ハイブリッド証明書信頼のデプロイ

このドキュメントでは、次Windows Hello for Business適用される機能またはシナリオについて説明します。

ハイブリッド環境は、組織がオンプレミスおよび Azure AD で保護されたリソースを使用できるようにする分散システムです。 Windows Hello for Businessは、組織が 2 要素認証を提供し、最新のリソースにシングル サインオンできる基盤として、既存の分散システムを使用します。

このデプロイ ガイドでは、ハイブリッド証明書信頼シナリオでWindows Hello for Businessをデプロイする方法について説明します。

重要

Windows Hello for Businessクラウド Kerberos 信頼は、キー信頼モデルと比較した場合に推奨されるデプロイ モデルです。 また、エンド ユーザーに証明書を展開する必要がない場合は、推奨されるデプロイ モデルでもあります。 詳細については、「 Cloud Kerberos trust deployment」を参照してください。

デプロイ ガイドを使用する前に、Windows Hello for Business計画ガイドを確認することをお勧めします。 計画ガイドは、展開の各側面において利用可能なオプションを説明することによりお客様の意思決定を支援し、これらの各意思決定に基づく潜在的な結果について説明します。

前提条件

ハイブリッド証明書信頼のデプロイでは、次の前提条件を満たす必要があります。

  • ディレクトリとディレクトリ同期
  • Azure AD へのフェデレーション認証
  • デバイスの登録
  • 公開キー基盤 (PKI)
  • 多要素認証
  • デバイス管理

ディレクトリとディレクトリ同期

ハイブリッド Windows Hello for Businessには、次の 2 つのディレクトリが必要です。

  • オンプレミスの Active Directory
  • Azure AD Premium サブスクリプションを持つ Azure Active Directory テナント

2 つのディレクトリは、ユーザー アカウントをオンプレミスの Active Directoryから Azure AD に同期する Azure AD Connect Sync と同期する必要があります。 ハイブリッド証明書信頼のデプロイでは、デバイスのライトバック同期機能を使用するため、Azure Active Directory Premium サブスクリプションが必要です。

Windows Hello for Businessハイブリッド証明書の信頼は、ユーザーのオンプレミス UPN サフィックスを Azure AD で検証済みドメインとして追加できない場合はサポートされません。

重要

Windows Hello for Businessは、ユーザーとデバイスの間で関連付けられています。 ユーザー オブジェクトとデバイス オブジェクトの両方を Azure Active Directory と Active Directory の間で同期する必要があります。

Azure AD へのフェデレーション認証

ハイブリッド証明書信頼Windows Hello for Business、Azure AD パススルー認証 (PTA) またはパスワード ハッシュ同期 (PHS) はサポートされていません。
ハイブリッド証明書の信頼Windows Hello for Business、Active Directory を AD FS を使用して Azure Active Directory とフェデレーションする必要があります。 さらに、Azure の登録済みデバイスをサポートするように AD FS ファームを構成する必要があります。

AD FS とフェデレーション サービスを初めて使用する場合:

  • AD FS ファームを展開する前に、AD FS の 主要な概念 を確認する
  • AD FS 設計ガイドを確認して、フェデレーション サービスを設計および計画する

AD FS の設計を準備したら、次の手順を実行します。

Windows Hello for Business で使用する AD FS は、KB4088889 (14393.2155) 以降の更新プログラムがインストールされた Windows Server 2016 である必要があります。

デバイスの登録とデバイスの書き戻し

Windows デバイスは Azure AD に登録する必要があります。 デバイスは、Azure AD 参加またはハイブリッド Azure AD 参加 を使用して Azure AD に登録できます。
ハイブリッド Azure AD 参加済みデバイスの場合は、 ハイブリッド Azure Active Directory 参加実装の計画 に関するガイダンスを確認してください。

Azure AD Connect Sync を使用して Azure AD デバイスの登録を構成する方法の詳細については、「 フェデレーション ドメインのハイブリッド Azure Active Directory 参加 の構成」ガイドを参照してください。
デバイス登録をサポートする AD FS ファームの 手動構成 については、「 Azure AD デバイス登録用の AD FS の構成 」ガイドを参照してください。

ハイブリッド証明書信頼のデプロイには、 デバイスのライトバック 機能が必要です。 AD FS への認証には、ユーザーとデバイスの両方が必要です。 通常、ユーザーは同期されますが、デバイスは同期されません。 これにより、AD FS がデバイスを認証できず、証明書の登録エラー Windows Hello for Business発生します。 このため、Windows Hello for Business展開にはデバイスライトバックが必要です。

Windows Hello for Businessは、ユーザーとデバイスの間で関連付けられています。 ユーザーとデバイスの両方を Azure Active Directory と Active Directory の間で同期する必要があります。 デバイスライトバックは、コンピューター オブジェクトの msDS-KeyCredentialLink 属性を更新するために使用されます。

AD FS を手動で構成した場合、または カスタム設定を使用して Azure AD Connect Sync を実行した場合は、AD FS ファームで デバイスライトバックデバイス認証 が構成されていることを確認する必要があります。 詳細については、「 デバイスの書き戻しとデバイス認証の構成」を参照してください。

公開キー基盤 (PKI)

認証の トラスト アンカー として、エンタープライズ公開キー インフラストラクチャ (PKI) が必要です。 ドメイン コントローラーには、Windows クライアントが信頼するための証明書が必要です。
認証証明書をユーザーに発行するには、エンタープライズ PKI と証明書登録機関 (CRA) が必要です。 ハイブリッド証明書信頼の展開では、AD FS が CRA として使用されます。

Windows Hello for Businessプロビジョニング中に、ユーザーは CRA を介してサインイン証明書を受け取ります。

多要素認証

Windows Hello for Business プロビジョニング プロセスを使用すると、ユーザーはユーザー名とパスワードを 1 つの要素として使用してWindows Hello for Businessに登録できますが、認証の 2 番目の要素が必要です。
ハイブリッドデプロイでは、次のものを使用できます。

  • Azure AD Multi-Factor Authentication
  • AD FS によって提供される多要素認証。これには、サード パーティが MFA を AD FS に統合できるようにするアダプター モデルが含まれています

Azure AD Multi-Factor Authentication を構成する方法の詳細については、「 Azure AD Multi-Factor Authentication 設定の構成」を参照してください。
多要素認証を提供するように AD FS を構成する方法の詳細については、「 AD FS で認証プロバイダーとして Azure MFA を構成する」を参照してください。

デバイス管理

Windows Hello for Businessを構成するには、Intuneなどのモバイル デバイス管理 (MDM) ソリューションを使用するか、グループ ポリシーを使用してデバイスを構成できます。

次のステップ

前提条件が満たされたら、ハイブリッド キー信頼モデルを使用してWindows Hello for Businessをデプロイする手順は次のとおりです。

  • PKI の構成と検証
  • AD FS の構成
  • Windows Hello for Business の設定の構成
  • Windows クライアントでWindows Hello for Businessをプロビジョニングする
  • Azure AD 参加済みデバイスのシングル サインオン (SSO) を構成する

次へ: 公開キー インフラストラクチャを構成して検証する >