Share via

Configurer Services ADFS dans un modèle d’approbation de certificat hybride

Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :

Les déploiements basés sur les certificats Windows Hello Entreprise utilisent AD FS comme autorité d’inscription de certificat (CRA). L’ARC est responsable de l’émission et de la révocation des certificats aux utilisateurs. Une fois que l’autorité d’inscription vérifie la demande de certificat, elle signe la demande de certificat à l’aide de son certificat d’agent d’inscription et l’envoie à l’autorité de certification.
L’ARC s’inscrit pour un certificat d’agent d’inscription, et le modèle de certificat d’authentification Windows Hello Entreprise est configuré pour émettre uniquement des certificats aux demandes signées avec un certificat d’agent d’inscription.

Remarque

Pour qu’AD FS puisse vérifier les demandes de certificat utilisateur pour Windows Hello Entreprise, il doit pouvoir accéder au point de https://enterpriseregistration.windows.net terminaison.

Configurer l’autorité d’inscription de certificat

Connectez-vous au serveur AD FS avec des informations d’identification équivalentes à l’administrateur de domaine .

Ouvrez une invite Windows PowerShell et tapez la commande suivante :

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

Remarque

Si vous avez donné à votre Windows Hello Entreprise Enrollment Agent et Windows Hello Entreprise Modèles de certificat d’authentification des noms différents, remplacez WHFBEnrollmentAgent et WHFBAuthentication dans la commande ci-dessus par le nom de vos modèles de certificat. Il est important que vous utilisiez le nom du modèle plutôt que le nom d'affichage du modèle. Vous pouvez afficher le nom du modèle sous l’onglet Général du modèle de certificat à l’aide de l’console de gestion modèle de certificat (certtmpl.msc). Vous pouvez également afficher le nom du modèle à l’aide de l’applet Get-CATemplate de commande PowerShell sur une autorité de certification.

Inscription du certificat de l’agent d’inscription

AD FS effectue sa propre gestion du cycle de vie des certificats. Une fois que l’autorité d’inscription est configurée avec le modèle de certificat approprié, le serveur AD FS tente d’inscrire le certificat lors de la première demande de certificat ou lors du premier démarrage du service.

Environ 60 jours avant l’expiration du certificat de l’agent d’inscription, le service AD FS tente de renouveler le certificat jusqu’à ce qu’il réussisse. Si le certificat ne parvient pas à être renouvelé et que le certificat expire, le serveur AD FS demande un nouveau certificat d’agent d’inscription. Vous pouvez afficher les journaux d'événements AD FS pour déterminer l’état du certificat de l’agent Inscription.

Appartenances aux groupes pour le compte de service AD FS

Le compte de service AD FS doit être membre du groupe de sécurité ciblé par l’inscription automatique du modèle de certificat d’authentification (par exemple, Windows Hello Entreprise Utilisateurs). Le groupe de sécurité fournit au service AD FS les autorisations nécessaires pour inscrire un certificat d’authentification Windows Hello Entreprise pour le compte de l’utilisateur de provisionnement.

Astuce

Le compte adfssvc est le compte de service AD FS.

Connectez-vous à un contrôleur de domaine ou une station de travail de gestion à l’aide d’informations d’identification correspondant à l'administrateur de domaine.

  1. Ouvrez Utilisateurs et ordinateurs Active Directory.
  2. Recherchez le groupe de sécurité ciblé par l’inscription automatique du modèle de certificat d’authentification (par exemple, Windows Hello Entreprise Utilisateurs)
  3. Sélectionnez l’onglet Membres et sélectionnez Ajouter
  4. Dans la zone de texte Entrez les noms d’objets à sélectionner, tapez adfssvc ou remplacez le nom du compte de service AD FS dans votre déploiement > AD FS OK
  5. Sélectionnez OK pour revenir à Utilisateurs et ordinateurs Active Directory
  6. Redémarrer le serveur AD FS

Remarque

Pour AD FS 2019 dans un modèle d’approbation de certificat hybride, un problème PRT existe. Vous pouvez rencontrer cette erreur dans les journaux des événements ad FS Administration : Demande Oauth non valide reçue. Le client 'NAME' est interdit d’accéder à la ressource avec l’étendue 'ugs'. Pour corriger cette erreur :

  1. Lancez AD FS console de gestion et accédez à Descriptions de l’étendue des services >
  2. Cliquez avec le bouton droit sur Descriptions de l’étendue et sélectionnez Ajouter une description d’étendue
  3. Sous nom, tapezugs, puis sélectionnez Appliquer > OK.
  4. Lancer PowerShell en tant qu’administrateur
  5. Obtenez l’ObjectIdentifier de l’autorisation d’application avec le ClientRoleIdentifier paramètre égal à 38aa3b87-a06d-4817-b275-7a316988d93b:
(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
  1. Exécutez la commande Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'.
  2. Redémarrer le service AD FS
  3. Sur le client : redémarrez le client. L’utilisateur doit être invité à provisionner Windows Hello Entreprise

Révision de la section et étapes suivantes

Avant de passer à la section suivante, vérifiez que les étapes suivantes sont effectuées :

  • Configurer l’autorité d’inscription de certificat
  • Mettre à jour des appartenances à des groupes pour le compte de service AD FS

Suivant : configurer les paramètres de stratégie >