ハイブリッド キー信頼のデプロイ

このドキュメントでは、次Windows Hello for Business適用される機能またはシナリオについて説明します。


ハイブリッド環境は、組織がオンプレミスおよび Azure AD で保護されたリソースを使用できるようにする分散システムです。 Windows Hello for Businessは、組織が 2 要素認証を提供し、最新のリソースにシングル サインオンできる基盤として、既存の分散システムを使用します。

このデプロイ ガイドでは、ハイブリッド キー信頼シナリオでWindows Hello for Businessをデプロイする方法について説明します。

重要

Windows Hello for Businessクラウド Kerberos 信頼は、キー信頼モデルと比較した場合に推奨されるデプロイ モデルです。 詳細については、「 Cloud Kerberos trust deployment」を参照してください。

デプロイ ガイドを使用する前に、Windows Hello for Business計画ガイドを確認することをお勧めします。 計画ガイドは、展開の各側面において利用可能なオプションを説明することによりお客様の意思決定を支援し、これらの各意思決定に基づく潜在的な結果について説明します。

前提条件

ハイブリッド キー信頼のデプロイでは、次の前提条件を満たす必要があります。

  • ディレクトリとディレクトリ同期
  • Azure AD への認証
  • デバイスの登録
  • 公開キー基盤 (PKI)
  • 多要素認証
  • デバイス管理

ディレクトリとディレクトリ同期

ハイブリッド Windows Hello for Businessには、次の 2 つのディレクトリが必要です。

  • オンプレミスの Active Directory
  • Azure Active Directory テナント

2 つのディレクトリは、ユーザー アカウントをオンプレミスの Active Directoryから Azure AD に同期する Azure AD Connect Sync と同期する必要があります。
Window Hello for Business プロビジョニング プロセス中に、ユーザーはWindows Hello for Business資格情報のパブリック部分を Azure AD に登録します。 Azure AD Connect Sync は、Windows Hello for Business公開キーを Active Directory に同期します。

Windows Hello for Businessハイブリッド キー信頼は、ユーザーのオンプレミス UPN サフィックスを Azure AD で検証済みドメインとして追加できない場合はサポートされません。

Azure AD への認証

Azure AD への認証は、フェデレーションの有無にかかわらず構成できます。

デバイスの登録

Windows デバイスは Azure AD に登録する必要があります。 デバイスは、Azure AD 参加またはハイブリッド Azure AD 参加 を使用して Azure AD に登録できます。
ハイブリッド Azure AD 参加済みデバイスの場合は、ハイブリッド Azure Active Directory 参加実装の計画に関するページのガイダンスを確認してください。

公開キー基盤 (PKI)

認証の トラスト アンカー としてエンタープライズ PKI が必要です。 ドメイン コントローラーには、Windows クライアントが信頼するための証明書が必要です。

多要素認証

Windows Hello for Business プロビジョニング プロセスを使用すると、ユーザーはユーザー名とパスワードを 1 つの要素として使用してWindows Hello for Businessに登録できますが、認証の 2 番目の要素が必要です。
ハイブリッドデプロイでは、次のものを使用できます。

  • Azure AD Multi-Factor Authentication
  • AD FS によって提供される多要素認証。これには、サード パーティが MFA を AD FS に統合できるようにするアダプター モデルが含まれています

Azure AD Multi-Factor Authentication を構成する方法の詳細については、「 Azure AD Multi-Factor Authentication 設定の構成」を参照してください。
多要素認証を提供するように AD FS を構成する方法の詳細については、「 AD FS で認証プロバイダーとして Azure MFA を構成する」を参照してください。

デバイス管理

Windows Hello for Businessを構成するには、Intuneなどのモバイル デバイス管理 (MDM) ソリューションを使用するか、グループ ポリシーを使用してデバイスを構成できます。

次のステップ

前提条件が満たされたら、ハイブリッド キー信頼モデルを使用してWindows Hello for Businessをデプロイする手順は次のとおりです。

  • PKI の構成と検証
  • Windows Hello for Business の設定の構成
  • Windows クライアントでWindows Hello for Businessをプロビジョニングする
  • Azure AD 参加済みデバイスのシングル サインオン (SSO) を構成する