在本地证书信任模型中配置和注册 Windows Hello 企业版
本文介绍适用于以下应用的 Windows Hello 企业版功能或方案:
满足先决条件并验证 PKI 和 AD FS 配置后,部署 Windows Hello 企业版包括以下步骤:
配置 Windows Hello 企业版策略设置
在证书信任模型中启用 Windows Hello 企业版需要 2 个策略设置:
另一个可选但建议的策略设置是:
按照以下说明使用 Microsoft Intune 或组策略 (GPO) 配置设备。
可以在 GPO 的计算机或用户节点中配置 “使用 Windows Hello 企业 版”策略设置:
- 部署计算机节点策略设置,导致登录到目标设备的所有用户尝试 Windows Hello 企业版注册
- 部署用户节点策略设置,仅导致目标用户尝试 Windows Hello 企业版注册
如果同时部署了用户和计算机策略设置,用户策略设置优先。
提示
使用相同的 Windows Hello 企业版用户 安全组分配 证书模板权限 ,以确保相同的成员可以在 Windows Hello 企业版身份验证证书中注册。
启用自动注册证书组策略设置
Windows Hello 企业版预配执行 Windows Hello 企业版身份验证证书的初始注册。 此证书根据 Windows Hello 企业 版身份验证证书 模板中配置的持续时间过期。
该过程不需要用户交互,前提是用户使用 Windows Hello 企业版登录。 证书将在过期前在后台续订。
若要使用组策略配置设备,请使用 本地组策略编辑器。 若要配置多个已加入 Active Directory 的设备,请 (GPO) 创建或编辑 组策略对象,并使用以下设置:
| 组策略路径 | 组策略设置 | 值 |
|---|---|---|
| 计算机配置\管理模板\Windows 组件\Windows Hello 企业版 或 用户配置\管理模板\Windows 组件\Windows Hello 企业版 |
使用 Windows Hello 企业版 | Enabled |
| 计算机配置\管理模板\Windows 组件\Windows Hello 企业版 或 用户配置\管理模板\Windows 组件\Windows Hello 企业版 |
使用证书进行本地身份验证 | Enabled |
| 计算机配置\Windows 设置\安全设置\公钥策略 或 用户配置\Windows 设置\安全设置\公钥策略 |
证书服务客户端 - 自动注册 | - 从配置模型中选择“启用” - 选择“续订过期的证书”、“更新挂起的证书”和“删除吊销的证书” - 选择“更新使用证书模板的证书” |
| 计算机配置\管理模板\Windows 组件\Windows Hello 企业版 | 使用硬件安全设备 | Enabled |
注意
启用 “使用硬件安全设备” 策略设置是可选的,但建议这样做。
组策略可以 链接到 域或组织单位, 使用安全组进行筛选, 或使用 WMI 筛选器进行筛选。
提示
部署 Windows Hello 企业版 GPO 的最佳方法是使用安全组筛选。 只有目标安全组的成员才能预配 Windows Hello 企业版,从而实现分阶段推出。 此解决方案允许将 GPO 链接到域,确保 GPO 的范围限定为所有安全主体。 安全组筛选可确保只有全局组的成员接收并应用 GPO,这会导致预配 Windows Hello 企业版。
可以将其他策略设置配置为控制 Windows Hello 企业版的行为。 有关详细信息,请参阅 Windows Hello 企业版策略设置。
注册 Windows Hello 企业版
Windows Hello 企业版预配过程在加载用户配置文件后和用户收到桌面之前立即开始。 若要开始预配过程,必须通过所有先决条件检查。
可以通过查看 Windows“应用程序和服务>日志”下的“用户设备注册管理员日志”Microsoft 来确定先决条件检查的状态>。
还可以使用控制台中的 dsregcmd.exe /status 命令获取此信息。 有关详细信息,请参阅 dsregcmd。
用户体验
用户登录后,Windows Hello 企业版注册过程将开始:
- 如果设备支持生物识别身份验证,系统会提示用户设置生物识别手势。 此手势可用于解锁设备,并向需要 Windows Hello 企业版的资源进行身份验证。 如果用户不想设置生物识别手势,则可以跳过此步骤
- 系统会提示用户使用组织帐户的 Windows Hello。 用户选择 “确定”
- 预配流将转到注册的多重身份验证部分。 预配会通知用户,它正积极尝试通过配置的 MFA 形式与用户联系。 在身份验证成功、失败或超时之前,预配过程不会继续。MFA 失败或超时会导致错误,并要求用户重试
- MFA 成功之后, 预配流程将要求用户创建并验证 PIN。 此 PIN 必须观察设备上配置的任何 PIN 复杂性策略
- 预配的其余部分包括为用户请求非对称密钥对的 Windows Hello 企业版,最好通过 TPM(或在通过策略显式设置时需要)。 获取密钥对后,Windows 将与 IdP 通信以注册公钥。 密钥注册完成后,Windows Hello 企业版预配会通知用户他们可以使用其 PIN 进行登录。 用户可以关闭预配应用程序并访问其桌面
密钥注册成功后,Windows 将使用请求证书时所用的密钥对创建一个证书请求。 Windows 将证书请求发送到 AD FS 服务器进行证书注册。
AD FS 注册机构验证证书请求中使用的密钥是否与之前注册的密钥匹配。 如果成功匹配,AD FS 注册机构使用注册代理证书为证书请求签名,然后将其发送到证书颁发机构。
CA 验证证书是否由注册机构签名。 验证成功后,它会根据请求颁发证书,并将证书返回给 AD FS 注册机构。 注册机构将证书返回到 Windows,然后在 Windows 中将证书安装到当前用户的证书存储中。
以下视频演示使用 AD FS 的自定义 MFA 适配器使用密码登录后的 Windows Hello 企业版注册步骤。
序列图
若要更好地了解预配流,请查看以下序列图:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈