Планирование развертывания Windows Hello для бизнеса

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Поздравляем! Вы предпринимаете первый шаг вперед, помогая организациям перейти от пароля к двухфакторной удобной проверке подлинности для Windows — Windows Hello для бизнеса. Это руководство по планированию поможет вам разобраться в различных топологиях, архитектурах и компонентах, составляющих инфраструктуру Windows Hello для бизнеса.

В этом руководстве описывается роль каждого компонента Windows Hello для бизнеса, а также влияние определенных решений при развертывании на другие аспекты инфраструктуры. Вооружившись листом планирования, вы будете использовать эти сведения, чтобы выбрать правильное руководство по развертыванию в соответствии с вашими потребностями.

Примечание.

Если у вас есть клиент Azure, вы можете использовать интерактивный интерактивный мастер без пароля в Интернете, который использует те же варианты, а не использовать наше руководство вручную ниже. Мастер без пароля доступен в Центр администрирования Microsoft 365.

Использование этого руководства

Существует множество вариантов развертывания Windows Hello для бизнеса. Благодаря их обилию практически любая организация может развернуть Windows Hello для бизнеса. При наличии множества вариантов развертывание выглядит сложным, однако большинство организаций понимают, что они уже реализовали большую часть инфраструктуры, от которой зависит Windows Hello для бизнеса развертывание. Важно понимать, что Windows Hello для бизнеса — это распределенная система, которая выполняет надлежащее планирование между несколькими командами в организации.

Это руководство устраняет внешний вид сложности, помогая принимать решения по каждому аспекту развертывания Windows Hello для бизнеса и параметрам, которые необходимо учитывать. Также в этом руководстве определяются сведения, необходимые для принятия решений при развертывании, оптимальных для вашей среды. Скачайте Лист планирования Windows Hello для бизнеса в Центре загрузки Майкрософт, чтобы отслеживать процесс развертывания и упростить планирование.

Порядок действий

Ознакомьтесь с этим документом и занести принятые решения в лист планирования. По завершении в листе планирования будут все необходимые сведения для развертывания Windows Hello для бизнеса.

При развертывании Windows Hello для бизнеса необходимо учесть шесть основных категорий, указанных ниже.

  • Варианты развертывания
  • Клиент
  • Управление
  • Active Directory
  • Инфраструктура открытых ключей
  • Облако

Необходимые базовые условия

Начать развертывание Windows Hello для бизнеса можно с выполнения нескольких базовых условий. Эти условия указаны в листе планирования.

Варианты развертывания

Задача Windows Hello для бизнеса — обеспечить варианты развертывания для всех организаций независимо от размера и сценария. Чтобы обеспечить столь детальное развертывание, Windows Hello для бизнеса предоставляет широкий выбор вариантов развертывания.

Модели развертывания

На выбор представлены три модели развертывания: облако, гибридная среда и локальная среда.

Облако

Облачная модель развертывания предназначена для организаций, в которых используются только облачные удостоверения без доступа к локальным ресурсам. Как правило, в этих организациях устройства присоединяются к облаку и используют только облачные ресурсы, такие как SharePoint, OneDrive и другие. Кроме того, поскольку пользователи в таких компаниях не используют локальные ресурсы, им не нужны сертификаты для таких служб, как VPN, так как все необходимое им расположено в Azure.

Гибридная среда

Гибридная модель развертывания предназначена для организаций, в которых выполнены следующие условия.

  • Федеративные с идентификатором Microsoft Entra
  • Синхронизация удостоверений с идентификатором Microsoft Entra с помощью Microsoft Entra Connect
  • Используйте приложения, размещенные в идентификаторе Microsoft Entra, и хотите использовать пользовательский интерфейс единого входа как для локальных, так и для Microsoft Entra ресурсов

Важно.

Гибридные развертывания поддерживают неразрушающий сброс ПИН-кода, который работает с моделями доверия сертификатов и ключей.

Требования:

  • Служба сброса ПИН-кода (Майкрософт) — Windows 10, версии 1709–1809, выпуск Enterprise. С версии 1903 для этой службы нет требований к лицензированию.
  • Сброс выше экрана блокировки (я забыл ссылку на ПИН-код) — Windows 10, версия 1903
Локальная среда

Модель локального развертывания используется для организаций, которые не имеют облачных удостоверений или используют приложения, размещенные в Microsoft Entra id.

Важно.

Локальные развертывания поддерживают деструктивный сброс ПИН-кода, который работает как с моделями доверия сертификатов, так и с ключевыми моделями доверия.

Требования:

  • Сброс из параметров — Windows 10, версия 1703, профессиональный
  • Сброс над экраном блокировки — Windows 10, версия 1709, professional
  • Сброс выше экрана блокировки (я забыл ссылку на ПИН-код) — Windows 10, версия 1903

Принципиально важно понимать, какую модель развертывания следует использовать для успешного развертывания. Некоторые аспекты развертывания, возможно, уже решены на основе текущей инфраструктуры.

Типы доверия

Тип доверия развертывания определяет способ проверки подлинности каждого клиента Windows Hello для бизнеса в локальной службе Active Directory. Существует два типа доверия: доверие на основе ключей и доверие на основе сертификатов.

Примечание.

Windows Hello для бизнеса в начале 2022 года представила новую модель доверия, называемую облачным доверием Kerberos. Эта модель позволяет развертывать Windows Hello для бизнеса с помощью инфраструктуры, представленной для поддержки входа с помощью ключа безопасности на Microsoft Entra гибридных присоединенных устройств и доступа к локальным ресурсам на устройствах, присоединенных к Microsoft Entra. Дополнительные сведения см. в разделе Гибридное облачное развертывание доверия Kerberos.

Тип доверия ключа не требует выдачи сертификатов проверки подлинности конечным пользователям. Пользователи проходят проверку подлинности с помощью ключа, привязанного к оборудованию, созданного во время встроенной подготовки. Для этого требуется адекватное распределение Windows Server 2016 или более поздних контроллеров домена относительно существующей проверки подлинности и количества пользователей, включенных в развертывание Windows Hello для бизнеса. Дополнительные сведения см. в статье Планирование достаточного количества Windows Server 2016 или более поздних версий контроллеров домена для Windows Hello для бизнеса развертываний.

При типе доверия на основе сертификатов конечным пользователям выдаются сертификаты проверки подлинности. Пользователи проходят проверку подлинности с помощью сертификата, запрошенного с помощью ключа с привязкой к оборудованию, созданного во время встроенной подготовки. В отличие от доверия к ключу, доверие к сертификату не требует Windows Server 2016 контроллеров домена (но по-прежнему требует Windows Server 2016 или более поздней схемы Active Directory). Пользователи могут использовать свой сертификат для проверки подлинности на любом контроллере домена Windows Server 2008 R2 или более поздней версии.

Примечание.

RDP не поддерживает проверку подлинности с Windows Hello для бизнеса развертываниями доверия к ключу в качестве предоставленных учетных данных. В настоящее время протокол RDP поддерживается только для развертываний доверия сертификатов в качестве предоставленных учетных данных. Windows Hello для бизнеса доверия к ключу можно использовать с remote Credential Guard.

Регистрация устройств

Все устройства в составе развертывания Windows Hello для бизнеса должны пройти регистрацию. После регистрации устройства могут пройти проверку подлинности в поставщиках удостоверений. Для облачного и гибридного развертывания поставщик удостоверений — это Microsoft Entra идентификатор. В локальных развертываниях поставщиком удостоверений является локальный сервер, выполняющий роль служб федерации Active Directory (AD FS) Windows Server 2016.

Регистрация ключей

Встроенный интерфейс подготовки Windows Hello для бизнеса создает связанную с оборудованием асимметричную пару ключей в качестве учетных данных пользователя. Закрытый ключ защищен модулями безопасности устройства; однако учетные данные являются ключом пользователя (не ключом устройства). Процесс подготовки регистрирует открытый ключ пользователя в поставщике удостоверений. Для облачных и гибридных развертываний поставщик удостоверений является Microsoft Entra идентификатором. В локальных развертываниях поставщиком удостоверений является локальный сервер, выполняющий роль служб федерации Active Directory (AD FS) Windows Server 2016.

Многофакторная идентификация

Важно.

С 1 июля 2019 г. корпорация Майкрософт больше не будет предлагать сервер MFA для новых развертываний. Новые клиенты, которым требуется многофакторная проверка подлинности для своих пользователей, должны использовать облачную Microsoft Entra многофакторную проверку подлинности. Существующие клиенты, которые активировали сервер MFA до 1 июля 2019 г., смогут скачать последнюю версию, будущие обновления и создать учетные данные активации в обычном режиме. Дополнительные сведения см. в статье Начало работы с сервером Многофакторной идентификации Azure .

Цель Windows Hello для бизнеса — отодвинуть организации от паролей, предоставив им надежные учетные данные, которые обеспечивают простую двухфакторную проверку подлинности. Встроенный интерфейс подготовки принимает слабые учетные данные пользователя (имя пользователя и пароль) в качестве первого фактора проверки подлинности; однако пользователь должен указать второй фактор проверки подлинности, прежде чем Windows подготовит надежные учетные данные.

Облачные и гибридные развертывания предоставляют множество вариантов многофакторной идентификации. В локальных развертываниях необходимо использовать модель многофакторной идентификации, предоставляющую многофакторный адаптер AD FS, который должен использоваться вместе с ролью локального сервера AD FS Windows Server 2016. Организации могут использовать локальный сервер Многофакторной идентификации Azure или выбрать из нескольких сторонних поставщиков (дополнительные сведения см. в статье Дополнительные методы проверки подлинности майкрософт и сторонних производителей).

Примечание.

Microsoft Entra многофакторная проверка подлинности доступна через:

  • Через соглашение Microsoft Enterprise Agreement
  • Через программу открытого корпоративного лицензирования
  • Через программу поставщиков облачных решений
  • В составе следующих решений:
    • идентификатор Microsoft Entra P1 или P2
    • Enterprise Mobility Suite
    • Enterprise Cloud Suite

Синхронизация каталогов

Синхронизация каталогов используется как в гибридных, так и в локальных развертываниях, но в разных целях. Гибридные развертывания используют Microsoft Entra Connect для синхронизации удостоверений Или учетных данных Active Directory между собой и идентификатором Microsoft Entra. Это помогает включить единый вход для Microsoft Entra id и его федеративных компонентов. Локальные развертывания используют синхронизацию каталогов для импорта пользователей из Active Directory на сервер Azure MFA, который отправляет данные в облачную службу Azure MFA для выполнения проверки.

Управление

Windows Hello для бизнеса предоставляет организациям широкий набор детальных параметров политики, которые можно использовать для управления устройствами и пользователями. Управлять Windows Hello для бизнеса можно тремя способами: групповая политика, современные средства управления и смешанное управление.

Групповая политика

Групповая политика — самый удобный и распространенный способ управления Windows Hello для бизнеса на присоединенных к домену устройствах. Создайте объект групповой политики с необходимыми параметрами. Свяжите объект групповой политики с высокой позицией в Active Directory и используйте фильтрацию по группам безопасности для выбора определенных наборов компьютеров или пользователей. В качестве альтернативы можно связать объект групповой политики с подразделениями.

Современные средства управления

Современные средства управления — новая концепция управления устройствами, в которой для управления присоединенными и не присоединенными к домену устройствами используется облако. Организации могут объединить все свои средства управления устройствами в одну платформу и использовать ее для применения параметров политики

Клиент

Windows Hello для бизнеса — это монопольная Windows 10 и Windows 11 функция. В рамках стратегии "Windows как услуга" корпорация Майкрософт улучшила развертывание, управление и взаимодействие с пользователем с каждым новым выпуском Windows и представила поддержку новых сценариев.

Для большинства сценариев развертывания требуется как минимум Windows 10 версии 1511, также известной как ноябрьское обновление. Требование клиента может измениться в зависимости от различных компонентов существующей инфраструктуры или других вариантов инфраструктуры, сделанных позже при планировании развертывания. Для этих компонентов и вариантов может потребоваться минимальный клиент, работающий Windows 10 версии 1703, также известный как Обновление Creators.

Active Directory

В состав инфраструктуры гибридных и локальных развертываний входит Active Directory. Большинство требований Active Directory, такие как режим работы схемы, домена и леса, определены заранее. Однако версию контроллера домена, необходимую для развертывания, определяет выбранный тип доверия при проверке подлинности.

Инфраструктура открытых ключей

В развертывании Windows Hello для бизнеса используется корпоративная инфраструктура открытых ключей в роли якоря доверия для проверки подлинности. Контроллерам домена для гибридных и локальных развертываний требуется сертификат, чтобы устройства Windows доверяли контроллеру домена как законному. Для развертываний с доверием на основе сертификатов необходима корпоративная инфраструктура открытых ключей и центр регистрации сертификатов для выдачи сертификатов проверки подлинности пользователям. Для гибридных развертываний может потребоваться выдача сертификатов VPN пользователям, чтобы обеспечить подключение локальных ресурсов.

Cloud

Для некоторых сочетаний развертываний требуется учетная запись Azure, а для некоторых — идентификатор Microsoft Entra для удостоверений пользователей. Для этих требований к облаку может потребоваться только учетная запись Azure, в то время как для других функций требуется подписка Microsoft Entra С идентификатором P1 или P2. Процесс планирования определяет и отличает необходимые компоненты от необязательных.

Планирование развертывания

Планирование развертывания Windows Hello для бизнеса начинается с выбора типа развертывания. Как и все распределенные системы, Windows Hello для бизнеса зависит от нескольких компонентов в инфраструктуре вашей организации.

Далее в этом руководстве приведены сведения, которые помогут в планировании развертывания. По мере принятия решений заносите их в лист планирования. По завершении вы получите все сведения, необходимые для завершения процесса планирования, и соответствующее руководство по развертыванию, которое лучше всего поможет вам при развертывании.

Модель развертывания

Выберите модель развертывания с учетом ресурсов, к которым пользователям требуется доступ. Примите решение на основе следующих рекомендаций.

Если в вашей организации нет локальных ресурсов, напишите Облако в поле 1a в листе планирования.

Если ваша организация входит в федерацию с Azure или использует любую службу, например AD Connect, Office365 или OneDrive, или пользователи получают доступ к облачным и локальным ресурсам, напишите гибридное использование в поле 1a на листе планирования.

Если в вашей организации нет облачных ресурсов, напишите Локальная среда в поле 1a в листе планирования.

Примечание.

  • Основной вариант использования локального развертывания — для "административных сред повышенной безопасности", также известных как "Красные леса".
  • Для миграции из локального развертывания в гибридное потребуется повторное развертывание.

Тип доверия

Microsoft Entra гибридным устройствам, управляемым групповая политика, требуется роль Windows Server 2016 AD FS для выдачи сертификатов. Microsoft Entra устройствам с гибридным присоединением и Microsoft Entra присоединенным устройствам под управлением Intune или совместимой mdm требуется роль сервера Windows Server NDES для выдачи сертификатов.

Выберите оптимальный для вашей организации тип доверия. Следует помнить, что тип доверия определяет два аспекта: необходимость выдачи сертификатов проверки подлинности пользователям и потребность в использовании контроллеров домена Windows Server 2016 для развертывания.

Уровень безопасности всех моделей доверия одинаков. Основное различие заключается в комфорте организации при развертывании Windows Server 2016 контроллеров домена и не регистрации пользователей с сертификатами конечной сущности (доверие к ключу) по отношению к использованию существующих контроллеров домена и необходимости регистрации сертификатов для всех своих пользователей (доверие сертификатам).

Так как типы доверия сертификатов выдает сертификаты, для регистрации сертификатов пользователей требуется дополнительная конфигурация и инфраструктура, что также может быть фактором, который следует учитывать при принятии решения. Дополнительная инфраструктура, необходимая для развертываний с доверием сертификатов, включает центр регистрации сертификатов. В федеративной среде необходимо активировать параметр обратной записи устройства в Microsoft Entra Connect.

Если ваша организация планирует использовать тип доверия на основе ключей, напишите доверие на основе ключей в поле 1b в листе планирования. Напишите Windows Server 2016 в поле 4d. Напишите Н/Д в поле 5b.

Если ваша организация планирует использовать тип доверия на основе сертификатов, напишите доверие на основе сертификатов в поле 1b в листе планирования. Напишите Windows Server 2008 R2 или более поздней версии в поле 4d. В поле 5c напишите вход по смарт-карте в столбце Имя шаблона и напишите пользователи в столбце Кому выдается в листе планирования.

Регистрация устройств

Для успешного развертывания Windows Hello для бизнеса необходимо зарегистрировать все устройства в поставщике удостоверений. Поставщик удостоверений зависит от модели развертывания.

Если в поле 1a в листе планирования указано облако или гибридная среда, напишите Azure в поле 1c в листе планирования.

Если в поле 1a в листе планирования указано локальная среданапишите AD FS в поле 1c в листе планирования.

Регистрация ключей

Открытые ключи всех пользователей, для которых подготовлена служба Windows Hello для бизнеса, зарегистрированы в поставщике удостоверений. Поставщик удостоверений зависит от модели развертывания.

Если в поле 1a в листе планирования указано облако или гибридная среда, напишите Azure в поле 1d в листе планирования.

Если в поле 1a в листе планирования указано локальная среда, напишите AD FS в поле 1d в листе планирования.

Синхронизация каталогов

Windows Hello для бизнеса — надежное средство проверки подлинности пользователей. Как правило, это означает наличие удостоверения (пользователя или имени пользователя) и учетных данных (как правило, пара ключей). Для некоторых операций необходимы запись или чтение пользовательских данных в каталоге. Например, чтение номера телефона пользователя для выполнения многофакторной проверки подлинности во время подготовки или записи открытого ключа пользователя.

Если в поле 1a в листе планирования указано облако, напишите Н/Д в поле 1e. Сведения о пользователе записываются непосредственно в Microsoft Entra идентификатор, и нет другого каталога, с которым необходимо синхронизировать эти сведения.

Если в поле 1a на листе планирования считывается гибридная среда, напишите Microsoft Entra Connect в поле 1e на листе планирования.

Если в поле 1a в листе планирования указано локальная среда, напишите Azure MFA Server. В этом варианте развертывания Active Directory используется исключительно для пользовательских данных за исключением многофакторной идентификации. Локальный сервер Azure MFA синхронизирует подмножество сведений о пользователе, например номер телефона, для обеспечения многофакторной проверки подлинности, пока учетные данные пользователя остаются в локальной сети.

Многофакторная идентификация

Цель Windows Hello для бизнеса — исключить использование паролей для проверки подлинности пользователей и внедрить надежную систему идентификации пользователей на основе ключей. Пароли являются слабыми учетными данными и не могут доверять сами себе, так как злоумышленник с украденным паролем может попытаться зарегистрироваться в Windows Hello для бизнеса. Для безопасного перехода от слабых учетных данных к надежным в Windows Hello для бизнеса в процессе подготовки используется многофакторная идентификация, что обеспечивает некоторую уверенность в подлинности удостоверения пользователя, подготавливающего учетные данные Windows Hello для бизнеса.

Если в поле 1a в листе планирования указано облако, единственный возможный вариант — использовать облачную службу Azure MFA. Напишите Azure MFA в поле 1f в листе планирования.

Если в поле 1a в листе планирования указано гибридная среда, есть несколько вариантов развертывания, некоторые из которых зависят от конфигурации синхронизации каталогов. Ниже приведены возможные варианты.

  • Непосредственное использование облачной службы Azure MFA
  • Использование AD FS с адаптером облачной службы Azure MFA
  • Использование AD FS с адаптером сервера Azure MFA
  • Использование AD FS со сторонним адаптером MFA

Можно напрямую использовать облачную службу Azure MFA для второго фактора проверки подлинности. Обращающиеся к службе пользователи должны пройти проверку подлинности в Azure перед ее использованием.

Если Microsoft Entra Connect настроен для синхронизации удостоверений (только имен пользователей), пользователи перенаправляются на локальный локальный сервер федерации для проверки подлинности, а затем перенаправляются обратно в облачную службу Azure MFA. В противном случае Microsoft Entra Connect настроен для синхронизации учетных данных (имени пользователя и паролей), что позволяет пользователям проходить проверку подлинности для Microsoft Entra идентификатора и использовать облачную службу Azure MFA. Если вы решите напрямую использовать облачную службу Azure MFA, напишите Azure MFA в поле 1f в листе планирования.

Можно настроить локальную роль AD FS Windows Server 2016 для использования адаптера службы Azure MFA. В это конфигурации пользователи перенаправляются на локальный сервер AD FS (синхронизируются только удостоверения). Сервер AD FS использует адаптер MFA для обмена данными со службой Azure MFA с целью выполнения второго фактора проверки подлинности. Если вы решите использовать AD FS с адаптером облачной службы Azure MFA, напишите AD FS с адаптером облачной службы Azure MFA в поле 1f в листе планирования.

Вместо этого можно использовать AD FS с адаптером локального сервера Azure MFA. Вместо прямого обмена данными с облачной службой Azure MFA, служба AD FS обменивается данными с локальным сервером Azure MFA, который синхронизирует пользовательские данные с локальной службой Active Directory. Сервер Azure MFA обменивается данными с облачной службой Azure MFA для выполнения второго фактора проверки подлинности. Если вы решите использовать AD FS с адаптером сервера Azure MFA, напишите AD FS с адаптером сервера Azure MFA в поле 1f в листе планирования.

Последний вариант — использовать AD FS со сторонним адаптером в качестве второго фактора проверки подлинности. Если вы решите использовать AD FS со сторонним адаптером MFA, напишите AD FS со сторонним адаптером в поле 1f в листе планирования.

Если в поле 1a в листе планирования указано локальная среда, то вам доступно два варианта второго фактора проверки подлинности. Необходимо использовать AD FS Windows Server 2016 с выбранным локальным сервером Azure MFA или сторонним адаптером MFA.

Если вы решите использовать AD FS с адаптером сервера Azure MFA, напишите AD FS с адаптером сервера Azure MFA в поле 1f в листе планирования. Если вы решите использовать AD FS со сторонним адаптером MFA, напишите AD FS со сторонним адаптером в поле 1f в листе планирования.

Управление

Windows Hello для бизнеса предоставляет организациям множество параметров политики и детальные средства управления для применения этих параметров к компьютерам и пользователям. Доступный для использования тип политики зависит от выбранных моделей развертывания и доверия.

Если в поле 1a в листе планирования указано облако, напишите Н/Д в поле 2a в листе планирования. Можно управлять устройствами, не присоединенными к домену. Если вы решили управлять Microsoft Entra присоединенными устройствами, напишите современное управление в поле 2b на листе планирования. В противном случае напишите** Н/Д** в поле 2b.

Примечание.

Microsoft Entra присоединенные устройства без современного управления автоматически регистрируются в Windows Hello для бизнеса с помощью параметров политики по умолчанию. Используйте современные средства управления для изменения параметров политики в соответствии с потребностями организации.

Если в поле 1a в листе планирования указано локальная среда, напишите групповая политика в поле 2a в листе планирования. Напишите Н/Д в поле 2b в листе планирования.

В процессе управления гибридными развертываниями Windows Hello для бизнеса следует учесть две категории устройств: присоединенные и не присоединенные к домену. Все устройства регистрируются, но не все присоединяются к домену. Можно использовать групповую политику для присоединенных к домену устройств и современные средства управления для устройств, не присоединенных к домену. Кроме того, можно использовать современные средства управления для обоих типов устройств.

При использовании групповой политики для управления устройствами, присоединенными к домену, введите GP в поле 2a на листе планирования. Введите современное управление в поле 2b, если вы решите управлять устройствами, не присоединенными к домену. В противном случае введите Н/Д.

При использовании современных средств управления как для устройств, присоединенных к домену, так и устройств, не присоединенных к домену, напишите современные средства управления в поля 2a и 2b в листе планирования.

Клиент

Windows Hello для бизнеса является эксклюзивной функцией для Windows 10 и Windows 11. Некоторые развертывания и компоненты доступны в более ранних версиях Windows 10. Для других необходимы последние версии.

Если в поле 1a в листе планирования указано облако, напишите Н/Д в поле 3a в листе планирования. Кроме того, можно написать 1511 или более поздняя версия в поле 3b в листе планирования, если планируется управлять устройствами, не присоединенными к домену.

Примечание.

Microsoft Entra присоединенные устройства без современного управления автоматически регистрируются в Windows Hello для бизнеса с помощью параметров политики по умолчанию. Используйте современные средства управления для изменения параметров политики в соответствии с потребностями организации.

Напишите 1511 или более поздняя версия в поле 3a в листе планирования, если выполняется хотя бы одно из следующих условий.

  • В поле 2a в листе планирования указано современные средства планирования.
    • Кроме того, можно написать 1511 или более поздняя версия в поле 3b в листе планирования, если планируется управлять устройствами, не присоединенными к домену.
  • В поле 1a в листе планирования указано гибридная среда, в поле 1b указано доверие на основе ключей, а в поле 2a указано групповая политика. При необходимости вы можете написать *1511 или более поздней версии в поле 3b на листе планирования, если вы планируете управлять устройствами, не присоединенными к домену.

Напишите 1703 или более поздняя версия в поле 3a в листе планирования, если выполняется хотя бы одно из следующих условий.

  • В поле 1a в листе планирования указано локальная среда.
    Напишите Н/Д в поле 3b в листе планирования.
  • В поле 1a в листе планирования указано гибридная среда, в поле 1b указано доверие на основе сертификатов, а в поле 2a указано групповая политика.
    • Кроме того, можно написать 1511 или более поздняя версия в поле 3b в листе планирования, если планируется управлять устройствами, не присоединенными к домену.

Active Directory

Часть руководства по планированию, посвященная Active Directory, должна быть завершена. Большинство из требований являются базовыми условиями, за исключением контроллеров домена. Контроллеры домена, используемые в развертывании, определяются выбранным типом доверия.

Если поле 4d в листе планирования не заполнено, ознакомьтесь с частью этого раздела, посвященной типам доверия.

Инфраструктура открытых ключей

Необходимые условия для инфраструктуры открытых ключей уже указаны в листе планирования. Это минимальные требования для любого гибридного или локального развертывания. В зависимости от типа доверия могут потребоваться дополнительные условия.

Если в поле 1a в листе планирования указано облако, пропустите раздел листа планирования, посвященный инфраструктуре открытых ключей. В облачных развертываниях не используется инфраструктура открытых ключей.

Если в поле 1b в листе планирования указано доверие на основе ключей, напишите Н/Д в поле 5b в листе планирования. Доверие к ключам не требует каких-либо изменений в инфраструктуре открытых ключей. Пропустите эту часть и перейдите к разделу Облако .

Центр регистрации относится только к развертываниям с доверием на основе сертификатов и средствам управления, используемым для привязанных и не привязанных к домену устройств. Microsoft Entra гибридным устройствам, управляемым групповая политика, требуется роль Windows Server 2016 AD FS для выдачи сертификатов. Microsoft Entra устройствам с гибридным присоединением и Microsoft Entra присоединенным устройствам под управлением Intune или совместимой mdm требуется роль сервера Windows Server NDES для выдачи сертификатов.

Если в поле 2a указано групповая политика, а в поле 2b — современные средства управления, напишите AD FS RA и NDES в поле 5b в листе планирования. В поле 5c напишите следующие имена и выдачи шаблонов сертификатов.

Имя шаблона сертификата Выдан
Агент регистрации Exchange AD FS RA
Веб-сервер AD FS RA
Агент регистрации Exchange NDES
Веб-сервер NDES
Шифрование CEP NDES

Если поле 2a считывает GP , а поле 2bN/A, запишите AD FS RA в поле 5b и запишите следующие имена шаблонов сертификатов и выдачи в поле 5c на листе планирования.

Имя шаблона сертификата Выдан
Агент регистрации Exchange AD FS RA
Веб-сервер AD FS RA

Если в поле 2a или 2b указано "современные средства управления", напишите NDES в поле 5b и укажите следующие имена и выдачи шаблонов сертификатов в поле 5c в листе планирования.

Имя шаблона сертификата Выдан
Агент регистрации Exchange NDES
Веб-сервер NDES
Шифрование CEP NDES

Облако

Практически для всех развертываний Windows Hello для бизнеса нужна учетная запись Azure.

Если в поле 1a в листе планирования указано облако или гибридная среда, напишите Да в полях 6a и 6b в листе планирования.

Если в поле 1a в листе планирования указано локальная среда, а в поле 1f — AD FS со сторонним адаптером, напишите Нет в поле 6a в листе развертывания. В противном случае напишите Да в поле 6a, так как для выставления счетов MFA на основе модели потребления необходима учетная запись Azure. Напишите Нет в поле 6b в листе планирования: в локальных развертываниях облачный каталог не используется.

Windows Hello для бизнеса не требует подписки Microsoft Entra P1 или P2. Однако некоторые зависимости, такие как автоматическая регистрация MDM и условный доступ , делают это.

Если в поле 1a в листе планирования указано локальная среда, напишите Нет в поле 6c в листе планирования.

Если в поле 1a в листе планирования указано гибридная среда, а в поле 1b — доверие на основе ключей, напишите Нет в поле 6c в листе планирования. Вы можете развернуть Windows Hello для бизнеса с помощью уровня Microsoft Entra ID Free. Все учетные записи Microsoft Entra id Free могут использовать Microsoft Entra многофакторную проверку подлинности, используя параметры безопасности по умолчанию. Для некоторых Microsoft Entra функций многофакторной проверки подлинности требуется лицензия. Дополнительные сведения см. в разделе Функции и лицензии для Microsoft Entra многофакторной проверки подлинности.

Если в поле 5b в листе планирования указано AD FS RA, напишите Да в поле 6c в листе планирования. Для регистрации сертификата с помощью центра регистрации AD FS требуется, чтобы устройства прошли проверку подлинности на сервере AD FS. Для этого требуется обратная запись устройства, функция идентификатора Microsoft Entra P1 или P2.

Для современных управляемых устройств не требуется подписка Microsoft Entra С идентификатором P1 или P2. Если не приобрести эту подписку, пользователям придется вручную регистрировать устройства в современном ПО управления, таком как Intune или поддерживаемое стороннее решение MDM.

Если в поле 2a или 2b указано современные средства управления и необходима автоматическая регистрация устройств в современном ПО управления, напишите Да в поле 6c в листе планирования. В противном случае напишите Нет в поле 6c.

Поздравляем, вы закончили

Ваш лист планирования Windows Hello для бизнеса должен быть заполнен. В этом руководстве содержатся сведения о компонентах, используемых в инфраструктуре Windows Hello для бизнеса, и рационализация их использования. Лист планирования содержит общие сведения о требованиях для перехода к следующему этапу развертывания. На этом листе вы сможете определить ключевые элементы Windows Hello для бизнеса развертывания.