クラウド Kerberos 信頼の展開
このドキュメントでは、次Windows Hello for Business適用される機能またはシナリオについて説明します。
- デプロイの種類:
- 信頼の種類:です
- 結合の種類:。Azure AD 参加済ハイブリッド Azure AD 参加の両方にシングル サインオンします
Windows Hello for Businessは、非対称キー ペアを使用して、パスワード サインインを強力な認証に置き換えます。 このデプロイ ガイドでは、クラウド Kerberos 信頼シナリオでWindows Hello for Businessをデプロイするための情報を提供します。
クラウド Kerberos 信頼の概要
クラウド Kerberos の信頼をWindows Hello for Businessする目的は、パスワードレス セキュリティ キー サインインの簡素化された展開エクスペリエンスをWindows Hello for Businessにし、新規または既存のWindows Hello for Business展開に使用できることです。
クラウド Kerberos 信頼Windows Hello for Business Azure AD Kerberos を使用するため、キー信頼モデルと比較して簡単にデプロイできます。
- 公開キー インフラストラクチャ (PKI) をデプロイする必要も、既存の PKI を変更する必要もありません
- ユーザーがオンプレミスのリソースにアクセスするために、Azure AD と Active Directory の間で公開キーを同期する必要はありません。 ユーザーのWindows Hello for Businessプロビジョニングと Active Directory に対する認証の間に遅延はありません
- パスワードレス セキュリティ キーのサインイン は、最小限の追加セットアップでデプロイできます
注
Windows Hello for Businessクラウド Kerberos 信頼は、キー信頼モデルと比較した場合に推奨されるデプロイ モデルです。 また、証明書認証シナリオをサポートする必要がない場合は、推奨されるデプロイ モデルでもあります。
Azure AD Kerberos とクラウド Kerberos の信頼認証
キー信頼 と 証明書信頼 では、オンプレミス認証に Kerberos チケット許可チケット (TGT) を要求するために、証明書認証ベースの Kerberos が使用されます。 この種類の認証には、DC 証明書の PKI が必要であり、証明書の信頼にはエンド ユーザー証明書が必要です。
Cloud Kerberos の信頼では、TGT を要求するために PKI を必要としない Azure AD Kerberos が使用されます。
Azure AD Kerberos では、Azure AD は 1 つ以上の AD ドメインに対して TGT を発行できます。 Windows では、Windows Hello for Businessで認証するときに Azure AD から TGT を要求し、サインインまたは AD ベースのリソースにアクセスするために返された TGT を使用できます。 オンプレミスのドメイン コントローラーは、Kerberos サービス のチケットと承認を引き続き担当します。
Active Directory ドメインで Azure AD Kerberos が有効になっている場合、そのドメインに Azure AD Kerberos サーバー オブジェクト が作成されます。 このオブジェクト:
- 読み取り専用ドメイン コントローラー (RODC) オブジェクトとして表示されますが、物理サーバーには関連付けられません
- Active Directory ドメインの TGT を生成するためにのみ、Azure AD によって使用されます。
注
RODC に使用される規則と制限は、Azure AD Kerberos Server オブジェクトにも適用されます。 たとえば、組み込みのセキュリティ グループ拒否 RODC パスワード レプリケーション グループ の直接または間接メンバーであるユーザーは、クラウド Kerberos 信頼を使用できません。
Azure AD Kerberos がオンプレミス リソースへのアクセスを有効にする方法の詳細については、「オンプレミス リソース へのパスワードレス セキュリティ キー サインインの有効化」を参照してください。
Azure AD Kerberos とクラウド Kerberos 信頼Windows Hello for Business連携する方法の詳細については、「Windows Hello for Business認証の技術的な詳細」を参照してください。
重要
クラウド Kerberos 信頼デプロイ モデルを実装する場合は、ユーザーがWindows Hello for Businessで認証する各 Active Directory サイトに適切な数の読み取り/書き込みドメイン コントローラーがあることを確認する必要があります。 詳細については、「 Active Directory の容量計画」を参照してください。
前提条件
| 要件 | 注 |
|---|---|
| 多要素認証 | この要件は、 Azure AD 多要素認証、AD FS を介して提供される多要素認証、または同等のソリューションを使用して満たすことができます。 |
| Windows 10、バージョン 21H2 以降、またはWindows 11以降 | Windows 10 21H2 を使用している場合は、KB5010415 をインストールする必要があります。 Windows 11 21H2 を使用している場合は、KB5010414 をインストールする必要があります。 Azure AD 参加済みデバイスとハイブリッド Azure AD 参加済みデバイスの間には、Windows バージョンのサポートの違いはありません。 |
| Windows Server 2016以降のドメイン コントローラー | Windows Server 2016を使用している場合は、KB3534307 をインストールする必要があります。 Server 2019 を使用している場合は、 KB4534321 を インストールする必要があります。 |
| Azure AD Kerberos PowerShell モジュール | このモジュールは、Azure AD Kerberos の有効化と管理に使用されます。 PowerShell ギャラリーを通じて利用できます。 |
| デバイス管理 | Windows Hello for Businessクラウド Kerberos 信頼は、グループ ポリシーまたはモバイル デバイス管理 (MDM) ポリシーを使用して管理できます。 この機能は既定で無効になっており、ポリシーを使用して有効にする必要があります。 |
サポートされていないシナリオ
クラウド Kerberos 信頼を使用Windows Hello for Business、次のシナリオはサポートされていません。
- オンプレミスのみのデプロイ
- 指定された資格情報を使用した RDP/VDI シナリオ (RDP/VDI はリモート資格情報ガードで使用できます。証明書がWindows Hello for Business コンテナーに登録されている場合)
- "実行" にクラウド Kerberos 信頼を使用する
- DC 接続を使用して以前にサインインせずにハイブリッド Azure AD 参加済みデバイスでクラウド Kerberos 信頼を使用してサインインする
注
AD の既定のセキュリティ ポリシーでは、クラウド Kerberos 信頼または FIDO2 セキュリティ キーを使用して、オンプレミス リソースに対して高い特権アカウントに署名するアクセス許可は付与されません。
アカウントのブロックを解除するには、Active Directory ユーザーとコンピューターを使用して、Azure AD Kerberos Computer オブジェクトの msDS-NeverRevealGroup プロパティを変更しますCN=AzureADKerberos,OU=Domain Controllers,<domain-DN>。
次のステップ
前提条件が満たされたら、クラウド Kerberos 信頼モデルを使用してWindows Hello for Businessをデプロイする手順は次のとおりです。
- Azure AD Kerberos をデプロイする
- Windows Hello for Business の設定の構成
- Windows クライアントでWindows Hello for Businessをプロビジョニングする