在內部部署密鑰信任模型中設定及註冊 Windows Hello 企業版
本文說明適用於下列專案的 Windows Hello 企業版功能或案例:
符合必要條件並驗證 PKI 和 AD FS 設定之後,部署 Windows Hello 企業版包含下列步驟:
設定 Windows Hello 企業版原則設定
在密鑰信任模型中啟用 Windows Hello 企業版需要 1 個原則設定:
另一個選擇性但建議的原則設定如下:
您可以在 GPO 的電腦或使用者節點中設定 [使用 Windows Hello 企業 版] 原則設定:
- 部署計算機節點原則設定,會導致所有登入目標裝置的用戶嘗試 Windows Hello 企業版註冊
- 部署用戶節點原則設定,只會讓目標用戶嘗試進行 Windows Hello 企業版註冊
如果同時部署使用者和電腦原則設定,使用者原則設定具備優先權。
若要設定具有組策略的裝置,請使用本地 組原則編輯器。 若要設定多個已加入 Active Directory 的裝置,請 (GPO) 建立或編輯 組策略物件,並使用下列設定:
| 組策略路徑 | 組策略設定 | 值 |
|---|---|---|
|
計算機設定\系統管理範本\Windows 元件\Windows Hello 企業版 or 用戶設定\系統管理範本\Windows 元件\Windows Hello 企業版 |
使用 Windows Hello 企業版 | 啟用 |
| 計算機設定\系統管理範本\Windows 元件\Windows Hello 企業版 | 使用硬體安全性裝置 | 啟用 |
組策略可以 連結 至網域或組織單位、 使用安全組進行篩選,或 使用WMI篩選器進行篩選。
提示
部署 Windows Hello 企業版 GPO 的最佳方式是使用安全組篩選。 只有目標安全組的成員會布建 Windows Hello 企業版,以啟用階段式推出。 此解決方案允許將 GPO 連結至網域,確保 GPO 的範圍限於所有安全性主體。 安全組篩選可確保只有全域群組的成員會接收並套用 GPO,這會導致布建 Windows Hello 企業版。
您可以設定其他原則設定來控制 Windows Hello 企業版的行為。 如需詳細資訊,請參閱 Windows Hello 企業版原則設定。
在 Windows Hello 企業版中註冊
Windows Hello 企業版布建程式會在使用者配置檔載入之後,以及在使用者收到其桌面之前立即開始。 若要開始布建程式,必須通過所有必要條件檢查。
您可以檢視 Windows 中 [應用程式和服務>記錄] 底下的 [用戶裝置註冊管理員記錄],以判斷必要條件檢查的狀態Microsoft。>
您也可以從主控台使用 dsregcmd.exe /status 命令來取得這項資訊。 如需詳細資訊,請參閱 dsregcmd。
使用者體驗
使用者登入之後,Windows Hello 企業版註冊程式就會開始:
- 如果裝置支援生物特徵辨識驗證,系統會提示使用者設定生物特徵辨識手勢。 此手勢可用來解除鎖定裝置,並驗證需要 Windows Hello 企業版的資源。 如果使用者不想設定生物特徵辨識手勢,則可以略過此步驟
- 系統會提示使用者搭配組織帳戶使用 Windows Hello。 用戶選取 [確定]
- 布建流程會繼續進行註冊的多重要素驗證部分。 布建會通知使用者,其正透過其設定的 MFA 形式主動嘗試連絡使用者。 在驗證成功、失敗或逾時之前,布建程式不會繼續。MFA 失敗或逾時會導致錯誤,並要求使用者重試
- MFA 成功後,佈建流程會要求使用者建立並驗證 PIN 碼。 此 PIN 必須觀察在裝置上設定的任何 PIN 複雜性原則
- 佈建餘下的工作包括 Windows Hello 企業版要求使用者的非對稱金鑰組,最好是向 TPM 要求 (如果已透過原則明確設定,則必須如此)。 取得金鑰組之後,Windows 會與 IdP 通訊以註冊公鑰。 密鑰註冊完成時,Windows Hello 企業版佈建會通知用戶他們可以使用 PIN 登入。 用戶可以關閉布建應用程式並存取其桌面
下列影片顯示使用適用於AD FS的自訂 MFA 配接器以密碼登入之後的 Windows Hello 企業版註冊步驟。
時序圖
若要進一步瞭解布建流程,請檢閱下列循序圖: