalten, einfach verwalten, indem Sie sie einer Gruppe hinzufügen.
Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.
- Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
- Erweitern Sie die Domäne, und wählen Sie im Navigationsbereich den Knoten Gruppenrichtlinienobjekt aus.
- Doppelklicken Sie auf das Gruppenrichtlinienobjekt für Benutzerrechte des NDES-Diensts .
- Wählen Sie im Abschnitt Sicherheitsfilterung des Inhaltsbereichs Hinzufügen aus. Geben Sie NDES-Server oder den Namen der Sicherheitsgruppe ein, die Sie zuvor erstellt haben, und wählen Sie OK aus.
- Wählen Sie die Registerkarte Delegierung aus. Wählen Sie Authentifizierte Benutzer und dann Erweitert aus.
- Klicken Sie in der Liste Gruppen- oder Benutzernamen auf Authentifizierte Benutzer. Deaktivieren Sie in der Liste Berechtigungen für authentifizierte Benutzer das Kontrollkästchen Zulassen für die Berechtigung Gruppenrichtlinie übernehmen. Wählen Sie OK aus.
Bereitstellen des Gruppenrichtlinienobjekts für NDES-Dienstbenutzerrechte
Die Anwendung des Gruppenrichtlinienobjekts für Benutzerrechte des NDES-Diensts verwendet die Sicherheitsgruppenfilterung. Dadurch können Sie das Gruppenrichtlinienobjekt in der Domäne verknüpfen, um sicherzustellen, dass das Gruppenrichtlinienobjekt innerhalb des Bereichs für alle Computer liegt. Die Sicherheitsgruppenfilterung stellt jedoch sicher, dass nur Computer, die in der globalen Sicherheitsgruppe NDES-Server enthalten sind, das Gruppenrichtlinienobjekt empfangen und anwenden, was dazu führt, dass dem NDESSvc-Dienstkonto die richtigen Benutzerrechte bereitgestellt werden.
Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.
- Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
- Erweitern Sie im Navigationsbereich die Domäne, klicken Sie mit der rechten Maustaste auf den Knoten mit Ihrem Active Directory-Domänennamen, und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus.
- Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen die Option NDES-Dienstbenutzerrechte oder den Namen des zuvor erstellten Gruppenrichtlinienobjekts aus, und wählen Sie OK aus.
Wichtig
Durch das Verknüpfen des Gruppenrichtlinienobjekts für NDES-Dienstbenutzerrechte mit der Domäne wird sichergestellt, dass das Gruppenrichtlinienobjekt für alle Computer gültig ist. Die Richtlinieneinstellungen werden jedoch nicht auf alle Computer angewendet. Nur Computer, die Mitglieder der globalen Sicherheitsgruppe NDES-Server sind, erhalten die Richtlinieneinstellungen. Alle anderen Computer ignorieren das Gruppenrichtlinienobjekt.
Vorbereiten der Active Directory-Zertifizierungsstelle
Sie müssen die Public Key-Infrastruktur und die ausstellende Zertifizierungsstelle vorbereiten, um das Ausstellen von Zertifikaten mithilfe von Microsoft Intune und der NDES-Serverrolle (Network Devices Enrollment Services) zu unterstützen. In dieser Aufgabe werden Sie
- Konfigurieren Sie die Zertifizierungsstelle so, dass Intune Gültigkeitsdauern bereitstellen kann.
- Erstellen einer NDES-Intune-Authentifizierungszertifikatvorlage
- Erstellen einer in Microsoft Entra eingebundenen Windows Hello for Business-Authentifizierungszertifikatvorlage
- Veröffentlichen von Zertifikatvorlagen
Konfigurieren Sie die Zertifizierungsstelle so, dass Intune Gültigkeitsdauern bereitstellen kann.
Bei der Bereitstellung von Zertifikaten mit Microsoft Intune haben Sie die Möglichkeit, den Gültigkeitszeitraum im SCEP-Zertifikatprofil bereitzustellen, anstatt sich auf den Gültigkeitszeitraum in der Zertifikatvorlage zu verlassen. Wenn Sie dasselbe Zertifikat mit unterschiedlichen Gültigkeitsdauern ausstellen müssen, kann es angesichts der begrenzten Anzahl von Zertifikaten, die ein einzelner NDES-Server ausstellen kann, vorteilhaft sein, das SCEP-Profil zu verwenden.
Hinweis
Überspringen Sie diesen Schritt, wenn Sie Microsoft Intune nicht aktivieren möchten, um den Gültigkeitszeitraum des Zertifikats anzugeben. Ohne diese Konfiguration verwendet die Zertifikatanforderung den in der Zertifikatvorlage konfigurierten Gültigkeitszeitraum.
Melden Sie sich bei der ausstellenden Zertifizierungsstelle mit dem Zugriff an, der dem lokalen Administrator entspricht.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie den folgenden Befehl ein:
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
Neustarten des Active Directory-Zertifikatdienstediensts
Erstellen einer NDES-Intune-Authentifizierungszertifikatvorlage
NDES verwendet ein Serverauthentifizierungszertifikat zum Authentifizieren des Serverendpunkts, der die Kommunikation zwischen dem Server und dem client verschlüsselt, der eine Verbindung herstellt. Der Intune Certificate Connector verwendet eine Zertifikatvorlage für die Clientauthentifizierung, um sich beim Zertifikatregistrierungspunkt zu authentifizieren.
Melden Sie sich bei der ausstellenden Zertifizierungsstelle oder verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.
Öffnen der Verwaltungskonsole der Zertifizierungsstelle
Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.
Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Computer, und wählen Sie Vorlage duplizieren aus.
Geben Sie auf der Registerkarte Allgemein unter Vorlagenanzeigename den NamenNDES-Intune-Authentifizierung ein. Anpassen der Gültigkeitsdauer und des Verlängerungszeitraums an die Anforderungen Ihres Unternehmens
Hinweis
Wenn Sie unterschiedliche Vorlagennamen verwenden, müssen Sie sich diese Namen merken und in verschiedenen Teilen des Labs ersetzen.
Wählen Sie auf der Registerkarte Betreffin der Anforderung die Option Angeben aus.
Überprüfen Sie auf der Registerkarte Kryptografie, ob die Minimale Schlüsselgröße2048 ist.
Wählen Sie auf der Registerkarte Sicherheit die Option Hinzufügen aus.
Wählen Sie Objekttypen und dann im angezeigten Fenster Computer und dann OK aus.
Geben Sie NDES-Server in das Textfeld Geben Sie die zu markierenden Objektnamen ein, und wählen Sie OK aus.
Wählen Sie in der Liste Gruppen- oder Benutzernamen die Option NDES-Server aus. Aktivieren Sie im Abschnitt Berechtigungen für das Kontrollkästchen Zulassen für die Berechtigung Registrieren . Deaktivieren Sie das Kontrollkästchen Zulassen für die Berechtigungen Registrieren und automatische Registrierung für alle anderen Elemente in der Liste Gruppen- oder Benutzernamen , wenn die Kontrollkästchen noch nicht deaktiviert sind. Wählen Sie OK aus.
Wählen Sie übernehmen aus, um Änderungen zu speichern und die Konsole zu schließen.
Erstellen einer in Microsoft Entra eingebundenen Windows Hello for Business-Authentifizierungszertifikatvorlage
Während der Bereitstellung von Windows Hello for Business fordert Windows ein Authentifizierungszertifikat von Microsoft Intune an, das das Authentifizierungszertifikat im Namen des Benutzers anfordert. Mit dieser Aufgabe wird die Zertifikatvorlage für die Windows Hello for Business-Authentifizierung konfiguriert. Sie verwenden den Namen der Zertifikatvorlage beim Konfigurieren des NDES-Servers.
Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.
Öffnen der Verwaltungskonsole der Zertifizierungsstelle
Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.
Klicken Sie mit der rechten Maustaste auf die Vorlage Smartcard-Anmeldung, und wählen Sie Vorlage duplizieren aus.
Deaktivieren Sie auf der Registerkarte Kompatibilität das Kontrollkästchen Resultierende Änderungen anzeigen . Wählen Sie Windows Server 2012 oder Windows Server 2012 R2 aus der Liste Zertifizierungsstelle aus. Wählen Sie Windows Server 2012 oder Windows Server 2012 R2 aus der Liste Zertifikatempfänger aus.
Geben Sie auf der Registerkarte Allgemeinden Namen ENTRA JOINED WHFB Authentication unter Vorlagenanzeigename ein. Anpassen der Gültigkeitsdauer und des Verlängerungszeitraums an die Anforderungen Ihres Unternehmens
Hinweis
Wenn Sie unterschiedliche Vorlagennamen verwenden, müssen Sie diese Namen in verschiedenen Teilen der Bereitstellung speichern und ersetzen.
Wählen Sie auf der Registerkarte Kryptografie die Option Schlüsselspeicheranbieter aus der Liste Anbieterkategorie aus. Wählen Sie RSA aus der Liste Name des Algorithmus aus. Geben Sie 2048 in das Textfeld Minimale Schlüsselgröße ein. Wählen Sie SHA256 aus der Liste Anforderungshash aus.
Überprüfen Sie auf der Registerkarte Erweiterungen, ob die Erweiterung "Anwendungsrichtlinien" die Smartcardanmeldung enthält.
Wählen Sie auf der Registerkarte Betreffin der Anforderung die Option Angeben aus.
Wählen Sie auf der Registerkarte Anforderungsverarbeitung in der Liste Zweck die Option Signatur und Verschlüsselung aus. Aktivieren Sie das Kontrollkästchen Mit demselben Schlüssel verlängern . Wählen Sie Betreff ohne Benutzereingabe registrieren aus.
Wählen Sie auf der Registerkarte Sicherheit die Option Hinzufügen aus. Geben Sie NDESSvc in das Textfeld Geben Sie die zu markierenden Objektnamen ein, und wählen Sie OK aus.
Wählen Sie in der Liste Gruppen- oder Benutzernamen die Option NDESSvc aus. Aktivieren Sie im Abschnitt Berechtigungen für NDES-Server das Kontrollkästchen Zulassen für Lesen und Registrieren. Deaktivieren Sie das Kontrollkästchen Zulassen für die Berechtigungen Registrieren und automatische Registrierung für alle anderen Einträge im Abschnitt Gruppen- oder Benutzernamen , wenn die Kontrollkästchen noch nicht deaktiviert sind. Wählen Sie OK aus.
Schließen der Konsole
Veröffentlichen von Zertifikatvorlagen
Die Zertifizierungsstelle stellt möglicherweise nur Zertifikate für Zertifikatvorlagen, die an diese Zertifizierungsstelle veröffentlicht werden. Wenn Sie mehr als eine Zertifizierungsstelle haben und möchten, dass die Zertifizierungsstelle Zertifikate basierend auf einer bestimmten Zertifikatvorlage ausstellt, müssen Sie die Zertifikatvorlage an alle Zertifizierungsstellen veröffentlichen, die das Zertifikat ausgestellt sollen.
Wichtig
Stellen Sie sicher, dass Sie die ENTRA JOINED WHFB-Authentifizierungszertifikatvorlagen bei der Zertifizierungsstelle veröffentlichen, die Microsoft Intune über die NDES-Server verwendet. Die NDES-Konfiguration fordert Sie auf, eine Zertifizierungsstelle auszuwählen, von der zertifikate angefordert werden. Sie müssen diese Zertifikatvorlagen bei dieser ausstellenden Zertifizierungsstelle veröffentlichen. Das NDES-Intune-Authentifizierungszertifikat wird direkt registriert und kann für jede Zertifizierungsstelle veröffentlicht werden.
Melden Sie sich bei der Zertifizierungsstelle oder den Arbeitsstationen der Verwaltung mit einem Unternehmensadministrator an, deren Anmeldeinformationen gleichwertig sind.
- Öffnen der Verwaltungskonsole der Zertifizierungsstelle
- Erweitern des übergeordneten Knotens über den Navigationsbereich
- Wählen Sie im Navigationsbereich Zertifikatvorlagen aus.
- Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikatvorlagen. Wählen Sie Neu und dann ausstellende Zertifikatvorlage aus.
- Wählen Sie im Fenster Zertifikatvorlagen aktivieren die Vorlagen NDES-Intune-Authentifizierung und ENTRA JOINED WHFB-Authentifizierung aus, die Sie in den vorherigen Schritten erstellt haben. Wählen Sie OK aus, um die ausgewählten Zertifikatvorlagen bei der Zertifizierungsstelle zu veröffentlichen.
- Schließen der Konsole
Installieren und Konfigurieren der NDES-Rolle
Dieser Abschnitt enthält die folgenden Artikel:
- Installieren der Rolle "Registrierungsdienst für Netzwerkgeräte"
- Konfigurieren des NDES-Dienstkontos
- Konfigurieren der NDES-Rolle und der Zertifikatvorlagen
- Erstellen eines Webanwendungsproxys für die interne NDES-URL
- Registrieren für ein NDES-Intune-Authentifizierungszertifikat
- Konfigurieren des Webserverzertifikats für NDES
- Überprüfen der Konfiguration
Installieren der Rolle "Registrierungsdienste für Netzwerkgeräte"
Installieren Sie die Rolle "Registrierungsdienst für Netzwerkgeräte" auf einem anderen Computer als der ausstellenden Zertifizierungsstelle.
Melden Sie sich bei der Zertifizierungsstelle oder den Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.
Öffnen des Server-Managers auf dem NDES-Server
Wählen Sie Verwalten aus. Wählen Sie Rollen und Features hinzufügen aus.
Wählen Sie im Assistenten zum Hinzufügen von Rollen und Features auf der Seite Bevor Sie beginnen die Option Weiter aus. Wählen Sie auf der Seite Installationstyp auswählen die Option Rollenbasierte oder featurebasierte Installation aus. Wählen Sie Weiter aus. Wählen Sie Server aus dem Serverpool auswählen aus. Wählen Sie in der Liste Serverpool den lokalen Server aus. Wählen Sie Weiter aus.
Wählen Sie auf der Seite Serverrollen auswählen in der Liste Rollen die Option Active Directory-Zertifikatdienste aus.
Wählen Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features die Option Features hinzufügen aus. Wählen Sie Weiter aus.
Erweitern Sie auf der Seite Features die Option .NET Framework 3.5-Features. Wählen Sie HTTP-Aktivierung aus. Wählen Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features die Option Features hinzufügen aus. Erweitern Sie .NET Framework 4.5-Features. Erweitern Sie WCF-Dienste. Wählen Sie HTTP-Aktivierung aus. Wählen Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features die Option Features hinzufügen aus. Wählen Sie Weiter aus.
Deaktivieren Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Zertifizierungsstelle . Wählen Sie den Registrierungsdienst für Netzwerkgeräte aus. Wählen Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features die Option Features hinzufügen aus. Wählen Sie Weiter aus.
Wählen Sie auf der Seite Webserverrolle (IIS) die Option Weiter aus.
Wählen Sie auf der Seite Rollendienste auswählen für die Web serve-Rolle die folgenden zusätzlichen Dienste aus, sofern sie noch nicht ausgewählt sind, und wählen Sie dann Weiter aus.
- Filtern von Webserversicherheitsanforderungen >>
- Web Server > Application Development > ASP.NET 3.5
- Web Server > Application Development > ASP.NET 4.5
- Verwaltungstools > IIS 6-Verwaltungskompatibilität > IIS 6-Metabasiskompatibilität
- Verwaltungstools > IIS 6-Verwaltungskompatibilität > IIS 6 WMI-Kompatibilität
Wählen Sie Installieren aus. Wenn die Installation abgeschlossen ist, fahren Sie mit dem nächsten Verfahren fort. Klicken Sie nicht auf Schließen.
Wichtig
.NET Framework 3.5 ist in der typischen Installation nicht enthalten. Wenn der Server mit dem Internet verbunden ist, versucht die Installation, die Dateien mithilfe von Windows Update abzurufen. Wenn der Server nicht mit dem Internet verbunden ist, müssen Sie einen alternativen Quellpfad angeben , z <. B. driveLetter>:\Sources\SxS\
Konfigurieren des NDES-Dienstkontos
Dieser Task fügt das NDES-Dienstkonto der lokalen IIS_USRS Gruppe hinzu. Die Aufgabe konfiguriert auch das NDES-Dienstkonto für die Kerberos-Authentifizierung und -delegierung.
Hinzufügen des NDES-Dienstkontos zur gruppe IIS_USRS
Melden Sie sich beim NDES-Server mit dem Zugriff an, der dem lokalen Administrator entspricht.
- Starten der Verwaltungskonsole für lokale Benutzer und Gruppen (
lusrmgr.msc
) - Wählen Sie im Navigationsbereich Gruppen aus. Doppelklicken Sie auf die gruppe IIS_IUSRS
- Wählen Sie im Dialogfeld IIS_IUSRS Eigenschaftendie Option Hinzufügen aus. Geben Sie NDESSvc oder den Namen Ihres NDES-Dienstkontos ein. Wählen Sie Namen überprüfen aus, um den Namen zu überprüfen, und klicken Sie dann auf OK. Wählen Sie OK aus, um das Eigenschaftendialogfeld zu schließen.
- Schließen Sie die Verwaltungskonsole.
Registrieren eines Dienstprinzipalnamens für das NDES-Dienstkonto
Melden Sie sich beim NDES-Server mit dem Zugriff an, der domänenadministratoren entspricht.
Öffnen einer Eingabeaufforderung mit erhöhten Rechten
Geben Sie den folgenden Befehl ein, um den Dienstprinzipalnamen zu registrieren.
setspn -s http/[FqdnOfNdesServer] [DomainName\\NdesServiceAccount]
Wobei [FqdnOfNdesServer] der vollqualifizierte Domänenname des NDES-Servers und [DomainName\NdesServiceAccount] der Domänenname und der Name des NDES-Dienstkontos ist, getrennt durch einen umgekehrten Schrägstrich (\). Ein Beispiel für den Befehl sieht wie folgt aus:
setspn -s http/ndes.corp.contoso.com contoso\ndessvc
Hinweis
Wenn Sie dasselbe Dienstkonto für mehrere NDES-Server verwenden, wiederholen Sie die folgende Aufgabe für jeden NDES-Server, unter dem der NDES-Dienst ausgeführt wird.
Konfigurieren des NDES-Dienstkontos für die Delegierung
Der NDES-Dienst registriert Zertifikate im Namen von Benutzern. Daher sollten Sie die Aktionen beschränken, die im Namen des Benutzers ausgeführt werden können. Dies erfolgt durch Delegierung.
Melden Sie sich bei einem Domänencontroller mit einem Mindestzugriff an, der domänenadministratoren entspricht.
Öffnen Sie Active Directory-Benutzer und -Computer.
Suchen Sie das NDES-Dienstkonto (NDESSvc). Klicken Sie mit der rechten Maustaste, und wählen Sie Eigenschaften aus. Wählen Sie die Registerkarte Delegierung aus.
Wählen Sie Diesen Benutzer für die Delegierung an angegebene Dienste vertrauen aus.
Wählen Sie Beliebiges Authentifizierungsprotokoll verwenden aus.
Wählen Sie Hinzufügen aus.
Wählen Sie Benutzer oder Computer... aus. Geben Sie den Namen des NDES-Servers ein, den Sie zum Ausstellen von Windows Hello for Business-Authentifizierungszertifikaten für in Microsoft Entra eingebundene Geräte verwenden. Wählen Sie in der Liste Verfügbare Dienstedie Option HOST aus. Wählen Sie OK aus.
Wiederholen Sie die Schritte 5 und 6 für jeden NDES-Server, der dieses Dienstkonto verwendet. Wählen Sie Hinzufügen aus.
Wählen Sie Benutzer oder Computer... aus. Geben Sie den Namen der ausstellenden Zertifizierungsstelle ein, die dieses NDES-Dienstkonto verwendet, um Windows Hello for Business-Authentifizierungszertifikate für in Microsoft Entra eingebundene Geräte auszustellen. Wählen Sie in der Liste Verfügbare Dienstedie Option dcom aus. Halten Sie die STRG-TASTE gedrückt, und wählen Sie HOST aus. Wählen Sie OK aus.
Wiederholen Sie die Schritte 8 und 9 für jede ausstellende Zertifizierungsstelle, von der mindestens ein NDES-Server Zertifikate anzufordern.
Wählen Sie OK aus. Schließen von Active Directory-Benutzern und -Computern
Konfigurieren der NDES-Rollen- und Zertifikatvorlagen
Mit dieser Aufgabe werden die NDES-Rolle und die Zertifikatvorlagen konfiguriert, die der NDES-Server ausgibt.
Konfigurieren der NDES-Rolle
Melden Sie sich bei der Zertifizierungsstelle oder den Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.
Hinweis
Wenn Sie Server Manager aus der letzten Gruppe von Aufgaben geschlossen haben, starten Sie den Server-Manager, und klicken Sie auf das Aktionsflag, das ein gelbes Ausrufezeichen anzeigt.
Wählen Sie den Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren aus.
Wählen Sie auf der Seite Anmeldeinformationendie Option Weiter aus.
Wählen Sie auf der Seite Rollendienste die Option Registrierungsdienst für Netzwerkgeräte und dann Weiter aus.
Wählen Sie auf der Seite Dienstkonto für NDES die Option Dienstkonto angeben (empfohlen) aus. Wählen Sie Auswählen... aus. Geben Sie den Benutzernamen und das Kennwort für das NDES-Dienstkonto im Dialogfeld Windows-Sicherheit ein. Wählen Sie Weiter aus.
Wählen Sie auf der Seite Zertifizierungsstelle für NDES die Option Zertifizierungsstellenname aus. Wählen Sie Auswählen... aus. Wählen Sie die ausstellende Zertifizierungsstelle aus, von der der NDES-Server Zertifikate anfordert. Wählen Sie Weiter aus.
Wählen Sie unter RA-Informationen die Option Weiter aus.
Wählen Sie auf der Seite Kryptografie für NDES die Option Weiter aus.
Überprüfen Sie die Seite Bestätigung . Wählen Sie Konfigurieren aus.
Wählen Sie Schließen aus, nachdem die Konfiguration abgeschlossen ist.
Konfigurieren von Zertifikatvorlagen in NDES
Ein einzelner NDES-Server kann maximal drei Zertifikatvorlagen anfordern. Der NDES-Server bestimmt anhand der eingehenden Zertifikatanforderung, die im SCEP-Zertifikatprofil von Microsoft Intune zugewiesen ist, welches Zertifikat ausgestellt werden soll. Das Microsoft Intune SCEP-Zertifikatprofil weist drei Werte auf.
- Digitale Signatur
- Schlüsselverschlüsselung
- Schlüsselverschlüsselung, digitale Signatur
Jeder Wert wird einem Registrierungswertnamen auf dem NDES-Server zugeordnet. Der NDES-Server übersetzt einen eingehenden von SCEP bereitgestellten Wert in die entsprechende Zertifikatvorlage. Die folgende Tabelle zeigt die SCEP-Profilwerte der Registrierungswertnamen der NDES-Zertifikatvorlage.
SCEP-Profilschlüsselverwendung | Name des NDES-Registrierungswerts |
---|---|
Digitale Signatur | SignatureTemplate |
Schlüsselverschlüsselung | EncryptionTemplate |
Schlüsselverschlüsselung Digitale Signatur |
GeneralPurposeTemplate |
Im Idealfall sollten Sie die Zertifikatanforderung mit dem Registrierungswertnamen abgleichen, um die Konfiguration intuitiv zu halten (Verschlüsselungszertifikate verwenden die Verschlüsselungsvorlage, Signaturzertifikate verwenden die Signaturvorlage usw.). Ein Ergebnis dieses intuitiven Designs ist das potenzielle exponentielle Wachstum des NDES-Servers. Stellen Sie sich eine Organisation vor, die neun eindeutige Signaturzertifikate im gesamten Unternehmen ausstellen muss.
Wenn dies erforderlich ist, können Sie ein Signaturzertifikat im Namen des Verschlüsselungsregistrierungswerts oder ein Verschlüsselungszertifikat im Signaturregistrierungswert konfigurieren, um die Nutzung Ihrer NDES-Infrastruktur zu maximieren. Dieser unintuitive Entwurf erfordert eine aktuelle und genaue Dokumentation der Konfiguration, um sicherzustellen, dass das SCEP-Zertifikatprofil für die Registrierung des richtigen Zertifikats konfiguriert ist, unabhängig vom tatsächlichen Zweck. Jede Organisation muss die einfache Konfiguration und Verwaltung mit der zusätzlichen NDES-Infrastruktur und dem damit verbundene Verwaltungsaufwand in Einklang bringen.
Melden Sie sich beim NDES-Server mit den entsprechenden Anmeldeinformationen des lokalen Administrators an.
Öffnen einer Eingabeaufforderung mit erhöhten Rechten
Entscheiden Sie anhand der obigen Tabelle, welchen Registrierungswertnamen Sie verwenden, um Windows Hello for Business-Authentifizierungszertifikate für in Microsoft Entra eingebundene Geräte anzufordern.
Geben Sie den folgenden Befehl ein:
reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v [registryValueName] /t REG_SZ /d [certificateTemplateName]
dabei ist registryValueName einer der drei Wertnamen aus der obigen Tabelle, wobei certificateTemplateName der Name der Zertifikatvorlage ist, die Sie für in Windows Hello for Business microsoft Entra eingebundene Geräte erstellt haben. Beispiel:
reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v SignatureTemplate /t REG_SZ /d ENTRAJOINEDWHFBAuthentication
Geben Sie Y ein, wenn der Befehl die Berechtigung zum Überschreiben des vorhandenen Werts anfragt.
Schließen Sie die Eingabeaufforderung.
Wichtig
Verwenden Sie den Namen der Zertifikatvorlage. nicht der Anzeigename. Der Name der Zertifikatvorlage enthält keine Leerzeichen. Sie können die Zertifikatnamen auf der Registerkarte Allgemein der Eigenschaften der Zertifikatvorlage in der Verwaltungskonsole für Zertifikatvorlagen (certtmpl.msc
) anzeigen.
Erstellen Sie einen Webanwendungsproxy für die interne NDES-URL.
Die Zertifikatregistrierung für in Microsoft Entra eingebundene Geräte erfolgt über das Internet. Daher muss extern auf die internen NDES-URLs zugegriffen werden können. Sie können dies einfach und sicher mit dem Microsoft Entra-Anwendungsproxy tun. Der Microsoft Entra-Anwendungsproxy bietet einmaliges Anmelden und sicheren Remotezugriff für lokal gehostete Webanwendungen, z. B. Die Registrierungsdienste für Netzwerkgeräte.
Idealerweise konfigurieren Sie Ihr Microsoft Intune SCEP-Zertifikatprofil für die Verwendung mehrerer externer NDES-URLs. Dadurch kann Microsoft Intune einen Roundrobin-Lastenausgleich der Zertifikatanforderungen an identisch konfigurierte NDES-Server durchführen (jeder NDES-Server kann ungefähr 300 gleichzeitige Anforderungen aufnehmen). Microsoft Intune sendet diese Anforderungen an Microsoft Entra-Anwendungsproxys.
Microsoft Entra-Anwendungsproxys werden von einfachen Anwendungsproxy-Connector-Agents gewartet. Weitere Informationen finden Sie unter Was ist der Anwendungsproxy ? Diese Agents werden auf Ihren lokalen, in die Domäne eingebundenen Geräten installiert und stellen eine authentifizierte sichere ausgehende Verbindung mit Azure her, die darauf wartet, Anforderungen von Microsoft Entra-Anwendungsproxys zu verarbeiten. Sie können Connectorgruppen in Microsoft Entra ID erstellen, um dienstspezifischen Anwendungen bestimmte Connectors zuzuweisen.
Connectorgruppe automatisch Roundrobin, Lastenausgleich der Microsoft Entra-Anwendungsproxyanforderungen an die Connectors innerhalb der zugewiesenen Connectorgruppe. Dadurch wird sichergestellt, dass Windows Hello for Business-Zertifikatanforderungen über mehrere dedizierte Microsoft Entra-Anwendungsproxyconnectors verfügen, die ausschließlich zur Erfüllung von Registrierungsanforderungen verfügbar sind. Der Lastenausgleich für die NDES-Server und Connectors sollte sicherstellen, dass Benutzer ihre Windows Hello for Business-Zertifikate rechtzeitig registrieren.
Herunterladen und Installieren des Anwendungsproxyconnector-Agents
Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.
- Zugriff auf das Microsoft Entra Admin Center als mindestens Anwendungsadministrator
- Wählen Sie Alle Dienste aus. Geben Sie Microsoft Entra ID ein, um die Liste der Dienste zu filtern. Wählen Sie unter DIENSTE die Option Microsoft Entra ID aus.
- Wählen Sie unter VERWALTEN die Option Anwendungsproxy aus.
- Wählen Sie Connectordienst herunterladen aus. Wählen Sie Bedingungen akzeptieren & Herunterladen aus. Speichern Sie die Datei (AADApplicationProxyConnectorInstaller.exe) an einem Speicherort, auf den andere Benutzer in der
- Melden Sie sich auf dem Computer an, auf dem der Connector ausgeführt wird, mit Zugriff, der einem Domänenbenutzer entspricht.
Wichtig
Installieren Sie mindestens zwei Microsoft Entra ID-Proxyconnectors für jeden NDES-Anwendungsproxy. Suchen Sie strategisch Microsoft Entra-Anwendungsproxyconnectors in Ihrer Gesamten Organisation, um maximale Verfügbarkeit sicherzustellen. Denken Sie daran: Geräte, auf denen der Connector ausgeführt wird, müssen mit Azure und den lokalen NDES-Servern kommunizieren können.
- AADApplicationProxyConnectorInstaller.exe starten
- Lesen Sie die Lizenzbedingungen, und wählen Sie dann Ich stimme den Lizenzbedingungen zu. Wählen Sie Install.
- Mindestens als Anwendungsadministrator anmelden
- Wenn die Installation abgeschlossen ist. Lesen Sie die Informationen zu ausgehenden Proxyservern. Wählen Sie
- Wiederholen Sie die Schritte 5 bis 10 für jedes Gerät, auf dem der Microsoft Entra-Anwendungsproxyconnector für Windows Hello for Business-Zertifikatbereitstellungen ausgeführt wird.
Erstellen einer Connectorgruppe
Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.
Zugriff auf das Microsoft Entra Admin Center als mindestens Anwendungsadministrator
Wählen Sie Alle Dienste aus. Geben Sie Microsoft Entra ID ein, um die Liste der Dienste zu filtern. Wählen Sie unter DIENSTE die Option Microsoft Entra ID aus.
Wählen Sie unter VERWALTEN die Option Anwendungsproxy aus.
Wählen Sie Neue Connectorgruppe aus. Geben Sie unter Name den Namen NDES-WHFB-Connectors ein.
Wählen Sie in der Liste Connectors jeden Connector-Agent aus, der Windows Hello for Business-Zertifikatregistrierungsanforderungen verarbeiten soll.
Wählen Sie Speichern.
Erstellen des Azure-Anwendungsproxys
Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.
Zugriff auf das Microsoft Entra Admin Center als mindestens Anwendungsadministrator
Wählen Sie Alle Dienste aus. Geben Sie Microsoft Entra ID ein, um die Liste der Dienste zu filtern. Wählen Sie unter DIENSTE die Option Microsoft Entra ID aus.
Wählen Sie unter VERWALTEN die Option Anwendungsproxy aus.
Wählen Sie App konfigurieren aus.
Geben Sie unter Grundeinstellungen neben Nameden Namen WHFB NDES 01 ein. Wählen Sie einen Namen aus, der diese Microsoft Entra-Anwendungsproxyeinstellung mit dem lokalen NDES-Server korreliert. Jeder NDES-Server muss über einen eigenen Microsoft Entra-Anwendungsproxy verfügen, da zwei NDES-Server nicht dieselbe interne URL verwenden können.
Geben Sie neben Interne URL den internen, vollqualifizierten DNS-Namen des NDES-Servers ein, der diesem Microsoft Entra-Anwendungsproxy zugeordnet ist. Beispiel:
https://ndes.corp.mstepdemo.net
. Sie müssen mit dem primären Hostnamen (AD-Computerkontoname) des NDES-Servers übereinstimmen und der URL https voranzustellen.Wählen Sie unter Interne URLdie Option https:// aus der ersten Liste aus. Geben Sie im Textfeld neben https:// den Hostnamen ein, den Sie als externen Hostnamen für den Microsoft Entra-Anwendungsproxy verwenden möchten. Wählen Sie in der Liste neben dem eingegebenen Hostnamen ein DNS-Suffix aus, das Sie extern für den Microsoft Entra-Anwendungsproxy verwenden möchten. Es wird empfohlen, den Standardwert -[tenantName].msapproxy.net zu verwenden, wobei [tenantName] Ihr aktueller Microsoft Entra-Mandantenname (-mstephendemo.msappproxy.net) ist.
Wählen Sie passthrough aus der Liste Vorauthentifizierung aus.
Wählen Sie NDES-WHFB-Connectors aus der Liste der Connectorgruppen aus.
Wählen Sie unter Zusätzliche Einstellungendie Option Standard für Back-End-Anwendungstimeout aus. Wählen Sie im Abschnitt UrLs übersetzen in neben Headern die Option Ja und dann neben Anwendungstextdie Option Nein aus.
Wählen Sie Hinzufügen aus.
Melden Sie sich vom Azure-Portal ab.
Wichtig
Notieren Sie sich die internen und externen URLs. Sie benötigen diese Informationen, wenn Sie das NDES-Intune-Authentifizierungszertifikat registrieren.
Registrieren des NDES-Intune-Authentifizierungszertifikats
Dieser Task registriert ein Client- und Serverauthentifizierungszertifikat, das vom Intune-Connector und dem NDES-Server verwendet wird.
Melden Sie sich beim NDES-Server mit dem Zugriff an, der lokalen Administratoren entspricht.
Starten des Zertifikat-Managers für den lokalen Computer (certlm.msc)
Erweitern des Knotens "Personal " im Navigationsbereich
Klicken Sie auf Privat. Wählen Sie Alle Aufgaben aus, und fordern Sie neues Zertifikat an.
Wählen Sie auf der Seite "Before You Begin" (Vorbereitung) die Option Weiter aus.
Wählen Sie auf der Seite Zertifikatregistrierungsrichtlinie auswählen die Option Weiter aus.
Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen NDES-Intune-Authentifizierung .
Wählen Sie Weitere Informationen erforderlich aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um den Link einstellungen zu konfigurieren .
Wählen Sie unter Antragstellernamedie Option Allgemeiner Name aus der Liste Typ. Geben Sie die interne URL ein, die in der vorherigen Aufgabe verwendet wurde (ohne die https://, z. B. ndes.corp.mstepdemo.net), und wählen Sie dann Hinzufügen aus.
Wählen Sie unter Alternativer Name die Option DNS aus der Liste Typ aus. Geben Sie die interne URL ein, die in der vorherigen Aufgabe verwendet wurde (ohne die https://, z . B. ndes.corp.mstepdemo.net). Wählen Sie Hinzufügen aus. Geben Sie die externe URL ein, die in der vorherigen Aufgabe verwendet wurde (ohne die https://, z . B. ndes-mstephendemo.msappproxy.net). Wählen Sie Hinzufügen aus. Wählen Sie OK aus, wenn Sie fertig sind.
Wählen Sie Registrieren aus.
Wiederholen Sie diese Schritte für alle NDES-Server, die zum Anfordern von Windows Hello for Business-Authentifizierungszertifikaten für in Microsoft Entra eingebundene Geräte verwendet werden.
Konfigurieren der Webserverrolle
Dieser Task konfiguriert die Webserverrolle auf dem NDES-Server für die Verwendung des Serverauthentifizierungszertifikats.
Melden Sie sich beim NDES-Server mit dem Zugriff an, der dem lokalen Administrator entspricht.
Starten sie den Internetinformationsdienste-Manager (IIS) über die Verwaltung.
Erweitern Sie den Knoten mit dem Namen des NDES-Servers. Erweitern Sie Websites, und wählen Sie Standardwebsite aus.
Wählen Sie unter Aktionendie Option Bindungen... aus. Wählen Sie Hinzufügen aus.
Wählen Sie unter Typdie Option https aus. Vergewissern Sie sich, dass der Wert für Port443 ist.
Wählen Sie das Zertifikat aus, das Sie zuvor in der Liste ssl-Zertifikate registriert haben. Wählen Sie OK aus.
Wählen Sie in der Liste Websitebindungendie Option http aus. Wählen Sie Entfernen aus.
Wählen Sie im Dialogfeld Websitebindungendie Option Schließen aus.
Schließen des Iis-Managers (Internetinformationsdienste)
Überprüfen der Konfiguration
Dieser Task bestätigt die TLS-Konfiguration für den NDES-Server.
Melden Sie sich beim NDES-Server mit dem Zugriff an, der dem lokalen Administrator entspricht.
Deaktivieren der erweiterten Sicherheitskonfiguration für Internet Explorer
- Öffnen Sie den Server Manager. Wählen Sie im Navigationsbereich Local Server (Lokaler Server ) aus.
- Wählen Sie im Abschnitt Eigenschaften neben IE Enhanced Security Configuration (Verstärkte Sicherheitskonfiguration für IE) die Option Ein aus.
- Wählen Sie im Dialogfeld Verstärkte Sicherheitskonfiguration von Internet Explorer unter Administratoren die Option Aus aus. Wählen Sie OK aus.
- Server-Manager schließen
Testen des NDES-Webservers
Internet Explorer öffnen
Geben Sie in der Navigationsleiste
https://[fqdnHostName]/certsrv/mscep/mscep.dll
Dabei ist [fqdnHostName] der vollqualifizierte interne DNS-Hostname des NDES-Servers.
Eine Webseite ähnlich der folgenden sollte in Ihrem Webbrowser angezeigt werden. Wenn keine ähnliche Seite angezeigt wird oder die Meldung 503 Service nicht verfügbar angezeigt wird, stellen Sie sicher, dass das NDES-Dienstkonto über die richtigen Benutzerrechte verfügt. Sie können auch das Anwendungsereignisprotokoll auf Ereignisse mit der NetworkDeviceEnrollmentService-Quelle überprüfen.
Vergewissern Sie sich, dass die Website das Serverauthentifizierungszertifikat verwendet.
Konfigurieren der Registrierungsdienste für Netzwerkgeräte für die Verwendung mit Microsoft Intune
Sie haben die Registrierungsdienste für Netzwerkgeräte erfolgreich konfiguriert. Sie müssen nun die Konfiguration so ändern, dass sie mit dem Intune Certificate Connector funktioniert. In dieser Aufgabe aktivieren Sie den NDES-Server und http.sys für die Verarbeitung langer URLs.
- Konfigurieren von NDES zur Unterstützung langer URLs
Konfigurieren von NDES und HTTP zur Unterstützung langer URLs
Melden Sie sich beim NDES-Server mit dem Zugriff an, der dem lokalen Administrator entspricht.
Konfigurieren der Standardwebsite
Starten sie den Internetinformationsdienste-Manager (IIS) über die Verwaltung.
Erweitern Sie den Knoten mit dem Namen des NDES-Servers. Erweitern Sie Websites, und wählen Sie Standardwebsite aus.
Doppelklicken Sie im Inhaltsbereich auf Anforderungsfilterung. Wählen Sie im Aktionsbereich Featureeinstellungen bearbeiten... aus.
Wählen Sie Nicht aufgelistete Dateinamenerweiterungen zulassen aus.
Wählen Sie Nicht aufgelistete Verben zulassen aus.
Wählen Sie Hochbitzeichen zulassen aus.
Geben Sie 30000000 inMaximal zulässige Inhaltslänge (Bytes) ein.
Geben Sie 65534 unter Maximale URL-Länge (Bytes) ein.
Geben Sie 65534 unter Maximale Abfragezeichenfolge (Bytes) ein.
Wählen Sie OK aus. Schließen des Iis-Managers (Internetinformationsdienste)
Konfigurieren von Parametern für HTTP.SYS
Öffnen einer Eingabeaufforderung mit erhöhten Rechten
Führen Sie die folgenden Befehle aus:
reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxFieldLength /t REG_DWORD /d 65534 reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxRequestBytes /t REG_DWORD /d 65534
Neustarten des NDES-Servers
Herunterladen, Installieren und Konfigurieren des Intune-Zertifikatconnectors
Mit der Intune Certificate Connector-Anwendung kann Microsoft Intune Zertifikate mithilfe Ihrer lokalen PKI für Benutzer auf Geräten registrieren, die von Microsoft Intune verwaltet werden.
Informationen zum Herunterladen, Installieren und Konfigurieren des Intune-Zertifikatconnectors finden Sie unter Installieren des Zertifikatconnectors für Microsoft Intune.
Konfigurieren des NDES-Connectors für die Zertifikatsperrung (optional)
Optional (nicht erforderlich) können Sie den Intune-Connector für die Zertifikatsperrung konfigurieren, wenn ein Gerät zurückgesetzt, die Registrierung aufgehoben wird oder wenn das Zertifikatprofil außerhalb des Bereichs für den Zielbenutzer liegt (Benutzer werden entfernt, gelöscht oder das Profil gelöscht). Sie müssen während der Connectorkonfiguration die Option Zertifikatsperrung auswählen, um die automatische Zertifikatsperrung für Zertifikate zu aktivieren, die von einer Microsoft Active Directory-Zertifizierungsstelle ausgestellt wurden. Darüber hinaus müssen Sie das NDES-Dienstkonto für die Sperrung aktivieren.
Melden Sie sich bei der Zertifizierungsstelle an, die vom NDES-Connector verwendet wird, mit dem Zugriff, der dem Domänenadministrator entspricht.
Starten der Verwaltungskonsole der Zertifizierungsstelle
Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, und wählen Sie Eigenschaften aus.
Wählen Sie die Registerkarte Sicherheit und dann Hinzufügen aus. Geben Sie im Feld Geben Sie die zu markierenden Objektnamen ein den Namen NDESSvc ein (oder den Namen, den Sie dem NDES-Dienstkonto zugewiesen haben). Wählen Sie Namen überprüfen und dann OK aus. Wählen Sie in der Liste Gruppen- oder Benutzernamen das NDES-Dienstkonto aus. Wählen Sie Zulassen für die Berechtigung Zertifikate ausstellen und verwalten aus. Wählen Sie OK aus.
Schließen der Zertifizierungsstelle
Erstellen und Zuweisen eines SCEP-Zertifikatprofils (Simple Certificate Enrollment Protocol)
Erstellen einer ENTRA JOINED WHFB-Zertifikatbenutzergruppe
Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.
Zugriff auf das Microsoft Entra Admin Center als mindestens Anwendungsadministrator
Wählen Sie Alle Dienste aus. Geben Sie Microsoft Entra ID ein, um die Liste der Dienste zu filtern. Wählen Sie unter DIENSTE die Option Microsoft Entra ID aus.
Wählen Sie Gruppen aus. Wählen Sie Neue Gruppe aus.
Wählen Sie in der Liste Gruppentyp die Option Sicherheit aus.
Geben Sie unter Gruppenname den Namen der Gruppe ein. Beispiel: ENTRA JOINED WHFB-Zertifikatbenutzer
Geben Sie ggf. eine Gruppenbeschreibung an.
Wählen Sie in der Liste Mitgliedschaftstypdie Option Zugewiesen aus.
Wählen Sie Mitglieder aus. Verwenden Sie den Bereich Mitglieder auswählen , um dieser Gruppe Mitglieder hinzuzufügen. Wenn Sie fertig sind, wählen Sie Auswählen aus.
Wählen Sie Erstellen aus.
Erstellen eines SCEP-Zertifikatprofils
Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.
- Anmelden beim Microsoft Intune Admin Center
- Wählen Sie Geräte und dann Konfigurationsprofile aus.
- Wählen Sie Profil erstellen aus.
- Auswählen von Windows 10 und höher in der Plattformliste
- Wählen Sie scep certificate (SCEP-Zertifikat) aus der Profilliste aus, und wählen Sie Erstellen aus.
- Der SCEP-Zertifikat-Assistent sollte geöffnet werden. Geben Sie neben Name den NamenWHFB-Zertifikatregistrierung ein.
- Geben Sie neben Beschreibung eine Beschreibung ein, die für Ihre Umgebung sinnvoll ist, und wählen Sie dann Weiter aus.
- Auswählen von Benutzer als Zertifikattyp
- Konfigurieren Sie die Gültigkeitsdauer des Zertifikats entsprechend Ihrer Organisation.
Wichtig
Denken Sie daran, dass Sie Ihre Zertifizierungsstelle so konfigurieren müssen, dass Microsoft Intune die Zertifikatgültigkeit konfigurieren kann.
- Wählen Sie Bei Windows Hello for Business registrieren aus, andernfalls tritt ein Fehler (Windows 10 und höher) in der Liste des Schlüsselspeicheranbieters (KSP) auf.
- Geben Sie neben Format des AntragstellernamensCN={{OnPrem_Distinguished_Name}} ein, um den lokalen Distinguished-Namen zum Antragsteller des ausgestellten Zertifikats zu machen.
Hinweis
Wenn der Distinguished Name Sonderzeichen wie ein Pluszeichen ("+"), Komma (","), Semikolon (";") oder Gleichheitszeichen ("=") enthält, muss der Name in Klammern in Anführungszeichen eingeschlossen werden:
CN="{{OnPrem_Distinguished_Name}}"
.Wenn der Distinguished Name mehr als 64 Zeichen lang ist, muss die Erzwingung der Namenslänge für die Zertifizierungsstelle deaktiviert werden.
- Geben Sie den Benutzerprinzipalnamen (User Principal Name, UPN) als Alternativen Antragstellernamen-Parameter an. Legen Sie den Wert auf {{UserPrincipalName}} fest.
- Im Task "Konfigurieren von Zertifikatvorlagen für NDES" erfahren Sie, wie Sie die ZERTIFIKATvorlage ENTRA JOINED WHFB Authentication in der Registrierung konfiguriert haben. Wählen Sie die entsprechende Kombination von Schlüsselverwendungen aus der Liste Schlüsselverwendungen aus, die der konfigurierten NDES-Vorlage in der Registrierung zugeordnet sind. In diesem Beispiel wurde dem Registrierungswertnamen SignatureTemplate die Zertifikatvorlage ENTRA JOINED WHFB Authentication hinzugefügt. Die Schlüsselverwendung , die diesem Registrierungswertnamen zugeordnet ist , ist Digitale Signatur.
- Auswählen eines zuvor konfigurierten vertrauenswürdigen Zertifikatprofils , das dem Stammzertifikat der ausstellenden Zertifizierungsstelle als Stammzertifikat für das Profil entspricht
- Geben Sie unter Erweiterte Schlüsselverwendung unter Name den NamenSmartcard-Anmeldung ein. Geben Sie 1.3.6.1.4.1.311.20.2.2 unter Objektbezeichner ein. Wählen Sie Hinzufügen aus.
- Geben Sie einen Prozentsatz (ohne Prozentzeichen) neben Erneuerungsschwellenwert ein, um zu bestimmen, wann das Zertifikat erneuert werden soll. Der empfohlene Wert ist 20
- Geben Sie unter SCEP-Server-URLs den vollqualifizierten externen Namen des microsoft Entra-Anwendungsproxys ein, den Sie konfiguriert haben. Fügen Sie an den Namen /certsrv/mscep/mscep.dllan. Beispiel:
https://ndes-mtephendemo.msappproxy.net/certsrv/mscep/mscep.dll
. Wählen Sie Hinzufügen aus. Wiederholen Sie diesen Schritt für jeden zusätzlichen NDES Microsoft Entra-Anwendungsproxy, den Sie zum Ausstellen von Windows Hello for Business-Zertifikaten konfiguriert haben. Microsoft Intune-Roundrobin-Lastenausgleich für Anforderungen zwischen den URLs, die im SCEP-Zertifikatprofil aufgeführt sind - Wählen Sie Weiter aus.
- Wählen Sie mehrmals Weiter aus, um die Schritte Bereichstags, Zuweisungen und Anwendbarkeitsregeln des Assistenten zu überspringen, und wählen Sie Erstellen aus.
Zuweisen einer Gruppe zum Zertifikatprofil für die WHFB-Zertifikatregistrierung
Melden Sie eine Workstation mit einem Zugang an, der dem eines Domänenbenutzers entspricht.
- Anmelden beim Microsoft Intune Admin Center
- Wählen Sie Geräte und dann Konfigurationsprofile aus.
- Auswählen der WHFB-Zertifikatregistrierung
- Wählen Sie Eigenschaften und dann neben dem Abschnitt Zuweisungen die Option Bearbeiten aus.
- Wählen Sie im Bereich Zuweisungen in der Liste Zuweisen zu die Option Ausgewählte Gruppen aus. Wählen Sie Gruppen auswählen aus, die eingeschlossen werden sollen.
- Wählen Sie die Gruppe ENTRA JOINED WHFB Certificate Users aus. Wählen Sie Auswählen aus.
- Wählen Sie Überprüfen + Speichern und dann Speichern aus.
Sie haben die Konfiguration erfolgreich abgeschlossen. Fügen Sie Benutzer, die ein Windows Hello for Business-Authentifizierungszertifikat registrieren müssen, zur Gruppe ENTRA JOINED WHFB-Zertifikatbenutzer hinzu. Diese Gruppe fordert den Benutzer in Kombination mit der Windows Hello for Business-Konfiguration zur Geräteregistrierung auf, sich für Windows Hello for Business zu registrieren und ein Zertifikat zu registrieren, das für die Authentifizierung bei lokalen Ressourcen verwendet werden kann.
Hinweis
Der Passport for Work-Konfigurationsdienstanbieter (CSP), der zum Verwalten von Windows Hello for Business mit mobiler Geräteverwaltung (Mobile Device Management, MDM) verwendet wird, enthält eine Richtlinie namens UseCertificateForOnPremAuth. Diese Richtlinie ist nicht erforderlich, wenn Zertifikate für Windows Hello for Business-Benutzer gemäß den in diesem Dokument beschriebenen Anweisungen bereitgestellt werden, und sie sollte nicht konfiguriert werden. Geräte, die mit MDM verwaltet werden, bei denen UseCertificateForOnPremAuth aktiviert ist, schlägt eine Voraussetzungsprüfung für die Windows Hello for Business-Bereitstellung fehl. Dieser Fehler hindert Benutzer daran, Windows Hello for Business einzurichten, wenn sie es noch nicht konfiguriert haben.
Zusammenfassung
- Anforderungen
- Vorbereiten von Microsoft Entra Connect
- Vorbereiten des NDES-Dienstkontos (Network Device Enrollment Services)
- Vorbereiten der Active Directory-Zertifizierungsstelle
- Installieren und Konfigurieren der NDES-Rolle
- Konfigurieren der Registrierungsdienste für Netzwerkgeräte für die Verwendung mit Microsoft Intune
- Herunterladen, Installieren und Konfigurieren des Intune-Zertifikatconnectors
- Erstellen und Zuweisen eines einfachen Zertifikatregistrierungsprotokolls (SCEP-Zertifikatprofil)