「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その5）：vNextに備えよ！次期Windows Serverのココに注目（64：特別編）（1/2 ページ）

Windows Server 2016による「Windows Hello for Business」のオンプレミス展開を検証し、実装のポイントやユーザーエクスペリエンスをレポート。今回は、「デバイス登録サービス」の有効化とWindows 10デバイスのディレクトリ同期、自動デバイス登録の準備を解説します。

» 2016年11月25日 05時00分公開

[山市良，テクニカルライター]

印刷

通知

連載「％」の新着をメールで通知

鬯ｮ�ｫ驕ｨ繧托ｽｽ�ｹ隴趣ｽ｢�ｽ�ｽ�ｽ�ｽPost

Windows Hello for Businessのオンプレミス展開を実践・検証

　本稿では、最新版のWindows Server 2016とWindows 10を使用して「Windows Hello for Business」（旧称、Microsoft Passport for Work）のオンプレミス展開を実装し、その機能を検証していきます。

　前回は、「Azure Active Directory（Azure AD）」のディレクトリとオンプレミスのActive Directoryドメインのディレクトリ統合を解説しました。「デバイス登録サービス（Device Registration Service）」の有効化と、Windows 10デバイスのディレクトリ同期、自動デバイス登録の準備を解説します。

Windows Helloとは（マイクロソフト）
Windows Hello生体認証の企業利用（Windows IT Center）

AD FSの「デバイス登録サービス」をドメイン参加済みWindows 10用に準備する

　「Active Directoryフェデレーションサービス（AD FS）」の「デバイス登録サービス（Device Registration Service）」を有効化し、ドメイン参加済みWindows 10の自動デバイス登録用に構成します。

●デバイス登録サービスとデバイス認証の有効化

　AD FSを実行するサーバでWindows PowerShellを開き、次のコマンドラインを実行します。これで、「デバイス登録サービス」と「デバイス認証」の有効化が完了します。この作業は、「AD FSの管理」スナップインのGUIで実行することも可能です（画面1）。

PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName <Active Directoryフェデレーションサービスのサービスアカウントの資格情報（ドメイン名\ユーザー名）>
PS C:\> Enable-AdfsDeviceRegistration
PS C:\> Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

「デバイス登録サービス」と「デバイス認証」を有効化する

画面1　「AD FSの管理」スナップインから「デバイス登録サービス」と「デバイス認証」を有効化する

●Windows 10デバイスのディレクトリ同期の準備

　Azure AD ConnectをAD FSと別のサーバにインストールした場合は、Azure AD Connectの「C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1」をAD FSのサーバにコピーします。また、次の作業に進む前に、AD FSのサーバに以下の前提コンポーネントをインストールします。

リモートサーバ管理ツールの「AD DSスナップインおよびコマンドラインツール」（RSAT-ADDS-Tools）
リモートサーバ管理ツールの「Windows PowerShellのActive Directoryモジュール」（RSAT-AD-PowerShell）
Windows PowerShell用Windows Azure Active Directoryモジュール
ITプロフェッショナル用Microsoft Online ServicesサインインアシスタントRTW

　上記の前提コンポーネントをインストールしたら、AD FSのサーバで次の操作を行います。

（1）Windows PowerShellを開き、以下のコマンドラインを実行します。Azure AD Connectorのサービスアカウントが不明の場合は、「Azure AD Connectorウィザード」を実行して「追加のタスク」ページで「現在の構成を表示する」を選択して「ACCOUNT」を確認してください。

PS C:\> Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1（またはAdSyncPrep.psm1をコピーしたパス）"
PS C:\> $aadAdminCred = Get-Credential　(Azure ADのテナント管理者の資格情報を入力)
PS C:\> Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount <Azure AD Connectorのサービスアカウントの資格情報（ドメイン名\ユーザー名）> -AzureADCredentials $aadAdminCred
PS C:\> Initialize-ADSyncDeviceWriteBack -DomainName <オンプレミスのActive DirectoryドメインのDNS名> -AdConnectorAccount <Azure AD Connectorのサービスアカウントの資格情報（ドメイン名\ユーザー名）>
PS C:\> Initialize-ADSyncNGCKeysWriteBack -AdConnectorAccount <Azure AD Connectorのサービスアカウントの資格情報（ドメイン名\ユーザー名）>

（2）さらに、次のコマンドラインを実行します。このコマンドラインは、「Azure AD Connectウィザード」によりAD FSに追加された証明書利用者信頼「Microsoft Office 365 Identity Platform」に要求発行規則を追加します。

PS C:\> $existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules
PS C:\> $rule1 = '@RuleName = "Issue object GUID"
      c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "515$", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] &&
      c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"]
      => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), query = ";objectguid;{0}", param = c2.Value);'
PS C:\> $rule2 = '@RuleName = "Issue account type for domain joined computers"
      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "515$", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"]
      => issue(Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", Value = "DJ");'
PS C:\> $rule3 = '@RuleName = "Pass through primary SID"
      c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "515$", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"] &&
      c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"]
      => issue(claim = c2);'
PS C:\> $updatedRules = $existingRules + $rule1 + $rule2 + $rule3
PS C:\> $crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules
PS C:\> Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString

　なお、この操作を行うためのスクリプトは、以下のドキュメントからコピーできます。

Connect domain-joined devices to Azure AD for Windows 10 experiences［英語］（Microsoft Azure）

（3）最後に、次のコマンドラインを実行して、AD FSの2つのエンドポイントを有効化し、サービスを再起動します。

PS C:\>	Enable-AdfsEndpoint -TargetAddressPath "/adfs/services/trust/13/windowstransport"
PS C:\>	Enable-AdfsEndpoint -TargetAddressPath "/adfs/services/trust/2005/windowstransport"
PS C:\>	Restart-Service -Name adfssrv