Guida alla distribuzione dell'attendibilità dei certificati ibridi
Questo articolo descrive le funzionalità o gli scenari Windows Hello for Business applicabili a:
- Tipo di distribuzione:ibrido
- Tipo di attendibilità:
- Tipo di join: Microsoft Entra aggiungere , Microsoft Entra join ibrido
Importante
Windows Hello for Business trust Kerberos cloud è il modello di distribuzione consigliato rispetto al modello di attendibilità chiave. È anche il modello di distribuzione consigliato se non è necessario distribuire i certificati agli utenti finali. Per altre informazioni, vedere Distribuzione dell'attendibilità Kerberos nel cloud.
Requisiti
Prima di iniziare la distribuzione, esaminare i requisiti descritti nell'articolo Pianificare una distribuzione Windows Hello for Business.
Prima di iniziare, verificare che siano soddisfatti i requisiti seguenti:
Fasi di distribuzione
Dopo aver soddisfatto i prerequisiti, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:
Autenticazione federata per Microsoft Entra ID
Windows Hello for Business trust di certificati ibridi richiede che Active Directory sia federato con Microsoft Entra ID usando AD FS. È anche necessario configurare la farm AD FS per supportare i dispositivi registrati di Azure.
Se non si ha familiarita' con AD FS e i servizi federativi:
- Esaminare i concetti principali di AD FS prima di distribuire la farm AD FS
- Vedere la guida alla progettazione di AD FS per progettare e pianificare il servizio federativo
Dopo aver pronto la progettazione di AD FS, esaminare la distribuzione di una server farm federativa per configurare AD FS nell'ambiente in uso
La farm di AD FS usata con Windows Hello for Business deve essere Windows Server 2016 con l'aggiornamento minimo diKB4088889 (14393.2155).
Registrazione del dispositivo e writeback del dispositivo
I dispositivi Windows devono essere registrati in Microsoft Entra ID. I dispositivi possono essere registrati in Microsoft Entra ID usando Microsoft Entra join o Microsoft Entra join ibrido.
Per Microsoft Entra dispositivi aggiunti ibridi, vedere le linee guida nel piano della pagina di implementazione del join ibrido Microsoft Entra.
Fare riferimento alla guida Configurare Microsoft Entra join ibrido per domini federati per altre informazioni sull'uso di Microsoft Entra Connect Sync per configurare Microsoft Entra registrazione del dispositivo.
Per una configurazione manuale della farm AD FS per supportare la registrazione del dispositivo, vedere la guida Configurare AD FS per Microsoft Entra registrazione del dispositivo.
Le distribuzioni di attendibilità dei certificati ibridi richiedono la funzionalità di writeback del dispositivo . L'autenticazione in AD FS richiede l'autenticazione sia dell'utente che del dispositivo. In genere gli utenti vengono sincronizzati, ma non i dispositivi. Ciò impedisce ad AD FS di autenticare il dispositivo e causa errori di registrazione del certificato Windows Hello for Business. Per questo motivo, Windows Hello for Business distribuzioni richiedono il writeback del dispositivo.
Nota
Windows Hello for Business è associato tra un utente e un dispositivo. Sia l'utente che il dispositivo devono essere sincronizzati tra Microsoft Entra ID e Active Directory. Il writeback del dispositivo viene usato per aggiornare l'attributo msDS-KeyCredentialLink
nell'oggetto computer.
Se AD FS è stato configurato manualmente o se è stato eseguito Microsoft Entra Connect Sync usando impostazioni personalizzate, è necessario assicurarsi di configurare il writeback del dispositivo e l'autenticazione del dispositivo nella farm AD FS. Per altre informazioni, vedere Configurare il writeback del dispositivo e l'autenticazione del dispositivo.
Infrastruttura a chiave pubblica
Un'infrastruttura a chiave pubblica (PKI) aziendale è necessaria come ancoraggio di attendibilità per l'autenticazione. I controller di dominio richiedono un certificato per consentire ai client Windows di considerarli attendibili.
L'infrastruttura a chiave pubblica aziendale e un'autorità di registrazione certificati (CRA) sono necessari per rilasciare certificati di autenticazione agli utenti. La distribuzione ibrida dell'attendibilità dei certificati usa AD FS come cra.
Durante Windows Hello for Business provisioning, gli utenti ricevono un certificato di accesso tramite il cra.
Passaggi successivi
Dopo aver soddisfatto i prerequisiti, la distribuzione di Windows Hello for Business con un modello di attendibilità della chiave ibrida è costituita dai passaggi seguenti:
- Configurare e convalidare l'infrastruttura a chiave pubblica
- Configurare AD FS
- Configurare le impostazioni per Windows Hello for Business
- Effettuare il provisioning Windows Hello for Business nei client Windows
- Configurare l'accesso Single Sign-On (SSO) per Microsoft Entra dispositivi aggiunti
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per