Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Windows Hello dla firm jest idealnym rozwiązaniem dla pracowników przetwarzających informacje, którzy mają własne wyznaczone komputery z systemem Windows. Poświadczenia biometryczne i PIN są bezpośrednio powiązane z komputerem użytkownika, co uniemożliwia dostęp osobie innej niż właściciel. Dzięki integracji infrastruktury kluczy publicznych (PKI) i wbudowanej obsłudze logowania jednokrotnego usługa Windows Hello dla firm zapewnia wygodną metodę bezproblemowego uzyskiwania dostępu do zasobów firmowych lokalnie i w chmurze.
Jak działa logowanie dla usługi Windows Hello dla firm w usłudze Microsoft Entra ID
W poniższych krokach pokazano, jak działa proces logowania z identyfikatorem Entra firmy Microsoft:
- Użytkownik loguje się do systemu Windows przy użyciu gestu biometrycznego lub numeru PIN. Gest odblokuje klucz prywatny Windows Hello dla firm i jest wysyłany do dostawcy pomocy technicznej zabezpieczeń uwierzytelniania w chmurze o nazwie Cloud Authentication Provider (CloudAP). Aby uzyskać więcej informacji na temat usługi CloudAP, zobacz Co to jest podstawowy token odświeżania?.
- Usługa CloudAP żąda jednorazowej wartości (losowej dowolnej liczby, której można używać raz) z Microsoft Entra ID.
- Identyfikator Microsoft Entra zwraca jednorazowy kod ważny przez 5 minut.
- Usługa CloudAP podpisuje liczbę jednorazową przy użyciu klucza prywatnego użytkownika i zwraca podpisaną liczbę jednorazową do Entra ID firmy Microsoft.
- Microsoft Entra ID weryfikuje podpisany nonce przy użyciu bezpiecznie zarejestrowanego klucza publicznego użytkownika, porównując go z podpisem nonce. Identyfikator Entra firmy Microsoft weryfikuje podpis, a następnie weryfikuje zwrócony podpisany element. Po zweryfikowaniu splotu, Microsoft Entra ID tworzy podstawowy token odświeżania (PRT) z kluczem sesji zaszyfrowanym przy użyciu klucza transportowego urządzenia i zwraca go do CloudAP.
- CloudAP odbiera zaszyfrowany PRT z kluczem sesji. Usługa CloudAP używa prywatnego klucza transportu urządzenia do odszyfrowania klucza sesji i chroni klucz sesji przy użyciu modułu TPM (Trusted Platform Module) urządzenia.
- Usługa CloudAP zwraca pomyślną odpowiedź uwierzytelniania na system Windows. Następnie użytkownik może uzyskiwać dostęp do aplikacji systemu Windows i chmury i aplikacji lokalnych przy użyciu bezproblemowego logowania jednokrotnego.
Przewodnik planowania Windows Hello dla firm może pomóc w podejmowaniu decyzji dotyczących typu wdrożenia Windows Hello dla firm i opcji, które należy wziąć pod uwagę.