在混合式憑證信任模型中設定 Active Directory 同盟服務

本文說明 Windows Hello 企業版 適用的功能或案例:

Windows Hello 企業版 憑證型部署會使用AD FS作為 CRA) (證書註冊授權單位。 CRA 負責對使用者發出和撤銷憑證。 一旦登錄授權單位驗證憑證要求後,它會使用其註冊代理程式憑證簽署憑證要求,並將它傳送至憑證授權單位。
CRA 會註冊註冊代理程序憑證,而 Windows Hello 企業版 驗證證書範本會設定為只發行憑證給使用註冊代理程序憑證簽署的要求。

注意

為了讓AD FS驗證 Windows Hello 企業版的用戶憑證要求,它必須能夠存取https://enterpriseregistration.windows.net端點。

設定憑證註冊授權單位

使用網 域系統管理員 對等認證登入AD FS 伺服器。

啟 Windows PowerShell 提示字元,然後輸入下列命令:

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

注意

如果您提供 Windows Hello 企業版 註冊代理程式,並 Windows Hello 企業版 驗證證書範本不同的名稱,請將上述命令中的 WHFBEnrollmentAgent 和WHFBAuthentication 取代為您的證書範本名稱。 務必使用範本名稱,而非範本顯示名稱。 您可以使用證書範本管理控制台 (certtmpl.msc) ,在證書範本的 [一 ] 索引卷標上檢視 範本 名稱。 或者,您可以在 CA 上使用 Get-CATemplate PowerShell Cmdlet 來檢視範本名稱。

註冊代理程序憑證註冊

AD FS 會執行自己的憑證生命週期管理。 一旦登錄授權單位設定了適當的憑證範本,AD FS 伺服器就會在收到第一個憑證要求或服務第一次啟動時嘗試註冊憑證。

在註冊代理程序憑證到期前大約 60 天,AD FS 服務會嘗試更新憑證,直到憑證成功為止。 如果憑證無法更新,且憑證過期,AD FS 伺服器會要求新的註冊代理程序憑證。 您可以檢視 AD FS 事件記錄,判斷註冊代理程式憑證的狀態。

AD FS 服務帳戶的群組成員資格

AD FS 服務帳戶必須是驗證證書範本自動註冊 (之目標安全組的成員,例如 Window Hello 企業版使用者) 。 安全組會為AD FS服務提供代表布建用戶註冊 Windows Hello 企業版 驗證憑證所需的許可權。

提示

adfssvc 帳戶是 AD FS 服務帳戶。

使用 Domain Admin 對等認證登入網域控制站或管理工作站。

  1. 開啟 \[Active Directory 使用者和電腦\]
  2. 搜尋驗證證書範本自動註冊 (設為目標的安全組,例如 Window Hello 企業版使用者)
  3. 選取 [ 成員] 索引 標籤,然後選取 [ 新增]
  4. 在 [輸入要選取的物件名稱] 文本框中,輸入 adfssvc,或在 AD FS 部署 >OK 中取代 AD FS 服務帳戶的名稱
  5. 選取 [確定] 以返回 Active Directory 使用者和電腦
  6. 重新啟動AD FS 伺服器

注意

針對混合式憑證信任模型中的AD FS 2019,存在PRT問題。 您可能會在 AD FS 管理員 事件記錄檔中遇到此錯誤:收到無效的 Oauth 要求。禁止用戶端 'NAME' 存取範圍為 'ugs' 的資源。 若要補救此錯誤:

  1. 啟動AD FS管理主控台並瀏覽至 服務 > 範圍描述
  2. 以滑鼠右鍵按兩下 [範圍描述] ,然後選取 [ 新增範圍描述]
  3. 在 [名稱] 底下輸入 ugs ,然後選取 [ 套用 > 確定]
  4. 以系統管理員身分啟動PowerShell
  5. 取得應用程式許可權ClientRoleIdentifierObjectIdentifier,其 參數等於 38aa3b87-a06d-4817-b275-7a316988d93b
(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
  1. 執行 命令 Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'
  2. 重新啟動AD FS服務
  3. 在用戶端上:重新啟動用戶端。 系統應該會提示使用者布建 Windows Hello 企業版

區段檢閱和後續步驟

移至下一節之前,請確定下列步驟已完成:

  • 設定憑證註冊授權單位
  • 更新 AD FS 服務帳戶的群組成員資格

下一步:設定原則設定 >