在混合密钥信任模型中配置和注册 Windows Hello 企业版

• 适用于:

  ✅ Windows 11, ✅ Windows 10

本文介绍适用于以下应用的 Windows Hello 企业版功能或方案：

• 部署类型：
• 信任类型：密钥信任
• 联接类型：，Microsoft Entra join ， Microsoft Entra 混合联接

---

满足先决条件并验证 PKI 配置后，部署 Windows Hello 企业版包括以下步骤：

• 配置 Windows Hello 企业版策略设置
• 注册 Windows Hello 企业版

配置 Windows Hello 企业版策略设置

在密钥信任模型中启用 Windows Hello 企业版需要一个策略设置：

• 使用 Windows Hello 企业版

另一个可选但建议的策略设置是：

• 使用硬件安全设备

以下说明介绍如何使用 Microsoft Intune 或组策略 (GPO) 配置设备。

Intune/CSP

注意

查看 使用 Microsoft Intune 配置 Windows Hello 企业 版一文，了解 Microsoft Intune 为配置 Windows Hello 企业版提供的不同选项。

如果启用了 Intune 租户范围策略并根据需要配置，则可以跳到 在 Windows Hello 企业版中注册。

若要使用 Microsoft Intune 配置设备， 请创建设置目录策略 并使用以下设置：

类别	设置名称	值
Windows Hello 企业版	使用 Passport for Work	true
Windows Hello 企业版	需要安全设备	true

将策略分配给一个组，该组包含要配置的设备或用户作为成员。

或者，可以使用 PassportForWork CSP 的自定义策略配置设备。

设置
- OMA-URI：./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - 数据类型：bool - 价值：True
- OMA-URI：./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - 数据类型：bool - 价值：True

GPO

可以在 GPO 的计算机或用户节点中配置 “使用 Windows Hello 企业 版”策略设置：

• 部署计算机节点策略设置，导致登录到目标设备的所有用户尝试 Windows Hello 企业版注册
• 部署用户节点策略设置，仅导致目标用户尝试 Windows Hello 企业版注册

如果同时部署了用户和计算机策略设置，用户策略设置优先。

若要使用组策略配置设备，请使用 本地组策略编辑器。 若要配置多个已加入 Active Directory 的设备，请 (GPO) 创建或编辑 组策略对象，并使用以下设置：

组策略路径	组策略设置	值
计算机配置\管理模板\Windows 组件\Windows Hello 企业版 或 用户配置\管理模板\Windows 组件\Windows Hello 企业版	使用 Windows Hello 企业版	Enabled
计算机配置\管理模板\Windows 组件\Windows Hello 企业版	使用硬件安全设备	Enabled

组策略可以 链接到 域或组织单位， 使用安全组进行筛选， 或使用 WMI 筛选器进行筛选。

提示

部署 Windows Hello 企业版 GPO 的最佳方法是使用安全组筛选。 只有目标安全组的成员才能预配 Windows Hello 企业版，从而实现分阶段推出。 此解决方案允许将 GPO 链接到域，确保 GPO 的范围限定为所有安全主体。 安全组筛选可确保只有全局组的成员接收并应用 GPO，这会导致预配 Windows Hello 企业版。

如果使用组策略和 Intune 部署 Windows Hello 企业版配置，则组策略设置优先，并且将忽略 Intune 设置。 有关策略冲突的详细信息，请参阅 来自多个策略源的策略冲突

可以将其他策略设置配置为控制 Windows Hello 企业版的行为。 有关详细信息，请参阅 Windows Hello 企业版策略设置。

注册 Windows Hello 企业版

Windows Hello 企业版预配过程在加载用户配置文件后和用户收到桌面之前立即开始。 若要开始预配过程，必须通过所有先决条件检查。

可以通过查看 Windows“应用程序和服务>日志”下的“用户设备注册管理员日志”Microsoft 来确定先决条件检查的状态>。
还可以使用控制台中的 dsregcmd.exe /status 命令获取此信息。 有关详细信息，请参阅 dsregcmd。

用户体验

用户登录后，Windows Hello 企业版注册过程将开始：

1. 如果设备支持生物识别身份验证，系统会提示用户设置生物识别手势。 此手势可用于解锁设备，并向需要 Windows Hello 企业版的资源进行身份验证。 如果用户不想设置生物识别手势，则可以跳过此步骤
2. 系统会提示用户使用组织帐户的 Windows Hello。 用户选择 “确定”
3. 预配流将转到注册的多重身份验证部分。 预配会通知用户，它正积极尝试通过配置的 MFA 形式与用户联系。 在身份验证成功、失败或超时之前，预配过程不会继续。MFA 失败或超时会导致错误，并要求用户重试
4. MFA 成功之后, 预配流程将要求用户创建并验证 PIN。 此 PIN 必须观察设备上配置的任何 PIN 复杂性策略
5. 预配的其余部分包括为用户请求非对称密钥对的 Windows Hello 企业版，最好通过 TPM（或在通过策略显式设置时需要）。 获取密钥对后，Windows 将与 IdP 通信以注册公钥。 密钥注册完成后，Windows Hello 企业版预配会通知用户他们可以使用其 PIN 进行登录。 用户可以关闭预配应用程序并访问其桌面

注册后，Microsoft Entra Connect 将用户的密钥从 Microsoft Entra ID 同步到 Active Directory。

重要提示

将用户的公钥从 Microsoft Entra ID 同步到本地 Active Directory 所需的最短时间为 30 分钟。 Entra Connect 计划程序Microsoft控制同步间隔。 这种同步延迟会延迟用户进行身份验证和使用本地资源的能力，直到用户的公钥同步到 Active Directory。 同步后，用户可以对本地资源进行身份验证和访问。 阅读 Microsoft Entra Connect Sync：计划程序 以查看和调整组织的 同步周期 。

序列图

若要更好地了解预配流，请根据设备联接和身份验证类型查看以下序列图：

• 使用托管身份验证为已加入 Entra 的 Microsoft设备预配
• 使用联合身份验证为已加入 entra 的 Microsoft设备预配
• 使用托管身份验证在混合密钥信任部署模型中进行预配

若要更好地了解身份验证流，请查看以下序列图：

• 使用密钥Microsoft Entra 混合联接身份验证
• Microsoft Entra 使用密钥将身份验证加入 Active Directory