在內部部署憑證信任模型中設定及註冊 Windows Hello 企業版

本文說明 Windows Hello 企業版 適用的功能或案例:


一旦符合必要條件,且已驗證 PKI 和 AD FS 組態,部署 Windows Hello 企業版 包含下列步驟:

設定 Windows Hello 企業版原則設定

在憑證信任模型中啟用 Windows Hello 企業版 需要 2 個原則設定:

另一個選擇性但建議的原則設定如下:

請遵循下列指示,使用 Microsoft Intune 或組策略 (GPO) 來設定您的裝置。

您可以在 GPO 的電腦或使用者節點中設定 [使用 Windows Hello 企業版 原則] 設定:

  • 部署計算機節點原則設定,會導致所有登入目標裝置的用戶嘗試註冊 Windows Hello 企業版
  • 部署使用者節點原則設定,只會讓目標用戶嘗試註冊 Windows Hello 企業版

如果同時部署使用者和電腦原則設定,使用者原則設定具備優先權。

提示

使用相同的 Windows Hello 企業版 使用者安全組來指派證書範本許可權,以確保相同的成員可以註冊 Windows Hello 企業版 驗證憑證。

啟用憑證組策略設定的自動註冊

Windows Hello 企業版佈建會執行 Windows Hello 企業版驗證憑證的初始註冊。 此憑證會根據 Windows Hello 企業版 驗證證書範本中設定的持續時間到期。

如果使用者使用 Windows Hello 企業版 登入,此程式就不需要用戶互動。 過期之前,在背景中更新憑證。

若要使用組策略設定裝置,請使用本機 群組原則 編輯器。 若要設定多個已加入 Active Directory 的裝置,請 (GPO) 建立或編輯 組策略物件,並使用下列設定:

組策略路徑 組策略設定
計算機設定\系統管理範本\Windows 元件\Windows Hello 企業版
or
用戶設定\系統管理範本\Windows 元件\Windows Hello 企業版
使用 Windows Hello 企業版 啟用
計算機設定\系統管理範本\Windows 元件\Windows Hello 企業版
or
用戶設定\系統管理範本\Windows 元件\Windows Hello 企業版
使用憑證進行內部部署驗證 啟用
計算機設定\Windows 設定\安全性設定\公鑰原則
or
用戶設定\Windows 設定\安全性設定\公鑰原則
憑證服務用戶端 - 自動註冊 - 從組態模型中選取 [已啟用]
- 選取 [更新過期的憑證]、更新擱置中的憑證,以及移除撤銷的憑證
- 選 取 [更新使用證書範本的憑證]
計算機設定\系統管理範本\Windows 元件\Windows Hello 企業版 使用硬體安全性裝置 啟用

注意

啟用 [ 使用硬體安全性裝置 ] 原則設定是選擇性的,但建議使用。

組策略可以 連結 至網域或組織單位、 使用安全組進行篩選,或 使用WMI篩選器進行篩選

提示

部署 Windows Hello 企業版 GPO 的最佳方式是使用安全組篩選。 只有目標安全組的成員會布建 Windows Hello 企業版,以啟用階段式推出。 此解決方案允許將 GPO 連結至網域,確保 GPO 的範圍限於所有安全性主體。 安全組篩選可確保只有全域群組的成員會接收並套用 GPO,這會導致布建 Windows Hello 企業版。

您可以設定其他原則設定來控制 Windows Hello 企業版 的行為。 如需詳細資訊,請參閱 Windows Hello 企業版 原則設定

註冊 Windows Hello 企業版

Windows Hello 企業版 布建程式會在使用者配置檔載入之後,以及在使用者收到其桌面之前立即開始。 若要開始布建程式,必須通過所有必要條件檢查。

您可以檢視應用程式和服務記錄 Microsoft > Windows 底下的使用者裝置註冊系統管理員記錄,以判斷必要條件檢查的>狀態。
您也可以從主控台使用 dsregcmd.exe /status 命令來取得這項資訊。 如需詳細資訊,請參閱 dsregcmd

使用者體驗

使用者登入之後,Windows Hello 企業版 註冊程式會開始:

  1. 如果裝置支援生物特徵辨識驗證,系統會提示使用者設定生物特徵辨識手勢。 此手勢可用來解除鎖定裝置,並驗證需要 Windows Hello 企業版 的資源。 如果使用者不想設定生物特徵辨識手勢,則可以略過此步驟
  2. 系統會提示使用者搭配組織帳戶使用 Windows Hello。 用戶選取 [確定]
  3. 布建流程會繼續進行註冊的多重要素驗證部分。 布建會通知使用者,其正透過其設定的 MFA 形式主動嘗試連絡使用者。 在驗證成功、失敗或逾時之前,布建程式不會繼續。MFA 失敗或逾時會導致錯誤,並要求使用者重試
  4. MFA 成功後,佈建流程會要求使用者建立並驗證 PIN 碼。 此 PIN 必須觀察在裝置上設定的任何 PIN 複雜性原則
  5. 佈建餘下的工作包括 Windows Hello 企業版要求使用者的非對稱金鑰組,最好是向 TPM 要求 (如果已透過原則明確設定,則必須如此)。 取得金鑰組之後,Windows 會與 IdP 通訊以註冊公鑰。 密鑰註冊完成時,Windows Hello 企業版 布建會通知用戶他們可以使用 PIN 登入。 用戶可以關閉布建應用程式並存取其桌面

金鑰註冊成功後,Windows 會使用相同的金鑰組建立憑證要求,以要求憑證。 Windows 會將憑證要求傳送至 AD FS 伺服器以進行憑證註冊。

AD FS 登錄授權單位檢查憑證要求中使用的金鑰是否符合先前註冊的金鑰。 確實符合時,AD FS 登錄授權單位會使用其註冊代理程式憑證簽署該憑證要求,並將其傳送至憑證授權單位。

CA 會驗證憑證是否由註冊授權單位簽署。 驗證成功時,它會根據要求發出憑證,並將憑證傳回給 AD FS 註冊授權單位。 註冊授權單位會將憑證傳回 Windows,然後將憑證安裝在目前使用者的證書存儲中。 此程式完成後,Windows Hello 企業版 布建工作流程會通知用戶,他們可以使用 PIN 透過控制中心登入。

時序圖

若要進一步瞭解布建流程,請檢閱下列循序圖: