在混合式憑證信任模型中設定 Active Directory 同盟服務
本文說明適用於下列專案的 Windows Hello 企業版功能或案例:
- 部署類型:混合式
- 信任類型:信任
- 聯結類型:,Microsoft加入 Entra,Microsoft,Microsoft Entra 混合式聯結
Windows Hello 企業版憑證型部署會使用 AD FS 作為 CRA) (證書註冊授權單位。
CRA 負責對使用者發出和撤銷憑證。 一旦登錄授權單位驗證憑證要求後,它會使用其註冊代理程式憑證簽署憑證要求,並將它傳送至憑證授權單位。
CRA 會註冊 註冊代理程序憑證,並將 Windows Hello 企業版 驗證證書範本 設定為只發行憑證給使用註冊代理程式憑證簽署的要求。
注意
為了讓AD FS驗證 Windows Hello 企業版的用戶憑證要求,它必須能夠存取 https://enterpriseregistration.windows.net
端點。
設定憑證註冊授權單位
使用網 域系統管理員 對等認證登入AD FS 伺服器。
開啟 Windows PowerShell 提示字元,然後輸入下列命令:
Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true
注意
如果您為 Windows Hello 企業版註冊代理程式和 Windows Hello 企業版驗證證書範本提供不同的名稱,請將上述命令中的 WHFBEnrollmentAgent 和WHFBAuthentication 取代為您的證書範本名稱。 務必使用範本名稱,而非範本顯示名稱。 您可以使用證書範本管理控制台 (certtmpl.msc) ,在證書範本的 [一 般 ] 索引卷標上檢視 範本 名稱。 或者,您可以在 CA 上使用 Get-CATemplate
PowerShell Cmdlet 來檢視範本名稱。
註冊代理程序憑證註冊
AD FS 會執行自己的憑證生命週期管理。 一旦登錄授權單位設定了適當的憑證範本,AD FS 伺服器就會在收到第一個憑證要求或服務第一次啟動時嘗試註冊憑證。
在註冊代理程序憑證到期前大約 60 天,AD FS 服務會嘗試更新憑證,直到憑證成功為止。 如果憑證無法更新,且憑證過期,AD FS 伺服器會要求新的註冊代理程序憑證。 您可以檢視 AD FS 事件記錄,判斷註冊代理程式憑證的狀態。
AD FS 服務帳戶的群組成員資格
AD FS 服務帳戶必須是驗證證書範本自動註冊 (之目標安全組的成員,例如 Window Hello 企業版使用者) 。 安全組會為AD FS服務提供代表布建用戶註冊 Windows Hello 企業版驗證憑證所需的許可權。
提示
adfssvc 帳戶是 AD FS 服務帳戶。
使用 Domain Admin 對等認證登入網域控制站或管理工作站。
- 開啟 \[Active Directory 使用者和電腦\]。
- 搜尋驗證證書範本自動註冊 (設為目標的安全組,例如 Window Hello 企業版使用者)
- 選取 [ 成員] 索引 標籤,然後選取 [ 新增]
- 在 [輸入要選取的物件名稱] 文本框中,輸入 adfssvc,或在 AD FS 部署 >OK 中取代 AD FS 服務帳戶的名稱
- 選取 [確定 ] 以返回 [Active Directory 使用者和計算機]
- 重新啟動AD FS 伺服器
注意
針對憑證信任模型中的 AD FS 2019 和更新版本,已知 PRT 問題存在。 您可能會在 AD FS 管理事件記錄檔中遇到此錯誤:收到無效的 Oauth 要求。 禁止用戶端 'NAME' 存取範圍為 'ugs' 的資源。 如需有關Isse及其解決方式的詳細資訊,請參閱 Windows Server 2019 上已中斷 AD FS 的憑證信任布建。
區段檢閱和後續步驟
移至下一節之前,請確定下列步驟已完成:
- 設定憑證註冊授權單位
- 更新 AD FS 服務帳戶的群組成員資格