Guida alla distribuzione dell'attendibilità dei certificati ibridi

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Questo articolo descrive le funzionalità o gli scenari Windows Hello for Business applicabili a:

• Tipo di distribuzione:ibrido
• Tipo di attendibilità:
• Tipo di join: Microsoft Entra aggiungere , Microsoft Entra join ibrido

---

Importante

Windows Hello for Business trust Kerberos cloud è il modello di distribuzione consigliato rispetto al modello di attendibilità chiave. È anche il modello di distribuzione consigliato se non è necessario distribuire i certificati agli utenti finali. Per altre informazioni, vedere Distribuzione dell'attendibilità Kerberos nel cloud.

Requisiti

Prima di iniziare la distribuzione, esaminare i requisiti descritti nell'articolo Pianificare una distribuzione Windows Hello for Business.

Prima di iniziare, verificare che siano soddisfatti i requisiti seguenti:

• Infrastruttura a chiave pubblica
• Authentication
• Configurazione dei dispositivi
• Licenze per i servizi cloud
• Preparare gli utenti all'uso di Windows Hello

Fasi di distribuzione

Dopo aver soddisfatto i prerequisiti, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:

• Configurare e convalidare l'infrastruttura a chiave pubblica
• Configurare Active Directory Federation Services
• Configurare e registrare in Windows Hello for Business
• (facoltativo) Configurare l'accesso Single Sign-On per Microsoft Entra dispositivi aggiunti

Autenticazione federata per Microsoft Entra ID

Windows Hello for Business trust di certificati ibridi richiede che Active Directory sia federato con Microsoft Entra ID usando AD FS. È anche necessario configurare la farm AD FS per supportare i dispositivi registrati di Azure.

Se non si ha familiarita' con AD FS e i servizi federativi:

• Esaminare i concetti principali di AD FS prima di distribuire la farm AD FS
• Vedere la guida alla progettazione di AD FS per progettare e pianificare il servizio federativo

Dopo aver pronto la progettazione di AD FS, esaminare la distribuzione di una server farm federativa per configurare AD FS nell'ambiente in uso

La farm di AD FS usata con Windows Hello for Business deve essere Windows Server 2016 con l'aggiornamento minimo diKB4088889 (14393.2155).

Registrazione del dispositivo e writeback del dispositivo

I dispositivi Windows devono essere registrati in Microsoft Entra ID. I dispositivi possono essere registrati in Microsoft Entra ID usando Microsoft Entra join o Microsoft Entra join ibrido.
Per Microsoft Entra dispositivi aggiunti ibridi, vedere le linee guida nel piano della pagina di implementazione del join ibrido Microsoft Entra.

Fare riferimento alla guida Configurare Microsoft Entra join ibrido per domini federati per altre informazioni sull'uso di Microsoft Entra Connect Sync per configurare Microsoft Entra registrazione del dispositivo.
Per una configurazione manuale della farm AD FS per supportare la registrazione del dispositivo, vedere la guida Configurare AD FS per Microsoft Entra registrazione del dispositivo.

Le distribuzioni di attendibilità dei certificati ibridi richiedono la funzionalità di writeback del dispositivo . L'autenticazione in AD FS richiede l'autenticazione sia dell'utente che del dispositivo. In genere gli utenti vengono sincronizzati, ma non i dispositivi. Ciò impedisce ad AD FS di autenticare il dispositivo e causa errori di registrazione del certificato Windows Hello for Business. Per questo motivo, Windows Hello for Business distribuzioni richiedono il writeback del dispositivo.

Nota

Windows Hello for Business è associato tra un utente e un dispositivo. Sia l'utente che il dispositivo devono essere sincronizzati tra Microsoft Entra ID e Active Directory. Il writeback del dispositivo viene usato per aggiornare l'attributo msDS-KeyCredentialLink nell'oggetto computer.

Se AD FS è stato configurato manualmente o se è stato eseguito Microsoft Entra Connect Sync usando impostazioni personalizzate, è necessario assicurarsi di configurare il writeback del dispositivo e l'autenticazione del dispositivo nella farm AD FS. Per altre informazioni, vedere Configurare il writeback del dispositivo e l'autenticazione del dispositivo.

Infrastruttura a chiave pubblica

Un'infrastruttura a chiave pubblica (PKI) aziendale è necessaria come ancoraggio di attendibilità per l'autenticazione. I controller di dominio richiedono un certificato per consentire ai client Windows di considerarli attendibili.
L'infrastruttura a chiave pubblica aziendale e un'autorità di registrazione certificati (CRA) sono necessari per rilasciare certificati di autenticazione agli utenti. La distribuzione ibrida dell'attendibilità dei certificati usa AD FS come cra.

Durante Windows Hello for Business provisioning, gli utenti ricevono un certificato di accesso tramite il cra.

Passaggi successivi

Dopo aver soddisfatto i prerequisiti, la distribuzione di Windows Hello for Business con un modello di attendibilità della chiave ibrida è costituita dai passaggi seguenti:

• Configurare e convalidare l'infrastruttura a chiave pubblica
• Configurare AD FS
• Configurare le impostazioni per Windows Hello for Business
• Effettuare il provisioning Windows Hello for Business nei client Windows
• Configurare l'accesso Single Sign-On (SSO) per Microsoft Entra dispositivi aggiunti

Avanti: configurare e convalidare l'infrastruttura a chiave pubblica >