Многофакторная разблокировка

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

Windows Hello для бизнеса поддерживает использование одного удостоверения (ПИН-кода и биометрии) для разблокировки устройства. Поэтому, если какие-либо учетные данные будут скомпрометированы (подсмотрены), злоумышленник сможет получить доступ к системе.

Windows Hello для бизнеса можно настроить многофакторную разблокировку, расширив Windows Hello доверенными сигналами. Администраторы могут настроить устройства для запроса сочетания факторов и доверенных сигналов для их разблокировки.

Многофакторная разблокировка идеально подходит для организаций, которые:

• Заявили, что ПИН-коды сами по себе не соответствуют их потребностям в безопасности
• Запретить доступ к учетным данным для информационных работников
• Требуется, чтобы организации соблюдали нормативную политику двухфакторной проверки подлинности.
• Хотите сохранить знакомый пользовательский интерфейс входа в Windows и не соглашаться на пользовательское решение

Принцип работы

Первый поставщик учетных данных разблокировки и второй поставщик учетных данных разблокировки отвечают за большую часть конфигурации. Каждый из этих компонентов содержит глобальный уникальный идентификатор (GUID), который представляет отдельный поставщик учетных данных Windows. Если параметр политики включен, пользователи разблокировать устройство с помощью по крайней мере одного поставщика учетных данных из каждой категории, прежде чем Windows позволит пользователю перейти на свой рабочий стол.

Параметр политики состоит из трех компонентов:

• Поставщик учетных данных первого фактора разблокировки
• Поставщик учетных данных второго фактора разблокировки
• Сигнальные правила для разблокировки устройства

Настройка факторов разблокировки

Предостережение

Когда политика безопасности DontDisplayLastUserName включена, известно, что она мешает использовать многофакторную разблокировку.

Части Поставщик учетных данных первого фактора разблокировки и Поставщик учетных данных второго фактора разблокировки параметра политики содержат список разделенных запятыми поставщиков учетных данных.

Поддерживаемые поставщики учетных данных:

Поставщик учетных данных	GUID
PIN-код	{D6886603-9D2F-4EB2-B667-1971041FA96B}
Отпечаток пальца	{BEC09223-B018-416D-A0AC-523971B639F5}
Распознавание лица	{8AF662BF-65A0-4D0A-A540-A338A999D36F}
Доверенный сигнал (Близкое взаимодействие с телефоном, сетевое расположение)	{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

Примечание.

Многофакторная разблокировка не поддерживает поставщиков учетных данных сторонних производителей или поставщиков учетных данных, не перечисленных в таблице выше.

К поставщикам учетных данных по умолчанию для Поставщика учетных данных первого фактора разблокировки относятся:

• PIN-код
• Отпечаток пальца
• Распознавание лица

К поставщикам учетных данных по умолчанию для Поставщика учетных данных второго фактора разблокировки относятся:

• Доверенный сигнал
• PIN-код

Создайте список разделенных запятыми идентификаторов GUID поставщиков учетных данных, которых вы будете использовать как первый и второй фактор разблокировки. Хотя поставщик учетных данных может отображаться в обоих списках, учетные данные, поддерживаемые этим поставщиком, могут удовлетворять только одному из факторов разблокировки. Перечисленные поставщики учетных данных не обязательно должны находиться в определенном порядке.

Например, если добавить поставщики учетных данных по PIN-коду и отпечаткам пальцев в списки первого и второго фактора, пользователь может применять отпечаток пальца или PIN-код как первый фактор разблокировки. Какой бы фактор вы ни использовали для удовлетворения первого коэффициента разблокировки, нельзя использовать для удовлетворения второго коэффициента разблокировки. Поэтому каждый фактор может использоваться только один раз. Поставщик доверенного сигнала может быть указан только как часть списка поставщиков учетных данных второго фактора разблокировки.

Настройка правил сигнала для поставщика учетных данных доверенного сигнала

Параметр Сигнальные правила для разблокировки устройства содержит правила, которые поставщик учетных данных доверенного сигнала использует для обеспечения соответствия всем условиям разблокировки устройства.

Элемент правила

Вы указываете правила сигналов в формате XML. Каждое правило сигнала содержит начальный и конечный rule элементы, содержащие schemaVersion атрибут и значение. Текущая поддерживаемая версия схемы — 1.0.

Пример

<rule schemaVersion="1.0">
</rule>

Один элемент

Каждый элемент rule имеет элемент signal . Все элементы сигнала имеют type элемент и value. Поддерживаемые значения:

• порт Bluetooth
• Ipconfig
• wifi

Bluetooth

Вы определяете сигнал Bluetooth с дополнительными атрибутами в элементе signal. В конфигурации bluetooth не используются другие элементы. Элемент signal можно завершить коротким конечным тегом />.

Атрибут	Значение	Обязательный
type	bluetooth	Да
scenario	Authentication	Да
classOfDevice	"number"	Нет
rssiMin	"number"	Нет
rssiMaxDelta	"number"	Нет

Пример:

<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

Атрибут classofDevice по умолчанию имеет значение Phone и использует значения из следующей таблицы:

Описание	Значение
Прочее	0
Компьютер	256
Телефон	512
Точка доступа к сети/локальной сети	768
Аудио/видео	1024
Периферийные устройства	1280
Обработка изображений	1536
Носимые устройства	1792
Игрушка	2048
Работоспособность	2304
Без категории	7936

Значение атрибута rssiMin показывает необходимый уровень сигнала, чтобы устройство считалось "находящимся в радиусе действия". Значение по умолчанию -10 позволяет пользователю перемещаться по офису среднего размера или рабочему кабинету, и при этом Windows не будет активировать блокировку устройства. RssiMaxDelta имеет значение по умолчанию –10, которое предписывает Windows заблокировать устройство, как только сила сигнала ослабнет более чем на 10.

Измерения RSSI относительны и ниже по мере уменьшения сигналов Bluetooth между двумя парными устройствами. Значение 0 больше -10. Значение -10 больше ,чем -60, и указывает на то, что устройства движутся друг от друга дальше.

Важно.

Корпорация Майкрософт рекомендует использовать значения по умолчанию для этого параметра политики. Измерения являются относительными и основаны на изменяющихся условиях каждой среды. Поэтому одинаковые значения могут приводить к разным результатам. Перед широким развертыванием параметра следует протестировать параметры политики в каждой среде. Используйте значения rssiMIN и rssiMaxDelta из XML-файла, созданного редактором управления групповой политикой, или удалите оба атрибута, чтобы использовать значения по умолчанию.

Конфигурация IP

Сигналы конфигурации IP определяются с помощью одного или нескольких элементов ipConfiguration. Каждый элемент имеет строковое значение. Элементы IpConfiguration не имеют атрибутов или вложенных элементов.

IPv4Prefix

Префикс сети IPv4, представленный в стандартной интернет-нотации с точками. Сетевой префикса, который использует нотацию CIDR, должен быть частью строки сетевого адреса. Сетевой порт не может быть представлен в строке сетевого адреса. Элемент signal может содержать только один элемент ipv4Prefix. Пример:

<ipv4Prefix>192.168.100.0/24</ipv4Prefix>

IPv4-адреса, назначенные в диапазоне 192.168.100.1–192.168.100.254, соответствуют этой конфигурации сигнала.

IPv4Gateway

Сетевой шлюз IPv4, представленный в стандартной интернет-нотации с точками. Сетевой порт или префикс не может быть представлен в строке сетевого адреса. Элемент signal может содержать только один элемент ipv4Gateway. Пример:

<ipv4Gateway>192.168.100.10</ipv4Gateway>

IPv4DhcpServer

DHCP-сервер IPv4, представленный в стандартной интернет-нотации с точками. Сетевой порт или префикс не может быть представлен в строке сетевого адреса. Элемент signal может содержать только один элемент ipv4DhcpServer. Пример:

<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>

IPv4DnsServer

DNS-сервер IPv4, представленный в стандартной интернет-нотации с точками. Сетевой порт или префикс не может быть представлен в строке сетевого адреса. Элемент signal элемент может содержать один или несколько элементов ipv4DnsServer.

Пример

<ipv4DnsServer>192.168.100.10</ipv4DnsServer>

IPv6Prefix

Префикс сети IPv6, представленный в сети IPv6 в стандартной шестнадцатеричной кодировке. Префикс сети в нотации CIDR является частью строки сетевого адреса. Сетевой порт или ИД области действия не может быть представлен в строке сетевого адреса. Элемент signal может содержать только один элемент ipv6Prefix. Пример:

<ipv6Prefix>21DA:D3::/48</ipv6Prefix>

IPv6Gateway

Сетевой шлюз IPv6, представленный в стандартной шестнадцатеричной кодировке. Идентификатор области IPv6 может присутствовать в строке сетевого адреса. Сетевой порт или префикс не может быть представлен в строке сетевого адреса. Элемент signal может содержать только один элемент ipv6Gateway. Пример:

<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>

IPv6DhcpServer

DNS-сервер IPv6, представленный в стандартной шестнадцатеричной кодировке. Идентификатор области IPv6 может присутствовать в строке сетевого адреса. Сетевой порт или префикс не может быть представлен в строке сетевого адреса. Элемент signal может содержать только один элемент ipv6DhcpServer. Пример:

<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer

IPv6DnsServer

DNS-сервер IPv6, представленный в стандартной шестнадцатеричной кодировке. Идентификатор области IPv6 может присутствовать в строке сетевого адреса. Сетевой порт или префикс не может быть представлен в строке сетевого адреса. Элемент signal может содержать один или несколько элементов ipv6DnsServer. Пример:

<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>

dnsSuffix

Полное доменное имя внутреннего DNS-суффикса организации, в котором в основном DNS-суффиксе компьютера существует любая часть полного доменного имени в этом параметре. Элемент signal может содержать один или несколько элементов dnsSuffix. Пример:

<dnsSuffix>corp.contoso.com</dnsSuffix>

Wi-Fi

Вы определяете сигналы Wi-Fi с помощью одного или нескольких элементов Wi-Fi. Каждый элемент имеет строковое значение. Элементы Wifi не имеют атрибутов или вложенных элементов.

SSID

Содержит идентификатор набора служб (SSID) беспроводной сети. SSID — это имя беспроводной сети. Элемент SSID является обязательным. Пример:

<ssid>corpnetwifi</ssid>

BSSID

Содержит базовый идентификатор набора служб (BSSID) беспроводной точки доступа. BSSID — это mac-адрес беспроводной точки доступа. Элемент BSSID необязателен. Пример:

<bssid>12-ab-34-ff-e5-46</bssid>

Безопасность

Содержит тип безопасности, который клиент использует при подключении к беспроводной сети. Элемент безопасности является обязательным и должен содержать одно из следующих значений:

Значение	Описание
Open	Беспроводная сеть — это открытая сеть, которая не требует проверки подлинности или шифрования.
WEP	Беспроводная сеть защищена с помощью проводной эквивалентной конфиденциальности.
WPA-Personal	Беспроводная сеть защищена с помощью Wi-Fi защищенного доступа.
WPA-Enterprise	Беспроводная сеть защищена с помощью Wi-Fi Protected Access-Enterprise.
WPA2-Personal	Беспроводная сеть защищена с помощью Wi-Fi Защищенный доступ 2, который обычно использует предварительно общий ключ.
WPA2-Enterprise	Беспроводная сеть защищена с помощью Wi-Fi Защищенный доступ 2-Enterprise.

Пример:

<security>WPA2-Enterprise</security>

TrustedRootCA

Содержит отпечаток доверенного корневого сертификата беспроводной сети. Можно использовать любой допустимый доверенный корневой сертификат. Значение представлено в виде шестнадцатеричной строки, где каждый байт в строке отделяется одним пробелом. Элемент является необязательным. Пример:

<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>

Sig_quality

Содержит числовое значение в диапазоне от 0 до 100, которое представляет уровень сигнала беспроводной сети, который необходимо считать доверенным сигналом.

Пример:

<sig_quality>80</sig_quality>

Примеры конфигураций доверенного сигнала

Важно.

Эти примеры сокращены для удобства чтения. При надлежащем форматировании все содержимое XML-файла должно быть представлено в одной строке.

Пример 1

В следующем примере настраивается тип сигнала IPConfig с помощью элементов Ipv4Prefix, Ipv4DnsServer и DnsSuffix .

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <ipv4Prefix>10.10.10.0/24</ipv4Prefix>
        <ipv4DnsServer>10.10.0.1</ipv4DnsServer>
        <ipv4DnsServer>10.10.0.2</ipv4DnsServer>
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>

Пример 2

В следующем примере настраивается тип сигнала IpConfig с помощью элемента dnsSuffix и сигнала Bluetooth для телефонов. В этом примере предполагается, что правило IpConfig или Bluetooth должно иметь значение true, чтобы итоговая оценка сигнала была истинной.

Примечание.

Отделите каждый элемент правила с помощью запятой.

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>,
<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

Пример 3

В следующем примере настраивается то же, что и в примере 2 с использованием составных and элементов. В этом примере предполагается, что ipConfig и правило Bluetooth должны иметь значение true, чтобы итоговая оценка сигнала была истинной.

<rule schemaVersion="1.0">
<and>
  <signal type="ipConfig">
   <dnsSuffix>corp.microsoft.com</dnsSuffix>
  </signal>
  <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>

Пример 4

В следующем примере Wi-Fi настраивается в качестве доверенного сигнала.

<rule schemaVersion="1.0">
  <signal type="wifi">
    <ssid>contoso</ssid>
    <bssid>12-ab-34-ff-e5-46</bssid>
    <security>WPA2-Enterprise</security>
    <trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
    <sig_quality>80</sig_quality>
  </signal>
</rule>

Настройка многофакторной разблокировки

Чтобы настроить многофакторную разблокировку, можно использовать:

• Microsoft Intune/CSP
• Групповая политика

Важно.

• PIN-код должен входить по крайней мере в одну из групп
• Доверенные сигналы должны использоваться вместе с другим поставщиком учетных данных
• Нельзя использовать один и тот же коэффициент разблокировки для удовлетворения обеих категорий. Таким образом, если включить любой поставщик учетных данных в обе категории, это означает, что он может удовлетворить любую категорию, но не обе категории.

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория	Имя параметра
Административные шаблоны>Windows Hello для бизнеса	Подключаемые модули разблокировки устройств

1. Настройка первого и второго факторов разблокировки с помощью сведений в разделе Настройка факторов разблокировки
2. При использовании доверенных сигналов настройте доверенные сигналы, используемые фактором разблокировки, с помощью сведений, приведенных в разделе Настройка правил сигнала для поставщика учетных данных доверенного сигнала.

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP PassportForWork.

Параметр
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

Объект групповой политики

Чтобы настроить устройство с помощью групповой политики, используйте локальный групповая политика Редактор. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

Путь к групповой политике	Параметр групповой политики	Значение
Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsWindows Hello для бизнеса	Настройка факторов разблокировки устройства	Enabled

1. Настройка первого и второго факторов разблокировки с помощью сведений в разделе Настройка факторов разблокировки
2. При использовании доверенных сигналов настройте доверенные сигналы, используемые фактором разблокировки, с помощью сведений, приведенных в разделе Настройка правил сигнала для поставщика учетных данных доверенного сигнала.

Групповые политики можно связать с доменами или подразделениями, отфильтровать с помощью групп безопасности или отфильтровать с помощью фильтров WMI.

Важно.

Необходимо удалить всех поставщиков учетных данных, отличных от майкрософт, чтобы пользователи не могли разблокировать свои устройства, если у них нет необходимых факторов. Запасным вариантом должно стать использование паролей или смарт-карт (оба этих способа можно отключить при необходимости).

Взаимодействие с пользователем

Вот краткое видео, показывающее взаимодействие с пользователем при включенной многофакторной разблокировке:

1. Пользователь сначала войдет в систему с помощью отпечатка пальца + bluetooth-сопряженного телефона
2. Затем пользователь входит в систему с отпечатком пальца и ПИН-кодом.

Устранение неполадок

Многофакторная разблокировка записывает события в журнал событий в разделе Журналы приложений и служб\Microsoft\Windows\HelloForBusiness с именем категории Device Unlock.

События

Код события	Сведения
3520	Инициирована попытка разблокировки
5520	Политика разблокировки не настроена
6520	Событие предупреждения
7520	Событие ошибки
8520	Успешное событие