Руководство по развертыванию гибридного доверия сертификатов

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

В этой статье описаны Windows Hello для бизнеса функциональные возможности или сценарии, которые применяются к:

• Тип развертывания:
• Тип доверия..
• Тип соединения. Microsoft Entra присоединение , Microsoft Entra гибридное присоединение

---

Важно.

Windows Hello для бизнеса облачное доверие Kerberos является рекомендуемой моделью развертывания по сравнению с ключевой моделью доверия. Это также рекомендуемая модель развертывания, если вам не нужно развертывать сертификаты для конечных пользователей. Дополнительные сведения см. в статье Развертывание доверия в облаке Kerberos.

Требования

Перед началом развертывания ознакомьтесь с требованиями, описанными в статье Планирование Windows Hello для бизнеса развертывания.

Перед началом работы убедитесь, что выполнены следующие требования:

• Инфраструктура открытых ключей
• Authentication
• Конфигурация устройств
• Лицензирование облачных служб
• Подготовка пользователей к использованию Windows Hello

Шаги развертывания

После выполнения предварительных требований развертывание Windows Hello для бизнеса состоит из следующих шагов:

• Настройка и проверка инфраструктуры открытых ключей
• Настройка службы федерации Active Directory (AD FS)
• Настройка и регистрация в Windows Hello для бизнеса
• (необязательно) Настройка единого входа для устройств, присоединенных к Microsoft Entra

Федеративная проверка подлинности для Microsoft Entra ID

Windows Hello для бизнеса доверия с гибридными сертификатами требуется федерация Active Directory с Microsoft Entra ID с помощью AD FS. Необходимо также настроить ферму AD FS для поддержки зарегистрированных устройств Azure.

Если вы не знакомы с AD FS и службами федерации:

• Ознакомьтесь с основными понятиями AD FS перед развертыванием фермы AD FS
• Ознакомьтесь с руководством по проектированию AD FS , чтобы спроектировать и спланировать службу федерации.

После подготовки проекта AD FS ознакомьтесь с развертыванием фермы серверов федерации , чтобы настроить AD FS в своей среде.

Для Windows Hello for Business необходимо использовать ферму AD FS под управлением Windows Server 2016 с обновлением не ниже версии KB4088889 (14393.2155).

Регистрация устройства и обратная запись устройств

Устройства Windows должны быть зарегистрированы в Microsoft Entra ID. Устройства можно зарегистрировать в Microsoft Entra ID с помощью Microsoft Entra присоединения или Microsoft Entra гибридного соединения.
Сведения о Microsoft Entra устройствах с гибридным присоединением см. на странице планирования реализации гибридного присоединения Microsoft Entra.

Дополнительные сведения об использовании Microsoft Entra Connect Sync для настройки регистрации Microsoft Entra устройства см. в руководстве по настройке гибридного присоединения Microsoft Entra для федеративных доменов.
Инструкции по настройке фермы AD FS для поддержки регистрации устройств см. в руководстве По настройке AD FS для Microsoft Entra регистрации устройств.

Для гибридных развертываний с доверием к сертификатам требуется функция обратной записи устройства . Для проверки подлинности в AD FS требуется проверка подлинности пользователя и устройства. Как правило, синхронизируются пользователи, а не устройства. Это предотвращает проверку подлинности устройства ad FS и приводит к сбою регистрации сертификата Windows Hello для бизнеса. По этой причине Windows Hello для бизнеса развертываниям требуется обратная запись устройства.

Примечание.

Windows Hello для бизнеса связывается между пользователем и устройством. Пользователь и устройство должны быть синхронизированы между Microsoft Entra ID и Active Directory. Обратная запись устройства используется для обновления атрибута msDS-KeyCredentialLink в объекте компьютера.

Если вы вручную настроили AD FS или выполнили Microsoft Entra Подключить синхронизацию с помощью пользовательских параметров, необходимо настроить обратную запись устройства и проверку подлинности устройства в ферме AD FS. Дополнительные сведения см. в разделе Настройка обратной записи устройства и проверки подлинности устройства.

Инфраструктура открытых ключей

Инфраструктура открытых ключей (PKI) предприятия требуется в качестве привязки доверия для проверки подлинности. Контроллерам домена требуется сертификат, чтобы клиенты Windows доверяли им.
Корпоративный PKI и центр регистрации сертификатов (CRA) необходимы для выдачи пользователям сертификатов проверки подлинности. Гибридное развертывание доверия сертификатов использует AD FS в качестве CRA.

Во время Windows Hello для бизнеса подготовки пользователи получают сертификат входа через CRA.

Дальнейшие действия

После выполнения предварительных требований развертывание Windows Hello для бизнеса с гибридной моделью доверия ключей состоит из следующих шагов.

• Настройка и проверка PKI
• Настройка AD FS
• Настройка параметров Windows Hello для бизнеса
• Подготовка Windows Hello для бизнеса на клиентах Windows
• Настройка единого входа для устройств, присоединенных к Microsoft Entra

Далее: настройка и проверка инфраструктуры открытых ключей >