本文描述適用於以下情況的 Windows Hello 企業版功能或情境:
-
部署類型:
-
信任類型:
-
加入類型:。Microsoft Entra 加入,而 登入,Microsoft Entra 混合加入
需求
在開始部署前,請先檢視《規劃 Windows Hello 企業版部署》文章中所描述的需求。
在開始前,請確保符合以下要求:
重要
在實作雲端 Kerberos 信任部署模型時,您必須確保每個 Active Directory 站點中都有足夠數量的讀寫網域控制器,這些網站將是使用者使用 Windows Hello 企業版驗證的。 欲了解更多資訊,請參閱 Active Directory 容量規劃。
部署步驟
一旦滿足了前提條件,部署 Windows Hello 企業版包含以下步驟:
Deploy Microsoft Entra Kerberos
如果您已經部署了本地 SSO 以實現無密碼安全金鑰登入,那麼 Microsoft Entra Kerberos 已經部署在您的組織中。 你不需要重新部署或更改現有的 Microsoft Entra Kerberos 部署來支援 Windows Hello 企業版,也可以跳到「配置 Windows Hello 企業版」的政策設定區塊。
如果你還沒部署 Microsoft Entra Kerberos,請依照啟用無密碼安全金鑰登入文件中的指示操作。 本頁包含如何安裝及使用 Microsoft Entra Kerberos PowerShell 模組的資訊。 使用該模組建立一個 Microsoft Entra Kerberos 伺服器物件,適用於你想使用 Windows Hello 企業版雲端 Kerberos 信任的網域。
Microsoft Entra Kerberos 與雲端 Kerberos 信任認證
當 Microsoft Entra Kerberos 在 Active Directory 網域啟用時,該網域會建立一個 AzureADKerberos 電腦物件。 這個物件:
它在 RODC) 物件中呈現為唯讀網域控制器 (,但不與任何實體伺服器相關聯
僅由 Microsoft Entra ID 用於產生 Active Directory 網域的 TGT
注意
AzureADKerberos 電腦物件也適用類似的規則與限制。 例如,直接或間接加入特權內建安全群組的使用者,將無法使用雲端 Kerberos 信任。
欲了解更多關於 Microsoft Entra Kerberos 如何與 Windows Hello 企業版雲端 Kerberos 信任合作的資訊,請參閱 Windows Hello 企業版認證技術深度探討。
注意
AzureADKerberos 電腦物件上預設的 密碼複製政策 ,不允許使用雲端 Kerberos 信任或 FIDO2 安全金鑰,將高權限帳號登入本地資源。
由於 Microsoft Entra ID 可能對 Active Directory 造成攻擊,不建議透過放寬電腦物件CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>的密碼複製政策來解除封鎖這些帳號。
設定 Windows Hello 企業版原則設定
在設定 Microsoft Entra Kerberos 物件後,必須啟用並設定 Windows Hello for Business 以使用雲端 Kerberos 信任。 在雲端 Kerberos 信任模型中配置 Windows Hello 企業版需要兩個政策設定:
另一個可選但建議的政策設定是:
重要
若啟用本地 驗證使用憑證 政策,憑證信任優先於雲端 Kerberos 信任。 確保你想啟用雲端 Kerberos 信任的機器 沒有設定這個政策。
以下說明說明如何使用 Microsoft Intune 或群組政策 (GPO) 來設定您的裝置。
Intune/CSP
郵政總局注意
請參閱文章《使用 Microsoft Intune 配置 Windows Hello 企業版》,了解 Microsoft Intune 提供的不同配置選項來設定 Windows Hello 企業版。
如果啟用並設定了 Intune 的租戶範圍政策,你只需要啟用「Use Cloud Trust For On Door」這個政策設定。否則,必須同時設定兩個設定。
要以 Microsoft Intune 設定裝置,請建立設定目錄政策並使用以下設定:
| 類別 | 設定名稱 | 值 |
|---|---|---|
| Windows Hello 企業版 | 使用 Windows Hello for Business(商業版) | true |
| Windows Hello 企業版 | 使用 Cloud Trust 進行本地認證 | 啟用 |
| Windows Hello 企業版 | 要求安全裝置 | true |
將政策指派給包含你想設定的裝置或使用者的群組。
或者,你也可以用 PassportForWork CSP 的自訂政策來設定裝置。
| 設定 |
|---|
-
歐瑪-烏里:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork- 資料型態: bool- 價值: True |
-
歐瑪-烏里:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth- 資料型態: bool- 價值: True |
-
歐瑪-烏里:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice- 資料型態: bool- 價值: True |
如果你同時使用群組原則和 Intune 部署 Windows Hello 企業版設定,群組原則設定會優先,Intune 設定會被忽略。 欲了解更多政策衝突資訊,請參閱 多重政策來源的政策衝突。
可以設定更多政策設定來控制 Windows Hello 企業版的行為。 欲了解更多資訊,請參閱 Windows Hello 企業版政策設定。
註冊 Windows Hello 企業版
Windows Hello 企業版的配置流程會在使用者登入後立即開始,前提是先決檢查通過。 Windows Hello 企業版雲端 Kerberos 信任在政策啟用雲端 Kerberos 信任時,為 Microsoft Entra 混合加入裝置新增了先決檢查。
您可以透過查看Microsoft>Windows 應用程式與服務日誌>下的使用者裝置註冊管理員日誌來判斷前置檢查的狀態。
這些資訊也可以透過控制台的指令取得 dsregcmd.exe /status 。 欲了解更多資訊,請參閱 dsregcmd。
雲端 Kerberos 信任前置檢查會在允許配置開始前,偵測使用者是否擁有部分 TGT。 此檢查的目的是驗證 Microsoft Entra Kerberos 是否已為使用者的網域與租戶設置。 若已設定 Microsoft Entra Kerberos,使用者在登入時會收到部分 TGT,並使用其他解鎖方式登入。 這個檢查有三個狀態:是、否和未測試。 如果雲端 Kerberos 信任未被政策強制執行,或裝置已加入 Microsoft Entra,則會報告「未測試」狀態。
注意
雲端 Kerberos 信任前置檢查並未在 Microsoft Entra 加入的裝置上進行。 如果 Microsoft Entra Kerberos 沒有被配置,Microsoft Entra 加入裝置上的使用者仍可登入,但無法使用 Active Directory 保護的本地資源 SSO。
使用者體驗
使用者登入後,Windows Hello 企業版的註冊流程將開始:
- 若裝置支援生物辨識認證,使用者會被提示設定生物辨識手勢。 此手勢可用來解鎖裝置並驗證需要 Windows Hello 企業版的資源。 如果使用者不想設定生物識別手勢,可以跳過此步驟
- 系統會提示使用者使用該組織帳號使用 Windows Hello。 使用者選擇 OK
- 配置流程會進入註冊過程中的多重驗證階段。 Provisioning 會通知使用者,它正透過設定的 MFA 形式積極嘗試聯絡使用者。 在驗證成功、失敗或逾時時,配置流程才會進行。多重驗證失敗或逾時會導致錯誤,並要求使用者重試
- MFA 成功後,佈建流程會要求使用者建立並驗證 PIN 碼。 此 PIN 必須觀察裝置上設定的任何 PIN 複雜度政策
- 佈建餘下的工作包括 Windows Hello 企業版要求使用者的非對稱金鑰組,最好是向 TPM 要求 (如果已透過原則明確設定,則必須如此)。 一旦取得金鑰對,Windows 會與 IdP 通訊以註冊公鑰。 當金鑰註冊完成後,Windows Hello 企業版設定會通知使用者可以使用 PIN 碼登入。 使用者可以關閉配置應用程式並存取桌面
使用者完成雲端 Kerberos 信任註冊後,即可立即使用 Windows Hello 手勢登入。 在 Microsoft Entra 混合加入裝置上,首次使用 PIN 需要與 DC 保持視距。 使用者登入或解鎖後,即可利用快取登入進行後續解鎖,無需視線或網路連線。 在混合視距環境下——裝置可連接網域控制器但無法Microsoft Entra——網域控制器 (DC) 可能要求用戶端在允許認證前,先出示更新過的主更新令牌 (PRT Microsoft Entra) 。
註冊後,Microsoft Entra Connect 會將使用者的金鑰從 Microsoft Entra ID 同步至 Active Directory。
序列圖
為了更了解配置流程,請參考以下基於裝置加入與認證類型的序列圖:
為了更了解認證流程,請參考以下序列圖:
從金鑰信任部署模式遷移到雲端 Kerberos 信任
如果您使用金鑰信任模型部署 Windows Hello 企業版,並想遷移至雲端的 Kerberos 信任模式,請遵循以下步驟:
- 在你的混合環境中設定 Microsoft Entra Kerberos
- 透過群組原則或 Intune 啟用雲端 Kerberos 信任
- 對於 Microsoft Entra 加入的裝置,請使用 Windows Hello 企業版登出與登入該裝置
注意
對於 Microsoft Entra 混合加入裝置,使用者必須在與 DC 保持視線距離的情況下,使用新憑證進行首次登入。
從憑證信任部署模型遷移到雲端 Kerberos 信任
重要
從憑證信任部署直接遷移到雲端 Kerberos 信任部署,沒有 直接 的遷移路徑。 必須先刪除 Windows Hello 容器,才能遷移到 Kerberos 信任雲端。
如果您是使用 Windows Hello 企業版的憑證信任模型部署 Windows Hello for Business,並想使用雲端的 Kerberos 信任模式,您必須依照以下步驟重新部署 Windows Hello 企業版:
- 停用憑證信任政策。
- 透過群組原則或 Intune 啟用雲端 Kerberos 信任。
- 從使用者情境中使用指令
certutil.exe -deletehellocontainer移除憑證信任憑證憑證。 - 登出再登入。
- 使用您選擇的方法來配置 Windows Hello 企業版。
注意
對於 Microsoft Entra 混合加入裝置,使用者必須在與 DC 保持視線距離的情況下,使用新憑證進行首次登入。
常見問題集
關於 Windows Hello 企業版雲端 Kerberos 信任的常見問題列表,請參閱 Windows Hello 企業版常見問題。
不支援的案例
以下情境不支援使用 Windows Hello 企業版 Kerberos 信任雲端:
- 使用提供的憑證 (RDP/VDI 場景,可搭配遠端憑證守護(Remote Credential Guard)或憑證註冊於Windows Hello 企業版容器)
- 使用 Cloud Kerberos trust 進行 Run as
- 在 Microsoft Entra 混合加入裝置上使用雲端 Kerberos Trust 登入,且之前未使用過 DC 連線登入