Configurare Active Directory Federation Services in un modello di attendibilità del certificato ibrido
Questo articolo descrive le funzionalità o gli scenari Windows Hello for Business applicabili a:
- Tipo di distribuzione:ibrido
- Tipo di attendibilità:
- Tipo di join: Microsoft Entra aggiungere , Microsoft Entra join ibrido
Le distribuzioni basate su certificati Windows Hello for Business usano AD FS come autorità di registrazione certificati.
Il CRA è responsabile del rilascio e della revoca dei certificati agli utenti. Dopo aver verificato la richiesta di certificato, l'autorità di certificazione firma la richiesta di certificato utilizzando il certificato dell'agente di registrazione e lo invia all'autorità di certificazione.
L'autorità di certificazione si registra per un certificato dell'agente di registrazione e il modello di certificato di autenticazione Windows Hello for Business è configurato per emettere certificati solo per le richieste firmate con un certificato dell'agente di registrazione.
Nota
Per consentire ad AD FS di verificare le richieste di certificati utente per Windows Hello for Business, deve essere in grado di accedere all'endpointhttps://enterpriseregistration.windows.net
.
Configurare l'autorità di registrazione certificati
Accedere al server AD FS con credenziali equivalenti all'amministratore di dominio .
Aprire un prompt Windows PowerShell e digitare il comando seguente:
Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true
Nota
Se sono stati assegnati nomi diversi all'agente di registrazione Windows Hello for Business e ai modelli di certificato di autenticazione Windows Hello for Business, sostituire WHFBEnrollmentAgent e WHFBAuthentication nel comando precedente con il nome dei modelli di certificato. È importante che usi il nome del modello anziché il nome visualizzato del modello. È possibile visualizzare il nome del modello nella scheda Generale del modello di certificato usando la console di gestione del modello di certificato (certtmpl.msc). In alternativa, è possibile visualizzare il nome del modello usando il Get-CATemplate
cmdlet di PowerShell in una CA.
Registrazione del certificato dell'agente di registrazione
AD FS esegue la gestione del ciclo di vita dei certificati. Dopo aver configurato l'autorità di registrazione con il modello di certificato appropriato, il server AD FS tenta di registrare il certificato alla prima richiesta di certificato o quando il servizio viene avviato per la prima volta.
Circa 60 giorni prima della scadenza del certificato dell'agente di registrazione, il servizio AD FS tenta di rinnovare il certificato fino a quando non ha esito positivo. Se il certificato non viene rinnovato e il certificato scade, il server AD FS richiede un nuovo certificato dell'agente di registrazione. Puoi visualizzare i registri eventi di AD FS per determinare lo stato del certificato dell'agente di registrazione.
Appartenenze a gruppi per l'account del servizio AD FS
L'account del servizio AD FS deve essere membro del gruppo di sicurezza di destinazione della registrazione automatica del modello di certificato di autenticazione, ad esempio Window Hello for Business Users. Il gruppo di sicurezza fornisce al servizio AD FS le autorizzazioni necessarie per registrare un certificato di autenticazione Windows Hello for Business per conto dell'utente di provisioning.
Suggerimento
L'account adfssvc è l'account del servizio AD FS.
Accedi a una workstation di gestione o controller di dominio con le credenziali equivalenti Domain Admin.
- Apri Utenti e computer di Active Directory
- Cercare il gruppo di sicurezza di destinazione della registrazione automatica del modello di certificato di autenticazione (ad esempio, Window Hello for Business Users)
- Selezionare la scheda Membri e selezionare Aggiungi
- Nella casella di testo Immettere i nomi degli oggetti da selezionare digitare adfssvc o sostituire il nome dell'account del servizio AD FS nella distribuzione > di AD FS OK
- Selezionare OK per tornare a Utenti e computer di Active Directory
- Riavviare il server AD FS
Nota
Per AD FS 2019 in un modello di attendibilità del certificato ibrido, esiste un problema PRT. È possibile che si verifichi questo errore nei registri eventi di AD FS Amministrazione: richiesta Oauth non valida ricevuta. Il client 'NAME' non è autorizzato ad accedere alla risorsa con ambito 'ugs'. Per correggere questo errore:
- Avviare la console di gestione di AD FS e passare a Descrizioni ambito servizi >
- Fare clic con il pulsante destro del mouse su Descrizioni ambito e scegliere Aggiungi descrizione ambito
- In Tipo di
ugs
nome selezionare Applica > OK - Avviare PowerShell come amministratore
- Ottenere l'oggetto ObjectIdentifier dell'autorizzazione dell'applicazione con il
ClientRoleIdentifier
parametro uguale a38aa3b87-a06d-4817-b275-7a316988d93b
:
(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
- Eseguire il comando
Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'
. - Riavviare il servizio AD FS
- Nel client: riavviare il client. All'utente deve essere richiesto di effettuare il provisioning Windows Hello for Business
Revisione della sezione e passaggi successivi
Prima di passare alla sezione successiva, verificare che i passaggi seguenti siano completati:
- Configurare l'autorità di registrazione certificati
- Aggiornare le appartenenze ai gruppi per l'account del servizio AD FS
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per