ハイブリッド環境におけるWindows Hello for Business の展開について
前提条件
- オンプレADサーバはWindows2016以上
- AzureAD Connect(以下、AADC)で同期していること。また、パスワードハッシュ同期を構成していること。
- コンピューター オブジェクトが特定の組織単位 (OU) に属している場合、これらの OU も、Azure AD Connect での同期用に構成する必要がある。
-
https://device.login.microsoftonline.comへのアクセスが問題ないこと。
詳細はこちら。
データ損失防止や Azure AD テナントの制限などのシナリオで SSL トラフィックを傍受するプロキシ サーバーを組織で使用している場合は、'https://device.login.microsoftonline.com ' へのトラフィックが TLS の中断と検査から除外されていることを確認してください。
'https://device.login.microsoftonline.com ' を除外しないと、クライアント証明書の認証に干渉し、デバイス登録とデバイスベースの条件付きアクセスに問題が発生する可能性があります。
- AADCの既定の同期ルールを変更・削除しないこと
Configure Permissions for Key Synchronization
ADFSがない環境の場合、キー信頼の展開をする。一連の流れはこちらのページがとても詳細に書いてある。
ハイブリッド Azure AD に参加しているキー信頼の展開
引っかかったポイント
自分が引っ掛かったポイントは、CRL配布ポイント(CDP)のリストに古いADサーバの情報が残っていたためにエラーになっていたところ。
ADサーバの入れ替えなどの残骸と思われるが、これを削除することでうまくいった。
CDPの画面はこちらから。
証明機関スナップイン(certsrv.msc)を開く。
証明機関(ローカル)> CA名 を右クリック > プロパティ > 拡張機能タブを開く。
リスト内の古いレコードを選択して、削除する。
参考リンク
Configure Hybrid Azure AD joined Windows Hello for Business: Directory Synchronization
ハイブリッド Azure AD Hello for business Windowsに参加しました
日本語がちょっとおかしいので英語版も
Hybrid Azure AD joined Windows Hello for Business Prerequisites
Discussion