Active Directory フェデレーションサービスをセットアップする
証明書テンプレートがインポートされ、アクセス権限が付与された後、Windows Hello for Business と AD FS 向けに使用するために、登録局テンプレートを設定する必要があります。このセクションは Microsoft 公式文書の『Active Directory フェデレーションサービス』の最初の部分ですが、DigiCert Autoenrollment Server を使用するときに、Windows Hello for Business 申請エージェントと Windows Hello for Business 認証テンプレート名に何を指定するかについて、少し詳しい情報を提供しています。
登録局を設定するには、次の操作を実行します。
Domain Adminと同等のクレデンシャルで AD FS サーバーにサインインします。[Windows PowerShell] プロンプトを開きます。
次のコマンドを入力します。
Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate <Windows Hello for Business Enrollment Agent Profile GUID> -WindowsHelloCertificateTemplate <Windows Hello for Business Authentication Profile GUID> -WindowsHelloCertificateProxyEnabled $true
<Windows Hello for Business Enrollment Agent Profile GUID> には、Microsoft® Enrollment Agent 証明書テンプレートを使用して作成したプロファイルの[プロファイル GUID] を入力します。
<Windows Hello for Business Authentication Profile GUID> には、Windows Hello for Business 認証テンプレートを使用して作成したプロファイルの[プロファイル GUID] を入力します。
例えば、入力したコマンドは次のようになります。
Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate 919b8c5a-7f7b-47ee-a06b-b020737ebc93 -WindowsHelloCertificateTemplate c6dfa503-be5a-4c07-ad22-df14432f0666 -WindowsHelloCertificateProxyEnabled $true
上記の設定が完了した後、Microsoft 公式文書の 『Active Directory フェデレーションサービス』で「AD FS サービスアカウントのグループメンバーシップ」から続けます。
また、「ugs」スコープが文書の注セクションで指摘されたように正確に設定されていることを確認します。この「ugs」スコープが正しく設定されていないとプロビジョニングが開始されないため、これは非常に重要です。