Configurer les services de fédération Active Directory dans un modèle d’approbation de certificat hybride

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Cet article décrit les fonctionnalités ou scénarios windows Hello Entreprise qui s’appliquent à :

• Type de déploiement :
• Type d’approbation :
• Type de jointure :microsoft Entra join , , jointure hybride Microsoft Entra

---

Les déploiements basés sur des certificats Windows Hello Entreprise utilisent AD FS comme autorité d’inscription de certificat (CRA). L’ARC est responsable de l’émission et de la révocation des certificats aux utilisateurs. Une fois que l’autorité d’inscription vérifie la demande de certificat, elle signe la demande de certificat à l’aide de son certificat d’agent d’inscription et l’envoie à l’autorité de certification.
L’ARC s’inscrit pour un certificat d’agent d’inscription, et le modèle de certificat d’authentification Windows Hello Entreprise est configuré pour émettre uniquement des certificats aux demandes signées avec un certificat d’agent d’inscription.

Remarque

Pour qu’AD FS puisse vérifier les demandes de certificat utilisateur pour Windows Hello Entreprise, il doit pouvoir accéder au point de https://enterpriseregistration.windows.net terminaison.

Configurer l’autorité d’inscription de certificat

Connectez-vous au serveur AD FS avec des informations d’identification équivalentes à l’administrateur de domaine .

Ouvrez une invite Windows PowerShell et tapez la commande suivante :

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

Remarque

Si vous avez donné des noms différents à votre agent d’inscription Windows Hello Entreprise et à vos modèles de certificat d’authentification Windows Hello Entreprise, remplacez WHFBEnrollmentAgent et WHFBAuthentication dans la commande ci-dessus par le nom de vos modèles de certificat. Il est important que vous utilisiez le nom du modèle plutôt que le nom d'affichage du modèle. Vous pouvez afficher le nom du modèle sous l’onglet Général du modèle de certificat à l’aide de la console de gestion du modèle de certificat (certtmpl.msc). Vous pouvez également afficher le nom du modèle à l’aide de l’applet Get-CATemplate de commande PowerShell sur une autorité de certification.

Inscription du certificat de l’agent d’inscription

AD FS effectue sa propre gestion du cycle de vie des certificats. Une fois que l’autorité d’inscription est configurée avec le modèle de certificat approprié, le serveur AD FS tente d’inscrire le certificat lors de la première demande de certificat ou lors du premier démarrage du service.

Environ 60 jours avant l’expiration du certificat de l’agent d’inscription, le service AD FS tente de renouveler le certificat jusqu’à ce qu’il réussisse. Si le certificat ne parvient pas à être renouvelé et que le certificat expire, le serveur AD FS demande un nouveau certificat d’agent d’inscription. Vous pouvez afficher les journaux d'événements AD FS pour déterminer l’état du certificat de l’agent Inscription.

Appartenances aux groupes pour le compte de service AD FS

Le compte de service AD FS doit être membre du groupe de sécurité ciblé par l’inscription automatique du modèle de certificat d’authentification (par exemple, Windows Hello Entreprise Utilisateurs). Le groupe de sécurité fournit au service AD FS les autorisations nécessaires pour inscrire un certificat d’authentification Windows Hello Entreprise pour le compte de l’utilisateur de provisionnement.

Astuce

Le compte adfssvc est le compte de service AD FS.

Connectez-vous à un contrôleur de domaine ou une station de travail de gestion à l’aide d’informations d’identification correspondant à l'administrateur de domaine.

1. Ouvrez Utilisateurs et ordinateurs Active Directory.
2. Recherchez le groupe de sécurité ciblé par l’inscription automatique du modèle de certificat d’authentification (par exemple, Windows Hello Entreprise Utilisateurs)
3. Sélectionnez l’onglet Membres et sélectionnez Ajouter
4. Dans la zone de texte Entrez les noms d’objets à sélectionner, tapez adfssvc ou remplacez le nom du compte de service AD FS dans votre déploiement > AD FS OK
5. Sélectionnez OK pour revenir à Utilisateurs et ordinateurs Active Directory.
6. Redémarrer le serveur AD FS

Remarque

Pour AD FS 2019 et versions ultérieures dans un modèle d’approbation de certificat, un problème PRT connu existe. Vous pouvez rencontrer cette erreur dans les journaux des événements d’administration AD FS : Demande Oauth non valide reçue. Le client 'NAME' est interdit d’accéder à la ressource avec l’étendue 'ugs'. Pour plus d’informations sur l’isse et sa résolution, consultez Provisionnement de l’approbation de certificat avec AD FS rompu sur Windows Server 2019.

Révision de la section et étapes suivantes

Avant de passer à la section suivante, vérifiez que les étapes suivantes sont effectuées :

• Configurer l’autorité d’inscription de certificat
• Mettre à jour des appartenances à des groupes pour le compte de service AD FS

Suivant : configurer les paramètres de stratégie >