前提

• Windows Server 2012 R2以上のサーバが一つ以上
  (AD CS / スキーマアップグレード後のAD DS)
• Windows Server 2016 のサーバが一つ
  (AD FS / AD DS(アップグレード用))
  （ラボ環境であれば2016のサーバが一つあればOK.)
• Azure ADのテナントをつくる
  （Azure AD Premiumのライセンスが必要か不明）

というのを満たせばWindows Hello for Business(以下WHFB)のハイブリッド証明書構成を構築することが出来ます。
WHFBのキー信頼構成を行うとAD CSの構築は不要ですが、ドメインコントローラのどれか1台にWindows Server 2016 が必ず必要になります。

工程

工程は次のようになります

• AD DSのインストール
  (Windows Server 2012の場合には2016スキーマへアップグレード)
• AD DSの設定
• AD CSのインストール
• AD CSの設定
• AD FSのインストール
• AD FSの設定
• AAD Connectorのインストール
• AAD Connectorの設定
• GPOの設定
• Device Registrationの確認
• ユーザごとのPIN設定

（そのうち続く）