Configurer Services ADFS dans un modèle d’approbation de certificat hybride
Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :
- Type de déploiement :hybride
- Type d’approbation :
- Type de jointure : Microsoft Entra rejoindre , Microsoft Entra la jointure hybride
Les déploiements basés sur les certificats Windows Hello Entreprise utilisent AD FS comme autorité d’inscription de certificat (CRA).
L’ARC est responsable de l’émission et de la révocation des certificats aux utilisateurs. Une fois que l’autorité d’inscription vérifie la demande de certificat, elle signe la demande de certificat à l’aide de son certificat d’agent d’inscription et l’envoie à l’autorité de certification.
L’ARC s’inscrit pour un certificat d’agent d’inscription, et le modèle de certificat d’authentification Windows Hello Entreprise est configuré pour émettre uniquement des certificats aux demandes signées avec un certificat d’agent d’inscription.
Remarque
Pour qu’AD FS puisse vérifier les demandes de certificat utilisateur pour Windows Hello Entreprise, il doit pouvoir accéder au point de https://enterpriseregistration.windows.net
terminaison.
Configurer l’autorité d’inscription de certificat
Connectez-vous au serveur AD FS avec des informations d’identification équivalentes à l’administrateur de domaine .
Ouvrez une invite Windows PowerShell et tapez la commande suivante :
Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true
Remarque
Si vous avez donné à votre Windows Hello Entreprise Enrollment Agent et Windows Hello Entreprise Modèles de certificat d’authentification des noms différents, remplacez WHFBEnrollmentAgent et WHFBAuthentication dans la commande ci-dessus par le nom de vos modèles de certificat. Il est important que vous utilisiez le nom du modèle plutôt que le nom d'affichage du modèle. Vous pouvez afficher le nom du modèle sous l’onglet Général du modèle de certificat à l’aide de l’console de gestion modèle de certificat (certtmpl.msc). Vous pouvez également afficher le nom du modèle à l’aide de l’applet Get-CATemplate
de commande PowerShell sur une autorité de certification.
Inscription du certificat de l’agent d’inscription
AD FS effectue sa propre gestion du cycle de vie des certificats. Une fois que l’autorité d’inscription est configurée avec le modèle de certificat approprié, le serveur AD FS tente d’inscrire le certificat lors de la première demande de certificat ou lors du premier démarrage du service.
Environ 60 jours avant l’expiration du certificat de l’agent d’inscription, le service AD FS tente de renouveler le certificat jusqu’à ce qu’il réussisse. Si le certificat ne parvient pas à être renouvelé et que le certificat expire, le serveur AD FS demande un nouveau certificat d’agent d’inscription. Vous pouvez afficher les journaux d'événements AD FS pour déterminer l’état du certificat de l’agent Inscription.
Appartenances aux groupes pour le compte de service AD FS
Le compte de service AD FS doit être membre du groupe de sécurité ciblé par l’inscription automatique du modèle de certificat d’authentification (par exemple, Windows Hello Entreprise Utilisateurs). Le groupe de sécurité fournit au service AD FS les autorisations nécessaires pour inscrire un certificat d’authentification Windows Hello Entreprise pour le compte de l’utilisateur de provisionnement.
Astuce
Le compte adfssvc est le compte de service AD FS.
Connectez-vous à un contrôleur de domaine ou une station de travail de gestion à l’aide d’informations d’identification correspondant à l'administrateur de domaine.
- Ouvrez Utilisateurs et ordinateurs Active Directory.
- Recherchez le groupe de sécurité ciblé par l’inscription automatique du modèle de certificat d’authentification (par exemple, Windows Hello Entreprise Utilisateurs)
- Sélectionnez l’onglet Membres et sélectionnez Ajouter
- Dans la zone de texte Entrez les noms d’objets à sélectionner, tapez adfssvc ou remplacez le nom du compte de service AD FS dans votre déploiement > AD FS OK
- Sélectionnez OK pour revenir à Utilisateurs et ordinateurs Active Directory
- Redémarrer le serveur AD FS
Remarque
Pour AD FS 2019 dans un modèle d’approbation de certificat hybride, un problème PRT existe. Vous pouvez rencontrer cette erreur dans les journaux des événements ad FS Administration : Demande Oauth non valide reçue. Le client 'NAME' est interdit d’accéder à la ressource avec l’étendue 'ugs'. Pour corriger cette erreur :
- Lancez AD FS console de gestion et accédez à Descriptions de l’étendue des services >
- Cliquez avec le bouton droit sur Descriptions de l’étendue et sélectionnez Ajouter une description d’étendue
- Sous nom, tapez
ugs
, puis sélectionnez Appliquer > OK. - Lancer PowerShell en tant qu’administrateur
- Obtenez l’ObjectIdentifier de l’autorisation d’application avec le
ClientRoleIdentifier
paramètre égal à38aa3b87-a06d-4817-b275-7a316988d93b
:
(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
- Exécutez la commande
Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'
. - Redémarrer le service AD FS
- Sur le client : redémarrez le client. L’utilisateur doit être invité à provisionner Windows Hello Entreprise
Révision de la section et étapes suivantes
Avant de passer à la section suivante, vérifiez que les étapes suivantes sont effectuées :
- Configurer l’autorité d’inscription de certificat
- Mettre à jour des appartenances à des groupes pour le compte de service AD FS
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour