前提条件

組織で Windows Hello for Business を有効化するときには、どの展開モデルとトラストタイプが組織に合うかを決定する必要があります。Microsoft は 5 つの導入モデルとトラストタイプの組み合わせをサポートしています。

どのモデルを使用するべきかについての詳細は、Microsoft の公式文書『Windows Hello for Business の導入を計画する』および『Windows Hello for Business 展開前提条件の概要』を参照してください。

Microsoft の前提条件に関する文書で指摘されている Windows Server 認証局については、Digicert で取り扱っているため、考慮する必要はありません。

現在、DigiCert は Hybrid Azure AD 参加の証明書信頼展開モデルをサポートしていますが、追加で証明書ベースの信頼展開をサポートすることを計画中です。DigiCert は 2 つの鍵信頼展開モデルのいずれもサポートしていません。

次に、Hybrid Azure AD 参加の証明書信頼展開に向けて Windows Hello for Business ソリューションをセットアップするために必要なステップを示します。これらは公式の Microsoft 展開ガイドで概説されているステップです。各ステップのリンクから公式の Microsoft 文書が確認できます。

ステップ 5-a. 『Active Directory』までのすべてのステップを行う必要がありますが、ステップ 3.『新しいインストールベースライン』の「公開鍵基盤」セクションはスキップします。また、5-b. 『公開鍵基盤』および 5-c. 『Active Directory フェデレーションサービス』をスキップし、5-d. 『グループポリシー』を最初に完了します。この文書は、Windows Server 認証局を DigiCert 認証局と置き換えで、これらのセクションを代替します。

この文書で取り扱っているすべてのステップが完了したら、ステップ 6.『サインインおよびプロビジョニング』に進むことができます。すべての設定が適切にされていれば、ユーザーが Windows マシンにログオンすると、プロビジョニングが開始されます。

Windows Hello for Business の証明書を DigiCert 認証局から発行できるようにするには、DigiCert Autoenrollment Server を自社の Windows ドメインにインストールし、設定する必要があります。『DigiCert® Trust Lifecycle Manager | Autoenrollment Server 導入ガイド』の指示に従って、インストールおよび設定を行います。

文書のすべてのステップを完了する必要がありますが、まず始めに、Windows Hello for Business ではない証明書プロファイルを使用して証明書を発行できるかどうか確認することをお勧めします。Windows Hello for Business の発行プロセスは複雑なので、Windows Hello for Business ソリューションを設定する前に、Autoenrollment Server が証明書を発行できることを確認しておけばトラブルシューティングがより容易になります。

DigiCert には、DigiCert Autoenrollment Server および Windows Server 2022 で動作する ADFS の適格な Windows Hello for Business ソリューション があります。 

前のバージョンの Windows Server でも機能する可能性がありますが、公式に認可されておらず、DigiCert も正式に発表していません。