Настройка и регистрация Windows Hello для бизнеса в локальной модели доверия к ключам
В этой статье описаны Windows Hello для бизнеса функциональные возможности или сценарии, которые применяются к:
- Тип развертывания: в локальной среде
- Тип доверия..
- Тип соединения..
После выполнения предварительных требований и проверки конфигураций PKI и AD FS развертывание Windows Hello для бизнеса состоит из следующих действий.
Настройка параметров политик Windows Hello для бизнеса
Для включения Windows Hello для бизнеса в модели доверия ключей требуется 1 параметр политики:
Другой необязательный, но рекомендуемый параметр политики:
Параметр политики Use Windows Hello для бизнеса можно настроить на компьютере или узле пользователя объекта групповой политики:
- Развертывание параметра политики узла компьютера приводит к тому, что все пользователи, которые входят на целевые устройства для попытки регистрации Windows Hello для бизнеса.
- Развертывание параметра политики узла пользователя приводит к тому, что только целевые пользователи будут пытаться Windows Hello для бизнеса регистрации.
Если развернуты параметры политики и для пользователей, и для компьютеров, параметр политики для пользователей имеет приоритет.
Чтобы настроить устройство с помощью групповой политики, используйте локальный групповая политика Редактор. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:
| Путь к групповой политике | Параметр групповой политики | Значение |
|---|---|---|
| Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса или Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса |
Использовать Windows Hello для бизнеса | Enabled |
| Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса | Использование устройства аппаратной защиты | Enabled |
Групповые политики можно связать с доменами или подразделениями, отфильтровать с помощью групп безопасности или отфильтровать с помощью фильтров WMI.
Совет
Лучший способ развернуть объект групповой политики Windows Hello для бизнеса — использовать фильтрацию групп безопасности. Только члены целевой группы безопасности будут подготавливать Windows Hello для бизнеса, что позволяет поэтапное развертывание. Это решение позволяет связать объект групповой политики с доменом, гарантируя, что объект групповой политики ограничен всеми субъектами безопасности. Фильтрация групп безопасности гарантирует, что только члены глобальной группы получают и применяют объект групповой политики, что приводит к подготовке Windows Hello для бизнеса.
Дополнительные параметры политики можно настроить для управления поведением Windows Hello для бизнеса. Дополнительные сведения см. в разделе параметры политики Windows Hello для бизнеса.
Регистрация в Windows Hello для бизнеса
Процесс подготовки Windows Hello для бизнеса начинается сразу после загрузки профиля пользователя и до того, как пользователь получит свой рабочий стол. Чтобы начать процесс подготовки, все проверки готовности должны пройти.
Состояние проверок предварительных требований можно определить, просмотрев журнал администратора регистрации устройств пользователей в разделе Журналы > приложений и служб Microsoft > Windows.
Эти сведения также доступны с помощью dsregcmd.exe /status команды из консоли. Дополнительные сведения см. в разделе dsregcmd.
Взаимодействие с пользователем
После входа пользователя начинается процесс регистрации Windows Hello для бизнеса:
- Если устройство поддерживает биометрическую проверку подлинности, пользователю будет предложено настроить биометрический жест. Этот жест можно использовать для разблокировки устройства и проверки подлинности для ресурсов, которым требуется Windows Hello для бизнеса. Пользователь может пропустить этот шаг, если не хочет настраивать биометрический жест
- Пользователю будет предложено использовать Windows Hello с учетной записью организации. Пользователь нажимает кнопку ОК.
- Поток подготовки переходит к части регистрации с многофакторной проверкой подлинности. Подготовка информирует пользователя о том, что он активно пытается связаться с пользователем через настроенную форму MFA. Процесс подготовки не продолжается до тех пор, пока проверка подлинности не будет выполнена успешно, не произойдет сбой или не истекает время ожидания. Сбой или истечение времени ожидания MFA приводит к ошибке и просит пользователя повторить попытку.
- После успешной многофакторной идентификации в рамках процесса подготовки пользователь получает запрос на создание и проверку PIN-кода. Этот ПИН-код должен соблюдать все политики сложности ПИН-кода, настроенные на устройстве.
- На завершающем этапе подготовки служба Windows Hello для бизнеса запрашивает пару асимметричных ключей для пользователя, предпочтительно (или обязательно, если этого явно требует политика) от доверенного платформенного модуля. После получения пары ключей Windows взаимодействует с поставщиком удостоверений для регистрации открытого ключа. После завершения регистрации ключа Windows Hello для бизнеса подготовки уведомляет пользователя о том, что он может использовать свой ПИН-код для входа. Пользователь может закрыть приложение подготовки и получить доступ к рабочему столу.
Схема последовательностей
Чтобы лучше понять потоки подготовки, просмотрите следующую схему последовательностей:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по