Configurare Active Directory Federation Services in un modello di attendibilità dei certificati ibrido
Questo articolo descrive le funzionalità o gli scenari di Windows Hello for Business applicabili a:
-
Tipo di distribuzione:ibrido
-
Tipo di attendibilità:
-
Tipo di join:cui Microsoft Entra partecipa, i Aggiunta ibrida a Microsoft Entra
Le distribuzioni basate su certificati di Windows Hello for Business usano AD FS come autorità di registrazione certificati .
Il CRA è responsabile del rilascio e della revoca dei certificati agli utenti. Dopo aver verificato la richiesta di certificato, l'autorità di certificazione firma la richiesta di certificato utilizzando il certificato dell'agente di registrazione e lo invia all'autorità di certificazione.
Il cra si registra per un certificato dell'agente di registrazione e il modello di certificato di autenticazione di Windows Hello for Business è configurato per rilasciare certificati solo alle richieste firmate con un certificato dell'agente di registrazione.
Nota
Per consentire ad AD FS di verificare le richieste di certificati utente per Windows Hello for Business, deve essere in grado di accedere all'endpoint https://enterpriseregistration.windows.net .
Configurare l'autorità di registrazione certificati
Accedere al server AD FS con credenziali equivalenti all'amministratore di dominio .
Aprire un prompt di Windows PowerShell e digitare il comando seguente:
Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true
Nota
Se sono stati assegnati nomi diversi all'agente di registrazione di Windows Hello for Business e ai modelli di certificato di Autenticazione di Windows Hello for Business, sostituire WHFBEnrollmentAgent e WHFBAuthentication nel comando precedente con il nome dei modelli di certificato. È importante che usi il nome del modello anziché il nome visualizzato del modello. È possibile visualizzare il nome del modello nella scheda Generale del modello di certificato usando la console di gestione del modello di certificato (certtmpl.msc). In alternativa, è possibile visualizzare il nome del modello usando il Get-CATemplate cmdlet di PowerShell in una CA.
Registrazione del certificato dell'agente di registrazione
AD FS esegue la gestione del ciclo di vita dei certificati. Dopo aver configurato l'autorità di registrazione con il modello di certificato appropriato, il server AD FS tenta di registrare il certificato alla prima richiesta di certificato o quando il servizio viene avviato per la prima volta.
Circa 60 giorni prima della scadenza del certificato dell'agente di registrazione, il servizio AD FS tenta di rinnovare il certificato fino a quando non ha esito positivo. Se il certificato non viene rinnovato e il certificato scade, il server AD FS richiede un nuovo certificato dell'agente di registrazione. Puoi visualizzare i registri eventi di AD FS per determinare lo stato del certificato dell'agente di registrazione.
Appartenenze a gruppi per l'account del servizio AD FS
L'account del servizio AD FS deve essere membro del gruppo di sicurezza di destinazione della registrazione automatica del modello di certificato di autenticazione, ad esempio Window Hello for Business Users. Il gruppo di sicurezza fornisce al servizio AD FS le autorizzazioni necessarie per registrare un certificato di autenticazione di Windows Hello for Business per conto dell'utente di provisioning.
Suggerimento
L'account adfssvc è l'account del servizio AD FS.
Accedi a una workstation di gestione o controller di dominio con le credenziali equivalenti Domain Admin.
- Apri Utenti e computer di Active Directory
- Cercare il gruppo di sicurezza di destinazione della registrazione automatica del modello di certificato di autenticazione (ad esempio, Window Hello for Business Users)
- Selezionare la scheda Membri e selezionare Aggiungi
- Nella casella di testo Immettere i nomi degli oggetti da selezionare digitare adfssvc o sostituire il nome dell'account del servizio AD FS nella distribuzione > di AD FS OK
- Selezionare OK per tornare a Utenti e computer di Active Directory
- Riavviare il server AD FS
Nota
Per AD FS 2019 e versioni successive in un modello di attendibilità del certificato, esiste un problema noto di PRT. È possibile che si verifichi questo errore nei log eventi dell'amministratore di AD FS: richiesta Oauth non valida ricevuta. Il client 'NAME' non è autorizzato ad accedere alla risorsa con ambito 'ugs'. Per altre informazioni sull'isse e sulla relativa risoluzione, vedere Provisioning dell'attendibilità dei certificati con AD FS interrotto in Windows Server 2019.
Revisione della sezione e passaggi successivi
Prima di passare alla sezione successiva, verificare che i passaggi seguenti siano completati:
- Configurare l'autorità di registrazione certificati
- Aggiornare le appartenenze ai gruppi per l'account del servizio AD FS