共用方式為


規劃 Windows Hello 企業版部署

本規劃指南將協助您了解環繞 Windows Hello 企業版基礎結構的各種不同拓撲、架構及元件。

這份指南將說明 Windows Hello 企業版中的每個元件,以及特定部署決策對基礎結構其他各個層面產生的影響。

提示

如果您有 Microsoft Entra ID 租使用者,您可以使用我們的在線互動式無密碼精靈來逐步執行相同的選擇,而不是使用下面的手動指南。 [無密碼精靈] 可在 Microsoft 365 系統管理中心 中取得。

使用本指南

有許多選項可用來部署 Windows Hello 企業版,以確保與各種組織基礎結構的相容性。 雖然部署程式看起來可能很複雜,但大部分的組織會發現他們已實作必要的基礎結構。 請務必注意,Windows Hello 企業版 是分散式系統,需要在組織內的多個小組之間進行適當的規劃。

本指南旨在協助您針對 Windows Hello 企業版 部署的每個層面做出明智的決策,以簡化部署程式。 它提供可用選項的相關信息,並協助您選取最適合您環境的部署方法。

如何繼續

閱讀這份文件並記錄您的決策。 完成時,您應該擁有所有必要的資訊來評估可用的選項,並判斷 Windows Hello 企業版 部署的需求。

規劃 Windows Hello 企業版 部署時,需要考慮七個主要區域:

部署選項

Windows Hello 企業版目標是要讓所有組織可以進行任何規模或案例的部署。 為了提供這種類型的細微部署,Windows Hello 企業版可讓您選擇各種不同的部署選項。

部署模型

基本上,請務必瞭解要用於成功部署的部署模型。 部署的某些層面可能已經根據您目前的基礎結構為您決定。

有三種部署模型可供您選擇:

部署模型 描述
🔲 僅限雲端 對於只有雲端身分識別且不存取內部部署資源的組織。 這些組織通常會將其裝置加入雲端,並專門使用雲端中的資源,例如 SharePoint Online、OneDrive 和其他資源。 此外,由於使用者不使用內部部署資源,因此不需要 VPN 之類的憑證,因為他們需要的所有專案都裝載在雲端服務中。
🔲 混合式部署 對於具有從 Active Directory 同步至 Microsoft Entra ID 身分識別的組織。 這些組織會使用在 Microsoft Entra ID 中註冊的應用程式,並想要內部部署和 Microsoft Entra 資源的單一登錄 (SSO) 體驗。
🔲 內部部署 對於沒有雲端身分識別或使用裝載於 Microsoft Entra ID 中的應用程式的組織。 這些組織會使用整合在 Active Directory 中的內部部署應用程式,而且想要在存取這些應用程式時有 SSO 用戶體驗。

注意

  • 內部部署的主要使用案例適用於「增強式安全性系統管理環境」,也稱為「紅色樹系」
  • 從內部部署移轉至混合式部署需要重新部署

信任類型

部署的信任類型會定義 Windows Hello 企業版 用戶端向 Active Directory 進行驗證的方式。 信任類型不會影響對 Microsoft Entra ID 的驗證。 因此,信任類型不適用於僅限雲端的部署模型。

Windows Hello 企業版 驗證 Microsoft Entra ID 一律使用密鑰,而不是憑證 (不包括同盟環境中的智慧卡驗證) 。

信任類型會決定您是否向使用者發出驗證憑證。 一個信任模型並不比另一個更安全。

將憑證部署到使用者和域控制器需要更多設定和基礎結構,這也可能是您決策中要考慮的因素。 憑證信任部署需要更多基礎結構,包括憑證註冊授權單位。 在同盟環境中,您必須在 Microsoft Entra Connect 中啟用 [裝置回寫] 選項。

您可以從選擇三種信任類型:

信任類型 描述
🔲 雲端 Kerberos 使用者使用 Microsoft Entra Kerberos 向 Microsoft Entra ID 要求 TGT,以向 Active Directory 進行驗證。 內部部署域控制器仍然負責 Kerberos 服務票證和授權。 雲端 Kerberos 信任使用 FIDO2 安全性金鑰登入所需的相同基礎結構,而且可用於新的或現有的 Windows Hello 企業版 部署。
🔲 鑰匙 使用者使用 Windows Hello 布建體驗期間建立的裝置系結金鑰 (硬體或軟體) 向 內部部署的 Active Directory 進行驗證。 它需要將憑證散發給域控制器。
🔲 憑證 憑證信任類型會向使用者發出驗證憑證。 使用者會使用在 Windows Hello 布建體驗期間建立的裝置系結密鑰 (硬體或軟體) 要求的憑證進行驗證。

密鑰信任憑證信任 會在要求內部部署驗證的 kerberos 票證-授與票證 (TGT) 時,使用憑證驗證型 Kerberos。 這種類型的驗證需要DC憑證的 PKI,而且需要終端用戶憑證才能進行憑證信任。

相較於其他信任類型,Windows Hello 企業版 雲端 Kerberos 信任的目標是提供更簡單的部署體驗:

  • 不需要將公鑰基礎結構部署 (PKI) 或變更現有的 PKI
  • 不需要同步處理 Microsoft Entra ID 與 Active Directory 之間的公鑰,使用者即可存取內部部署資源。 使用者的布建 Windows Hello 企業版 與能夠向 Active Directory 進行驗證之間沒有任何延遲
  • FIDO2 安全性金鑰登入 可以使用最少的額外設定來部署

提示

相較於密鑰信任模型,Windows Hello 企業版 雲端 Kerberos 信任是建議的部署模型。 如果您不需要支持憑證驗證案例,這也是慣用的部署模型。

雲端 Kerberos 信任需要部署 Microsoft Entra Kerberos。 如需 kerberos Microsoft Entra 如何啟用內部部署資源存取權的詳細資訊,請參閱啟用內部部署資源的無密碼安全性密鑰登入

PKI 需求

雲端 Kerberos 信任是唯一不需要部署任何憑證的混合式部署選項。 其他混合式和內部部署模型相依於企業 PKI 作為驗證的信任錨點:

  • 混合式和內部部署的域控制器需要 Windows 裝置的憑證,才能將域控制器信任為合法
  • 使用憑證信任類型的部署需要企業 PKI 和憑證註冊授權單位 (CRA) 向使用者發出驗證憑證。 AD FS 會當做 CRA 使用
  • 混合式部署可能需要發行 VPN 憑證給使用者,以啟用內部部署資源的連線
部署模型 信任類型 需要 PKI 嗎?
🔲 僅限雲端 不適用
🔲 混合式部署 雲端 Kerberos
🔲 混合式部署 機碼
🔲 混合式部署 憑證
🔲 內部部署 機碼
🔲 內部部署 憑證

驗證以 Microsoft Entra ID

用戶可以使用同盟驗證或雲端 (非同盟) 驗證來驗證 Microsoft Entra ID。 需求會根據信任類型而有所不同:

部署模型 信任類型 驗證以 Microsoft Entra ID 需求
🔲 僅限雲端 不適用 雲端驗證 不適用
🔲 僅限雲端 不適用 同盟驗證 非Microsoft同盟服務
🔲 混合式部署 雲端 Kerberos 信任 雲端驗證 密碼哈希同步 (PHS) 或傳遞驗證 (PTA)
🔲 混合式部署 雲端 Kerberos 信任 同盟驗證 AD FS 或非Microsoft同盟服務
🔲 混合式部署 金鑰信任 雲端驗證 密碼哈希同步 (PHS) 或傳遞驗證 (PTA)
🔲 混合式部署 金鑰信任 同盟驗證 AD FS 或非Microsoft同盟服務
🔲 混合式部署 憑證信任 同盟驗證 此部署模型不支援 PTA 或 PHS。 Active Directory 必須與使用 AD FS 的 Microsoft Entra ID 同盟

若要深入瞭解:

裝置註冊

針對內部部署,執行 Active Directory 同盟服務 (AD FS) 角色的伺服器會負責裝置註冊。 針對僅限雲端和混合式部署,裝置必須在 Microsoft Entra ID 中註冊。

部署模型 支援的聯結類型 裝置註冊服務提供者
僅限雲端 Microsoft Entra 聯結
已註冊 Microsoft Entra
Microsoft Entra ID
混合式部署 Microsoft Entra 聯結
Microsoft Entra 混合式聯結
已註冊 Microsoft Entra
Microsoft Entra ID
內部部署 已加入 Active Directory 網域 AD FS

重要

需 Microsoft Entra 混合式聯結指引,請檢閱規劃您的 Microsoft Entra 混合式聯結實作

多重要素驗證

Windows Hello 企業版 的目標是為組織提供強式認證來啟用簡單的雙因素驗證,讓組織遠離密碼。 內建布建體驗會接受使用者的弱式認證, (用戶名稱和密碼) 作為第一個要素驗證。 不過,在 Windows 布建強式認證之前,用戶必須先提供第二個驗證因素:

重要

從 2019 年 7 月 1 日開始,Microsoft不會為新的部署提供 MFA Server。 需要多重要素驗證的新部署應該使用雲端式 Microsoft Entra 多重要素驗證。

從 2024 年 9 月 30 日開始,Azure Multi-Factor Authentication Server 部署將不再服務 MFA 要求。 為了確保不中斷的驗證服務並維持在支援的狀態,組織應該 將其使用者的驗證數據遷移 至雲端式 Azure MFA。

部署模型 MFA 選項
🔲 僅限雲端 Microsoft Entra MFA
🔲 僅限雲端 非Microsoft MFA,透過 Microsoft Entra ID 或同盟中的外部驗證方法
🔲 混合式部署 Microsoft Entra MFA
🔲 混合式部署 非Microsoft MFA,透過 Microsoft Entra ID 或同盟中的外部驗證方法
🔲 內部部署 AD FS MFA 配接器

如需詳細資訊:

MFA 和同盟驗證

同盟網域可以設定 FederatedIdpMfaBehavior 旗標。 旗標會指示 Microsoft Entra ID 接受、強制執行或拒絕來自同盟IdP的MFA挑戰。 如需詳細資訊,請參閱 federatedIdpMfaBehavior 值。 若要檢查此設定,請使用下列 PowerShell 命令:

Connect-MgGraph
$DomainId = "<your federated domain name>"
Get-MgDomainFederationConfiguration -DomainId $DomainId |fl

若要拒絕來自同盟IdP的MFA宣告,請使用下列命令。 這項變更會影響同盟網域的所有 MFA 案例:

Update-MgDomainFederationConfiguration -DomainId $DomainId -FederatedIdpMfaBehavior rejectMfaByFederatedIdp

如果您使用預設) 或 enforceMfaByFederatedIdp (值acceptIfMfaDoneByFederatedIdp來設定旗標,則必須確認您的同盟 IDP 已正確設定,並使用 IdP 所使用的 MFA 配接器和提供者。

金鑰註冊

內建 Windows Hello 企業版 布建體驗會建立裝置系結的非對稱密鑰組作為使用者的認證。 私鑰會受到裝置的安全性模組保護。 認證是 使用者金鑰,而不是 裝置金鑰。 布建體驗會向識別提供者註冊用戶的公鑰:

部署模型 金鑰註冊服務提供者
僅限雲端 Microsoft Entra ID
混合式部署 Microsoft Entra ID
內部部署 AD FS

目錄同步作業

混合式和內部部署會使用目錄同步處理,不過,每個部署都有不同的用途:

  • 混合式部署會使用 Microsoft Entra Connect Sync 來同步處理使用者和裝置 (的 Active Directory 身分識別,) 或本身與 Microsoft Entra ID 之間的認證。 在商務用視窗 Hello 布建程式期間,使用者會向 Microsoft Entra ID 註冊其 Windows Hello 企業版 認證的公開部分。 Microsoft Entra Connect Sync 會將 Windows Hello 企業版 公鑰同步至 Active Directory。 此同步處理可讓 SSO Microsoft Entra ID 及其同盟元件。

    重要

    Windows Hello 企業版 系結在用戶和裝置之間。 用戶和裝置對象都必須在 Microsoft Entra ID 與 Active Directory 之間同步處理。

  • 內部部署會使用目錄同步處理,將使用者從 Active Directory 匯入 Azure MFA 伺服器,以將數據傳送至 MFA 雲端服務以執行驗證
部署模型 目錄同步處理選項
僅限雲端 不適用
混合式部署 Microsoft Entra 連線同步處理
內部部署 Azure MFA 伺服器

重要

從 2024 年 9 月 30 日開始,Azure Multi-Factor Authentication Server 部署將不再服務 MFA 要求。 為了確保不中斷的驗證服務並維持在支援的狀態,組織應該 將其使用者的驗證數據遷移 至雲端式 Azure MFA。

裝置組態選項

Windows Hello 企業版 提供一組豐富的細微原則設定。 設定 Windows Hello 企業版 有兩個主要選項:設定服務提供者 (CSP) 和組策略 (GPO) 。

  • CSP 選項非常適合透過行動裝置 裝置管理 (MDM) 解決方案來管理的裝置,例如 Microsoft Intune。 CSP 也可以使用布建套件來設定
  • GPO 可用來設定已加入網域的裝置,以及未透過 MDM 管理裝置的位置
部署模型 裝置組態選項
🔲 僅限雲端 Csp
🔲 僅限雲端 本機 (GPO)
🔲 混合式部署 Csp
🔲 混合式部署 GPO (Active Directory 或本機)
🔲 內部部署 Csp
🔲 內部部署 GPO (Active Directory 或本機)

雲端服務需求的授權

以下是有關雲端服務授權需求的一些考慮:

  • Windows Hello 企業版 不需要 Microsoft Entra ID P1 或 P2 訂用帳戶。 不過,某些相依性,例如 MDM 自動註冊條件式存取 會執行
    • 透過 MDM 管理的裝置不需要 Microsoft Entra ID P1 或 P2 訂用帳戶。 藉由放棄訂用帳戶,用戶必須在 MDM 解決方案中手動註冊裝置,例如 Microsoft Intune 或支援的非Microsoft MDM
  • 您可以使用 Microsoft Entra ID 免費層來部署 Windows Hello 企業版。 所有 Microsoft Entra ID 免費帳戶都可以針對 Windows 無密碼功能使用 Microsoft Entra 多重要素驗證
  • 使用AD FS註冊授權單位註冊憑證需要裝置向AD FS伺服器進行驗證,這需要裝置回寫、Microsoft Entra ID P1 或 P2 功能
部署模型 信任類型 雲端服務授權 (最小)
🔲 僅限雲端 不適用 非必要
🔲 混合式部署 雲端 Kerberos 非必要
🔲 混合式部署 機碼 非必要
🔲 混合式部署 憑證 Microsoft Entra ID P1
🔲 內部部署 機碼 Azure MFA,如果作為 MFA 解決方案使用
🔲 內部部署 憑證 Azure MFA,如果作為 MFA 解決方案使用

重要

從 2024 年 9 月 30 日開始,Azure Multi-Factor Authentication Server 部署將不再服務 MFA 要求。 為了確保不中斷的驗證服務並維持在支援的狀態,組織應該 將其使用者的驗證數據遷移 至雲端式 Azure MFA。

操作系統需求

Windows 需求

所有支援的 Windows 版本都可以與 Windows Hello 企業版 搭配使用。 不過,雲端 Kerberos 信任需要最低版本:

部署模型 信任類型 Windows 版本
🔲 僅限雲端 不適用 所有支援的版本
🔲 混合式部署 雲端 Kerberos - Windows 10 21H2,KB5010415及更新版本
- Windows 11 21H2,KB5010414及更新版本
🔲 混合式部署 機碼 所有支援的版本
🔲 混合式部署 憑證 所有支援的版本
🔲 內部部署 機碼 所有支援的版本
🔲 內部部署 憑證 所有支援的版本

Windows Server 需求

Windows Hello 企業版 可用來以域控制器身分向所有支援的 Windows Server 版本進行驗證。 不過,雲端 Kerberos 信任需要最低版本:

部署模型 信任類型 域控制器 OS 版本
🔲 僅限雲端 不適用 所有支援的版本
🔲 混合式部署 雲端 Kerberos - Windows Server 2016,含KB3534307及更新版本
- Windows Server 2019,KB4534321及更新版本
- Windows Server 2022
- Windows Server 2025
🔲 混合式部署 機碼 所有支援的版本
🔲 混合式部署 憑證 所有支援的版本
🔲 內部部署 機碼 所有支援的版本
🔲 內部部署 憑證 所有支援的版本

所有部署模型的最低必要網域功能和樹系功能等級是 Windows Server 2008 R2。

準備使用者

當您準備好在組織中啟用 Windows Hello 企業版 時,請務必說明如何布建和使用 Windows Hello 來準備使用者。

若要深入瞭解,請參閱 準備使用者

後續步驟

既然您已瞭解不同的部署選項和需求,您可以選擇最適合貴組織的實作。