ハイブリッド環境におけるWindows Hello for Business の展開について

前提条件

• オンプレADサーバはWindows2016以上
• AzureAD Connect（以下、AADC）で同期していること。また、パスワードハッシュ同期を構成していること。
• コンピューター オブジェクトが特定の組織単位 (OU) に属している場合、これらの OU も、Azure AD Connect での同期用に構成する必要がある。
• https://device.login.microsoftonline.comへのアクセスが問題ないこと。
  詳細はこちら。

データ損失防止や Azure AD テナントの制限などのシナリオで SSL トラフィックを傍受するプロキシ サーバーを組織で使用している場合は、'https://device.login.microsoftonline.com ' へのトラフィックが TLS の中断と検査から除外されていることを確認してください。
'https://device.login.microsoftonline.com ' を除外しないと、クライアント証明書の認証に干渉し、デバイス登録とデバイスベースの条件付きアクセスに問題が発生する可能性があります。

• AADCの既定の同期ルールを変更・削除しないこと

Configure Permissions for Key Synchronization

ADFSがない環境の場合、キー信頼の展開をする。一連の流れはこちらのページがとても詳細に書いてある。
ハイブリッド Azure AD に参加しているキー信頼の展開

引っかかったポイント

自分が引っ掛かったポイントは、CRL配布ポイント（CDP）のリストに古いADサーバの情報が残っていたためにエラーになっていたところ。
ADサーバの入れ替えなどの残骸と思われるが、これを削除することでうまくいった。
CDPの画面はこちらから。
証明機関スナップイン（certsrv.msc)を開く。
証明機関（ローカル）＞ CA名 を右クリック > プロパティ > 拡張機能タブを開く。
リスト内の古いレコードを選択して、削除する。

参考リンク

Configure Hybrid Azure AD joined Windows Hello for Business: Directory Synchronization
ハイブリッド Azure AD Hello for business Windowsに参加しました
日本語がちょっとおかしいので英語版も
Hybrid Azure AD joined Windows Hello for Business Prerequisites