混合证书信任部署指南

本文介绍适用于以下应用的 Windows Hello 企业版功能或方案:


重要提示

与关键信任模型相比,建议使用 Windows Hello 企业 版云 Kerberos 信任部署 模型。 如果不需要将证书部署到最终用户,则这也是建议的部署模型。 有关详细信息,请参阅 云 Kerberos 信任部署

要求

在开始部署之前,请查看 规划 Windows Hello 企业版部署一 文中所述的要求。

在开始之前,请确保满足以下要求:

部署步骤

Microsoft Entra ID 的联合身份验证

Windows Hello 企业版混合证书信任要求使用 AD FS 将 Active Directory 与 Microsoft Entra ID 联合。 还必须配置 AD FS 场以支持Microsoft Entra 注册的设备。

如果不熟悉 AD FS 和联合身份验证服务:

  • 在部署 AD FS 场之前,请查看关键的 AD FS 概念
  • 查看 AD FS 设计指南 来设计和规划联合身份验证服务

准备好 AD FS 设计后,请查看 部署联合服务器场 以在环境中配置 AD FS

与 Windows Hello 企业版一起使用的 AD FS 场必须是最低更新为 KB4088889 (14393.2155) 的 Windows Server 2016。

设备注册和设备写回

Windows 设备必须Microsoft Entra ID 中注册。 可以使用 Microsoft Entra 联接或Microsoft Entra 混合 联接在 Microsoft Entra ID 中注册设备。
对于Microsoft Entra 混合联接设备,请查看 计划Microsoft Entra 混合联接实现 页上的指导。

请参阅 为联合域配置 Microsoft Entra 混合联接 指南,详细了解如何使用 Microsoft Entra Connect Sync 配置 Microsoft Entra 设备注册。
有关 AD FS 场的 手动配置 以支持设备注册,请查看 为 Microsoft Entra 设备注册配置 AD FS 指南。

混合证书信任部署需要 设备写回 功能。 对 AD FS 进行身份验证需要用户和设备进行身份验证。 通常用户是同步的,但设备不是。 这可以防止 AD FS 对设备进行身份验证,并导致 Windows Hello 企业版证书注册失败。 因此,Windows Hello 企业版部署需要设备写回。

注意

Windows Hello 企业版的绑定在用户和设备之间进行。 用户和设备需要在 Microsoft Entra ID 和 Active Directory 之间同步。 设备写回用于更新 msDS-KeyCredentialLink 计算机对象上的 属性。

如果手动配置了 AD FS,或者如果使用自定义设置Microsoft Entra Connect Sync 运行,则必须确保在 AD FS 场中配置设备写回和设备身份验证。 有关详细信息,请参阅 配置设备写回和设备身份验证

公钥基础结构

需要将企业公钥基础结构 (PKI) 作为 身份验证的信任定位点 。 域控制器需要 Windows 客户端的证书才能信任它们。
企业 PKI 和证书注册机构 (CRA) 需要向用户颁发身份验证证书。 混合证书信任部署使用 AD FS 作为 CRA。

在 Windows Hello 企业版预配期间,用户通过 CRA 接收登录证书。

后续步骤

满足先决条件后,使用混合密钥信任模型部署 Windows Hello 企业版包括以下步骤:

  • 配置和验证 PKI
  • 配置 AD FS
  • 配置 Windows Hello 企业版设置
  • 在 Windows 客户端上预配 Windows Hello 企业版
  • 为加入 Microsoft Entra 的设备配置单一登录 (SSO)