Configurer l’inscription des appareils pour les Windows Hello Entreprise joints à Azure AD hybride

Votre environnement est fédéré et vous êtes prêt à configurer l’inscription des appareils pour votre environnement hybride. Le déploiement de Windows Hello Entreprise hybride a besoin d'une inscription des appareils et de l'écriture différée des appareils pour permettre une authentification correcte des appareils.

Important

Si votre environnement n’est pas fédéré, consultez la section Planning de référence d'une nouvelle installation de ce document de déploiement pour savoir comment fédérer votre environnement pour votre déploiement Windows Hello Entreprise.

Conseil

Reportez-vous au Tutoriel : Configurer la jonction Azure Active Directory hybride pour les domaines fédérés pour en savoir plus sur la configuration d’Azure Active Directory Connect pour un flux de jointure simplifié pour l’inscription d’appareils Azure AD.

Utilisez cette approche en trois phases pour configurer l’inscription des appareils.

  1. Configurer des appareils pour les inscrire dans Azure
  2. Synchroniser des appareils avec ActiveDirectory local
  3. Configurer ADFS pour utiliser des appareils du cloud

Notes

Avant de continuer, vous devez vous familiariser avec les concepts d’inscription d’appareil tels que :

  • Appareils inscrits auprès d'Azure AD
  • Appareils joints à Azure AD
  • Appareils joints à Azure AD hybrides

Pour en savoir plus à ce sujet, lisez Présentation de la gestion des appareils dans Azure Active Directory.

Important

Pour utiliser l’identité hybride avec les fonctionnalités d’Écriture différée d’Azure Active Directory et d’appareil, vous devez utiliser l’interface graphique graphique intégrée avec les dernières mises à jour pour ADConnect.

Configurer la jonction Azure AD hybride

Pour prendre en charge les Windows Hello Entreprise hybrides, configurez la jonction Azure AD hybride.

Suivez les instructions de la page Comment configurer des appareils joints à Azure Active Directory hybrides . Dans la section Sélectionner votre scénario en fonction de votre infrastructure d’identité , identifiez votre configuration ( environnement managé ou environnement fédéré) et effectuez uniquement les étapes applicables à votre environnement.

Si le nom d’utilisateur principal (UPN) dans votre Active Directory local est différent de l’UPN dans Azure AD, vous devez également effectuer les étapes suivantes :

  • Configurez Azure AD Connect pour synchroniser l’UPN local de l’utilisateur avec le onPremisesUserPrincipalName attribute dans Azure AD.
  • Ajoutez le nom de domaine de l’UPN local en tant que domaine vérifié dans Azure AD.

Pour en savoir plus sur ce scénario, consultez Vérifier la prise en charge de l’UPN local pour la jonction Azure Ad hybride.

Notes

Windows Hello Entreprise l’approbation de clé hybride n’est pas prise en charge si le domaine local de vos utilisateurs ne peut pas être ajouté en tant que domaine vérifié dans Azure AD.

Configurer Active Directory pour prendre en charge la synchronisation des appareils Azure

Azure Active Directory est maintenant configuré pour l'inscription des appareils. Ensuite, vous devez configurer la Active Directory local pour prendre en charge la synchronisation des appareils joints à Azure AD hybrides. Commencez par mettre à niveau le schéma Active Directory.

Mise à niveau d’Active Directory vers le schéma Windows Server 2016 ou version ultérieure

Pour utiliser Windows Hello Entreprise avec des appareils joints à Azure AD hybrides, vous devez d’abord mettre à niveau votre schéma Active Directory vers Windows Server 2016 ou une version ultérieure.

Important

Si vous disposez déjà d’un contrôleur de domaine Windows Server 2016 ou ultérieur dans votre forêt, vous pouvez ignorer la mise à niveau d’Active Directory vers le schéma Windows Server 2016 ou ultérieur (cette section).

Identifier le contrôleur de domaine du rôle de schéma

Pour localiser le détenteur du rôle de contrôleur de schéma, ouvrez une invite de commandes, puis tapez:

Netdom query fsmo | findstr -i schema

Exemple de sortie Netdom.

La commande doit retourner le nom du contrôleur de domaine dans lequel vous devez exécuter adprep.exe. Mettez à jour le schéma localement sur le contrôleur de domaine qui héberge le rôle de contrôleur de schéma.

Mise à jour du schéma

WindowsHelloEntreprise utilise des clés asymétriques comme informations d’identification de l’utilisateur (plutôt que des mots de passe). Pendant l’inscription, la clé publique est inscrite dans un attribut sur l’objet utilisateur dans ActiveDirectory. La mise à jour du schéma ajoute ce nouvel attribut à ActiveDirectory.

La mise à jour manuelle d’Active Directory utilise l’utilitaire de ligne de commande adprep.exe situé à <drive>l’emplacement :\support\adprep sur le DVD ou iso Windows Server 2016 ou version ultérieure. Avant d’exécuter adprep.exe, vous devez identifier le contrôleur de domaine qui héberge le rôle de contrôleur de schéma.

Connectez-vous au contrôleur de domaine hébergeant le rôle opérationnel maître de schéma à l’aide d’informations d’identification équivalentes à l’administrateur d’entreprise.

  1. Ouvrez une invite de commandes avec élévation de privilèges.
  2. Tapez cd /d x:\support\adprepx est la lettre de lecteur du DVD ou du fichierISO monté.
  3. Pour mettre à jour le schéma, tapez adprep /forestprep.
  4. Lisez l’avertissement Adprep. Tapez la lettre C_ et appuyez sur _Entrée* pour mettre à jour le schéma.
  5. Fermez l’invite de commandes et déconnectez-vous.

Notes

Si vous avez installé AzureAD Connect avant de mettre à niveau le schéma, vous devez réexécuter l’installation d’AzureAD Connect et actualiser le schémaAD local pour vous assurer que la règle de synchronisation pour l’attribut msDS-KeyCredentialLink est configurée.

Configurer les services de fédération ActiveDirectory (ADFS)

Si vous débutez avec AD FS et les services de fédération, vous devez passer en revue Understanding Key AD FS Concepts pour avant de concevoir et déployer votre service de fédération. Passez en revue le Guide de conception ADFS pour planifier votre service de fédération.

Une fois que votre conception ADFS est prête, consultez Déploiement d’une batterie de serveurs de fédération pour configurer ADFS dans votre environnement.

Important

Pendant votre déploiement d’ADFS, ignorez les procédures Configurer un serveur de fédération avec Device Registration Service et Configurer le système DNS d’entreprise pour le service de fédération et DRS.

La batterie de serveurs ADFS utilisée avec Windows Hello Entreprise doit être Windows Server2016 avec la mise à jour minimale de KB4088889 (14393.2155). Si votre batterie de serveurs ADFS n’exécute pas le rôle ADFS avec les mises à jour à partir de Windows Server2016, puis lisez Mise à niveau vers ADFS dans Windows Server2016.

Proxy web ADFS

Les serveurs proxy de fédération sont des ordinateurs exécutant des logiciels ADFS qui ont été configurés manuellement pour tenir le rôle de proxy. Vous pouvez utiliser des serveurs proxy de fédération dans votre organisation pour fournir des services intermédiaires entre un client Internet et un serveur de fédération qui se trouve derrière un pare-feu sur votre réseau d’entreprise. Utilisez la liste de vérification Configuration d’un serveur proxy de fédération pour configurer des serveurs proxy ADFS dans votre environnement.

Déployer Azure AD Connect

Ensuite, vous devez synchroniser le Active Directory local avec Azure Active Directory. Pour ce faire, commencez par consulter Intégrer des répertoires locaux à Azure Active Directory, ainsi que la configuration matérielle et les conditions préalables nécessaires, puis téléchargez le logiciel.

Lorsque vous êtes prêt à installer, suivez la section Configuration de la fédération avec AD FS de l’article Installation personnalisée d’Azure AD Connect. Sélectionnez l'option Fédération avec ADFS dans la page Connexion utilisateur. Dans la page Batterie de serveurs ADFS, sélectionnez une option existante, puis cliquez sur Suivant.

Créer des objetsAD pour l’authentification d'appareil ADFS

Si votre batterie de serveurs AD FS n’est pas déjà configurée pour l’authentification de l’appareil (vous pouvez le voir dans la console de gestion AD FS sous Service -> Inscription de l’appareil), procédez comme suit pour créer la configuration et les objets AD DS appropriés. Inscription de l’appareil : AD FS

Notes

Les commandes ci-dessous exigent les outils d’administration ActiveDirectory. Par conséquent, si votre serveur de fédération n’est pas également un contrôleur de domaine, commencez par installer les outils en suivant l’étape1 ci-dessous. Dans le cas contraire, vous pouvez ignorer cette étape.

  1. Exécutez l'Assistant Ajouter des rôles et des fonctionnalités, puis sélectionnez la fonctionnalité Outils d'administration de serveur distant -> Outils d'administration de rôles -> Outils ADDS et ADLDS -> Choisissez les options Module Active Directory pour Windows PowerShell et Outils ADDS. Inscription de l’appareil : Vue d’ensemble

  2. Sur votre serveur principal AD FS, vérifiez que vous êtes connecté en tant qu’utilisateur AD DS avec des privilèges d’administrateur d’entreprise et ouvrez une invite de Windows PowerShell avec élévation de privilèges. Exécutez ensuite les commandes suivantes:
    Import-module activedirectory
    PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>"

  3. Dans la fenêtre contextuelle, cliquez sur Oui.

    Notes

    Si votre service ADFS est configuré pour utiliser un compte service administré de groupe (GMSA), entrez le nom du compte au format «domaine\nom_compte$».

    Inscription de l’appareil : Domaine
    Le PSH ci-dessus crée les objets suivants:

    • Conteneur RegisteredDevices sous la partition de domaineAD
    • Conteneur et objet Device Registration Service sous Configuration--> Services--> Configuration de l’inscription de l’appareil
    • Conteneur et objet DKM Device Registration Service sous Configuration--> Services--> Configuration de l’inscription de l’appareil

    Inscription de l’appareil : tests

  4. Une fois cette opération effectuée, un message de réussite s’affiche.

    Inscription de l’appareil : achèvement

Créer un point de connexion de service dans ActiveDirectory

Si vous envisagez d’utiliser la jonction de domaine Windows (avec inscription automatique auprès d’Azure AD) comme décrit ici, exécutez les commandes suivantes pour créer un point de connexion de service dans AD DS

  1. Ouvrez Windows PowerShell, puis exécutez la commande suivante:

    PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

    Notes

    Si nécessaire, copiez le fichier AdSyncPrep.psm1 à partir de votre serveur AzureAD Connect. Ce fichier se trouve dans Program Files\Microsoft Azure Active Directory Connect\AdPrep

    Inscription de l’appareil AdPrep

  2. Fournissez vos informations d’identification d’administrateur AzureAD

    PS C:>$aadAdminCred = Get-Credential

    Inscription de l’appareil : informations d’identification

  3. Exécutez la commande PowerShell suivante

    PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

    où [AD connector account name] est le nom du compte que vous avez configuré dans AzureAD Connect lors de l’ajout de votre annuaire ADDS local.

Les commandes ci-dessus permettent aux clients Windows de trouver le domaine Azure AD approprié à joindre en créant l’objet serviceConnectionpoint dans AD DS.

Préparer ActiveDirectory pour l’écriture différée des appareils

Pour vérifier que les objets et conteneurs ADDS sont dans l’état correct pour l'écriture différée d'appareils à partir d’AzureAD, procédez comme suit.

  1. Ouvrez Windows PowerShell, puis exécutez la commande suivante:

    PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

    où [AD connector account name] est le nom du compte que vous avez configuré dans AzureAD Connect lors de l’ajout de votre annuaire ADDS local au format in domaine\nom_compte.

La commande ci-dessus crée les objets suivants pour la réécriture de l’appareil dans AD DS, s’ils n’existent pas déjà, et autorise l’accès au nom de compte de connecteur AD spécifié

  • Conteneur RegisteredDevices dans la partition de domaineAD
  • Conteneur et objet Device Registration Service sous Configuration--> Services--> Configuration de l’inscription de l’appareil

Activer l’écriture différée d’appareils dans AzureAD Connect

Si vous ne l’avez pas fait auparavant, activez la réécriture de l’appareil dans Azure AD Connect en exécutant l’Assistant une deuxième fois et en sélectionnant « Personnaliser les options de synchronisation », puis en cochant la case pour l’écriture différée de l’appareil et en sélectionnant la forêt dans laquelle vous avez exécuté les applets de commande ci-dessus

Configurer ADFS pour utiliser des appareils inscrits auprès d'Azure

Configurer l’émission de revendications

Dans une configuration Azure AD fédérée, les appareils s’appuient sur Services ADFS (AD FS) ou sur un service de fédération local tiers pour s’authentifier auprès d’Azure AD. Les appareils s’authentifient pour obtenir un jeton d’accès en vue de s’inscrire auprès du service Device Registration Service Azure Active Directory (DRS Azure).

Les appareils Windows actuels s’authentifient à l’aide de l’authentification Windows intégrée auprès d'un point de terminaison WS-Trust actif (versions1.3 ou2005) hébergé par le service de fédération local.

Lorsque vous utilisez AD FS, vous devez activer les points de terminaison WS-Trust suivants : /adfs/services/trust/2005/windowstransport /adfs/services/trust/13/windowstransport /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Avertissement

adfs/services/trust/2005/windowstransport et adfs/services/trust/13/windowstransport doivent être activés uniquement en tant que points de terminaison intranet et ne doivent PAS être exposés en tant que points de terminaison extranet via le web Proxy d'application. Pour en savoir plus sur la désactivation WS-Trust points de terminaison Windows, consultez Désactiver WS-Trust points de terminaison Windows sur le proxy. Vous pouvez voir quels points de terminaison sont activés via la console de gestion AD FS sousPoints de terminaison de service > .

Notes

Si vous n’avez pas AD FS comme service de fédération local, suivez les instructions de votre fournisseur pour vous assurer qu’il prend en charge les points de terminaison WS-Trust 1.3 ou 2005 et qu’ils sont publiés via le fichier d’échange de métadonnées (MEX).

Les revendications suivantes doivent exister dans le jeton reçu par le service DRS Azure pour que l’inscription d'appareil se termine. Azure DRS crée un objet d’appareil dans Azure AD avec certaines de ces informations qui sont ensuite utilisées par Azure AD Connect pour associer l’objet d’appareil nouvellement créé au compte d’ordinateur local.

  • http://schemas.microsoft.com/ws/2012/01/accounttype
  • http://schemas.microsoft.com/identity/claims/onpremobjectguid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

Si vous avez plusieurs noms de domaine vérifiés, vous devez fournir la revendication suivante pour les ordinateurs :

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid

Si vous émettez déjà une revendication ImmutableID (par exemple, un AUTRE ID de connexion), vous devez fournir une revendication correspondante pour les ordinateurs :

  • http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID

Dans les sections suivantes, vous trouvez des informations sur:

  • Les valeurs que chaque revendication doit avoir
  • Comment se présenterait une définition dans ADFS

La définition vous permet de vérifier si les valeurs sont présentes ou si vous devez les créer.

Notes

Si vous n’utilisez pas ADFS pour votre serveur de fédération local, suivez les instructions de votre fournisseur pour créer la configuration appropriée pour émettre ces revendications.

Émettre une revendication de type de compte

http://schemas.microsoft.com/ws/2012/01/accounttype: Cette revendication doit contenir une valeur de DJ, qui identifie l’appareil en tant qu'ordinateur joint à un domaine. Dans ADFS, vous pouvez ajouter une règle de transformation d’émission qui ressemble à ceci:


    @RuleName = "Issue account type for domain-joined computers"
    c:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value = "DJ"
    );

Émettre l'objectGUID du compte d’ordinateur local

http://schemas.microsoft.com/identity/claims/onpremobjectguid: Cette revendication doit contenir la valeur objectGUID du compte d’ordinateur local. Dans ADFS, vous pouvez ajouter une règle de transformation d’émission qui ressemble à ceci:


    @RuleName = "Issue object GUID for domain-joined computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        store = "Active Directory", 
        types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), 
        query = ";objectguid;{0}", 
        param = c2.Value
    );

Émettre l'objectSID du compte d’ordinateur local

http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid - Cette revendication doit contenir la valeur objectSid du compte d’ordinateur local. Dans ADFS, vous pouvez ajouter une règle de transformation d’émission qui ressemble à ceci:


    @RuleName = "Issue objectSID for domain-joined computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(claim = c2);

Émettre l'issuerID de l’ordinateur lorsqu'il y a plusieurs noms de domaines vérifiés dans AzureAD

http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid - Cette revendication doit contenir l’URI (Uniform Resource Identifier) de tous les noms de domaine vérifiés qui se connectent au service de fédération local (AD FS ou tiers) qui émet le jeton. Dans ADFS, vous pouvez ajouter des règles de transformation d’émission qui ressemblent à celles ci-dessous dans cet ordre spécifique après celles mentionnées ci-dessus. Notez qu’une règle pour émettre explicitement la règle pour les utilisateurs est nécessaire. Dans les règles ci-dessous, une première règle identifiant une authentification utilisateur/ordinateur est ajoutée.


    @RuleName = "Issue account type with the value User when it is not a computer"

    NOT EXISTS(
    [
        Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value == "DJ"
    ]
    )
    => add(
        Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value = "User"
    );

    @RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
    c1:[
        Type == "http://schemas.xmlsoap.org/claims/UPN"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value == "User"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
        Value = regexreplace(
        c1.Value, 
        ".+@(?<domain>.+)", 
        "http://${domain}/adfs/services/trust/"
        )
    );

    @RuleName = "Issue issuerID for domain-joined computers"
    c:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
        Value = "http://<verified-domain-name>/adfs/services/trust/"
    );

Dans la revendication ci-dessus,

  • $<domain> est l'URL du service ADFS
  • <verified-domain-name> est un espace réservé que vous devrez remplacer par l'un de vos noms de domaines vérifiés dans AzureAD

Pour plus d’informations sur les noms de domaine vérifiés, consultez Ajouter un nom de domaine personnalisé à Azure Active Directory.
Pour obtenir la liste de vos domaines d’entreprise vérifiés, vous pouvez utiliser l'applet de commande Get-MsolDomain.

Émettre ImmutableID pour l’ordinateur lorsqu’il existe un pour les utilisateurs (par exemple, un AUTRE ID de connexion est défini)

http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID: Cette revendication doit contenir une valeur valide pour les ordinateurs. Dans ADFS, vous pouvez créer une règle de transformation d’émission comme suit:


    @RuleName = "Issue ImmutableID for computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ] 
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        store = "Active Directory", 
        types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), 
        query = ";objectguid;{0}", 
        param = c2.Value
    );

Script d’aide pour créer des règles de transformation d'émission ADFS

Le script suivant vous aide dans la création des règles de transformation d'émission décrites ci-dessus.


    $multipleVerifiedDomainNames = $false
    $immutableIDAlreadyIssuedforUsers = $false
    $oneOfVerifiedDomainNames = 'example.com'   # Replace example.com with one of your verified domains

    $rule1 = '@RuleName = "Issue account type for domain-joined computers"
    c:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value = "DJ"
    );'

    $rule2 = '@RuleName = "Issue object GUID for domain-joined computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        store = "Active Directory", 
        types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), 
        query = ";objectguid;{0}", 
        param = c2.Value
    );'

    $rule3 = '@RuleName = "Issue objectSID for domain-joined computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(claim = c2);'

    $rule4 = ''
    if ($multipleVerifiedDomainNames -eq $true) {
    $rule4 = '@RuleName = "Issue account type with the value User when it is not a computer"
    NOT EXISTS(
    [
        Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value == "DJ"
    ]
    )
    => add(
        Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value = "User"
    );

    @RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
    c1:[
        Type == "http://schemas.xmlsoap.org/claims/UPN"
    ]
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
        Value == "User"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
        Value = regexreplace(
        c1.Value, 
        ".+@(?<domain>.+)", 
        "http://${domain}/adfs/services/trust/"
        )
    );

    @RuleName = "Issue issuerID for domain-joined computers"
    c:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
        Value = "http://' + $oneOfVerifiedDomainNames + '/adfs/services/trust/"
    );'
    }

    $rule5 = ''
    if ($immutableIDAlreadyIssuedforUsers -eq $true) {
    $rule5 = '@RuleName = "Issue ImmutableID for computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
        Value =~ "-515$", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ] 
    && 
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        store = "Active Directory", 
        types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), 
        query = ";objectguid;{0}", 
        param = c2.Value
    );'
    }

    $existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules 

    $updatedRules = $existingRules + $rule1 + $rule2 + $rule3 + $rule4 + $rule5

    $crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules 

    Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString 

Notes

  • Ce script ajoute les règles aux règles existantes. N’exécutez pas le script deux fois, car l’ensemble de règles serait ajouté deux fois. Vérifiez qu'il n'existe aucune règle correspondante pour ces revendications (dans les conditions correspondantes) avant de réexécuter le script.

  • Si vous avez plusieurs noms de domaines vérifiés (comme indiqué dans le portail AzureAD or via l'applet de commande Get-MsolDomains), définissez la valeur $multipleVerifiedDomainNames du script sur $true. Prenez également soin de supprimer toutes les revendications d'issuerid existantes qui peuvent avoir été créées par AzureAD Connect ou via d’autres moyens. Voici un exemple pour cette règle :

      c:[Type == "http://schemas.xmlsoap.org/claims/UPN"]
      => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)",  "http://${domain}/adfs/services/trust/")); 
    
  • Si vous avez déjà émis une revendication ImmutableID pour les comptes d’utilisateur, définissez la valeur de $immutableIDAlreadyIssuedforUsers dans le script sur $true.

Configurer l’authentification des appareils dans ADFS

À l’aide d’une fenêtre de commande PowerShell avec élévation de privilèges, configurez la stratégie ADFS en exécutant la commande suivante

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod SignedToken

Vérifier votre configuration

À titre de référence, voici une liste complète des appareils, conteneurs et autorisations ADDS exigés pour que l’authentification et l'écriture différée des appareils fonctionnent

  • objet de type ms-DS-DeviceContainer at CN=RegisteredDevices,DC=<domaine>

    • accès en lecture au compte de service ADFS
    • accès en lecture/écriture au compte de connecteur AD de synchronisation AzureAD Connect
  • Conteneur CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domaine>

  • Conteneur DKM Device Registration Service sous le conteneur ci-dessus

    Inscription de l’appareil : conteneur

  • objet de type serviceConnectionpoint at CN=<guid>, CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

    • accès en lecture/écriture au nom de compte de connecteurAD spécifié sur le nouvel objet
  • objet de type msDS-DeviceRegistrationServiceContainer at CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domaine>

  • objet de type msDS-DeviceRegistrationService dans le conteneur ci-dessus



Suivez le guide de déploiement d'approbation de certificat hybride WindowsHelloEntreprise

  1. Vue d'ensemble
  2. Prérequis
  3. Planning de référence d'une nouvelle installation
  4. Configurer Azure Device Registration (Vous en êtes à cette étape)
  5. Configurer les paramètres Windows Hello Entreprise
  6. Se connecter et effectuer l'approvisionnement