共用方式為

混合式憑證信任部署指南

本文說明適用於下列專案的 Windows Hello 企業版功能或案例:

重要

相較於密鑰信任模型,Windows Hello 企業版雲端 Kerberos 信任是建議的部署模型。 如果您不需要將憑證部署給終端使用者,這也是建議的部署模型。 如需詳細資訊,請參閱 雲端 Kerberos 信任部署

需求

開始部署之前,請檢閱 規劃 Windows Hello 企業版部署一 文中所述的需求。

開始之前,請確定符合下列需求:

部署步驟

一旦符合必要條件,部署 Windows Hello 企業版包含下列步驟:

同盟驗證以Microsoft編碼標識碼

Windows Hello 企業版混合式憑證信任要求 Active Directory 必須與使用 AD FS 的 Microsoft Entra ID 同盟。 您也必須設定AD FS 伺服器陣列,以支援Microsoft註冊的裝置。

如果您不熟悉 AD FS 和同盟服務:

  • 在部署 AD FS 伺服器陣列之前,請先檢閱重要的AD FS概念
  • 檢閱 AD FS 設計指南 ,以設計和規劃您的同盟服務

準備好AD FS設計之後,請檢閱 部署同盟伺服器陣 列以在您的環境中設定AD FS

與 Windows Hello 企業版搭配使用的 AD FS 伺服器陣列必須是至少更新到 KB4088889 (14393.2155) 的 Windows Server 2016。

裝置註冊和裝置回寫

Windows 裝置必須在 Microsoft Entra ID 中註冊。 您可以使用 Microsoft Entra join 或 Microsoft Entra 混合式聯結,在 Microsoft Entra ID 中註冊裝置。
針對Microsoft已加入 Entra 的混合式裝置,請檢閱 規劃Microsoft混合式聯結實 作頁面的指引。

若要深入瞭解如何使用 Microsoft Entra Connect Sync 來設定 Microsoft Entra 裝置註冊,請參閱為同盟網域設定 Microsoft Entra 混合式加入 指南。
如需AD FS 伺服器陣 列的手動設定 以支援裝置註冊,請檢閱設定 AD FS以進行 Microsoft Entra 裝置註冊 指南。

混合式憑證信任部署需要 裝置回寫 功能。 對 AD FS 的驗證需要使用者和裝置進行驗證。 同步處理的通常是使用者,而不是裝置。 這可防止 AD FS 驗證裝置,並導致 Windows Hello 企業版憑證註冊失敗。 因此,Windows Hello 企業版部署需要裝置回寫。

注意

Windows Hello 企業版系結在使用者與裝置之間。 用戶和裝置都必須在 Microsoft Entra ID 與 Active Directory 之間進行同步處理。 裝置回寫可用來更新 msDS-KeyCredentialLink 計算機物件上的屬性。

如果您手動設定 AD FS,或是使用 自訂設定執行 Microsoft Entra Connect 同步處理,您必須確定要在 AD FS 伺服器陣列中設定 裝置回寫裝置驗證 。 如需詳細資訊, 請參閱設定裝置回寫和裝置驗證

公開金鑰基礎結構

需要企業公鑰基礎結構 (PKI) 作為驗證 的信任錨點 。 域控制器需要憑證,Windows 用戶端才能信任它們。
企業 PKI 和憑證註冊授權單位 (CRA) 必須發行驗證憑證給使用者。 混合式憑證信任部署會使用AD FS作為 CRA。

在 Windows Hello 企業版布建期間,用戶會透過 CRA 收到登入憑證。

後續步驟

符合必要條件之後,使用混合式密鑰信任模型部署 Windows Hello 企業版包含下列步驟:

  • 設定和驗證 PKI
  • 設定 AD FS
  • 設定 Windows Hello 企業版設定
  • 在 Windows 用戶端上布建 Windows Hello 企業版
  • 為已加入 Microsoft 的裝置設定單一登錄 (SSO)

下一步:設定和驗證公鑰基礎結構 >