Руководство по развертыванию только в облаке
В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:
-
Тип развертывания:только в облаке.
-
Тип соединения.присоединение к Microsoft Entra
Требования
Перед началом развертывания ознакомьтесь с требованиями, описанными в статье Планирование развертывания Windows Hello для бизнеса .
Перед началом работы убедитесь, что выполнены следующие требования:
Шаги развертывания
После выполнения предварительных требований развертывание Windows Hello для бизнеса состоит из следующих шагов.
Настройка параметров политик Windows Hello для бизнеса
При присоединении к устройству Microsoft Entra система пытается автоматически зарегистрировать вас в Windows Hello для бизнеса. Если вы хотите использовать Windows Hello для бизнеса в облачной среде с параметрами по умолчанию, дополнительная настройка не требуется.
Облачные развертывания используют многофакторную проверку подлинности Microsoft Entra (MFA) во время регистрации Windows Hello для бизнеса, и другая конфигурация MFA не требуется. Если вы еще не зарегистрированы в MFA, вы можете ознакомиться с регистрацией MFA в рамках процесса регистрации Windows Hello для бизнеса.
Параметры политики можно настроить для управления поведением Windows Hello для бизнеса с помощью поставщика служб конфигурации (CSP) или групповой политики (GPO). В облачных развертываниях устройства обычно настраиваются с помощью решения MDM, например Microsoft Intune, с помощью passportForWork CSP.
Примечание.
Ознакомьтесь со статьей Настройка Windows Hello для бизнеса с помощью Microsoft Intune , чтобы узнать о различных параметрах, предлагаемых Microsoft Intune для настройки Windows Hello для бизнеса.
Если политика intune на уровне клиента настроена для отключения Windows Hello для бизнеса или если устройства развернуты с отключенным Windows Hello, необходимо настроить один параметр политики, чтобы включить Windows Hello для бизнеса:
Другой необязательный, но рекомендуемый параметр политики:
Следуйте приведенным ниже инструкциям, чтобы настроить устройства с помощью Microsoft Intune или групповой политики (GPO).
Intune/CSP
Объект групповой политикиЧтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:
| Категория | Имя параметра | Значение |
|---|---|---|
| Windows Hello для бизнеса | Использование Passport для работы | true |
| Windows Hello для бизнеса | Требовать устройство безопасности | true |
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP PassportForWork.
| Параметр |
|---|
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork- Тип данных: bool- Ценность: True |
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice- Тип данных: bool- Ценность: True |
Совет
Если вы используете Microsoft Intune и не используете политику на уровне клиента, включите страницу состояния регистрации (ESP), чтобы устройства получили параметры политики Windows Hello для бизнеса, прежде чем пользователи смогут получить доступ к рабочему столу. Дополнительные сведения об ESP см . в статье Настройка страницы состояния регистрации.
Дополнительные параметры политики можно настроить для управления поведением Windows Hello для бизнеса. Дополнительные сведения см. в разделе Параметры политики Windows Hello для бизнеса.
Регистрация в Windows Hello для бизнеса
Процесс подготовки Windows Hello для бизнеса начинается сразу после входа пользователя в систему при прохождении определенных проверок предварительных требований.
Взаимодействие с пользователем
После входа пользователя начинается процесс регистрации Windows Hello для бизнеса:
- Если устройство поддерживает биометрическую проверку подлинности, пользователю будет предложено настроить биометрический жест. Этот жест можно использовать для разблокировки устройства и проверки подлинности для ресурсов, которым требуется Windows Hello для бизнеса. Пользователь может пропустить этот шаг, если не хочет настраивать биометрический жест
- Пользователю будет предложено использовать Windows Hello с учетной записью организации. Пользователь нажимает кнопку ОК.
- Поток подготовки переходит к части регистрации с многофакторной проверкой подлинности. Подготовка информирует пользователя о том, что он активно пытается связаться с пользователем через настроенную форму MFA. Процесс подготовки не продолжается до тех пор, пока проверка подлинности не будет выполнена успешно, не произойдет сбой или не истекает время ожидания. Сбой или истечение времени ожидания MFA приводит к ошибке и просит пользователя повторить попытку.
- После успешной многофакторной идентификации в рамках процесса подготовки пользователь получает запрос на создание и проверку PIN-кода. Этот ПИН-код должен соблюдать все политики сложности ПИН-кода, настроенные на устройстве.
- На завершающем этапе подготовки служба Windows Hello для бизнеса запрашивает пару асимметричных ключей для пользователя, предпочтительно (или обязательно, если этого явно требует политика) от доверенного платформенного модуля. После получения пары ключей Windows взаимодействует с поставщиком удостоверений для регистрации открытого ключа. После завершения регистрации ключа подготовка Windows Hello для бизнеса информирует пользователя о том, что он может использовать свой ПИН-код для входа. Пользователь может закрыть приложение подготовки и получить доступ к рабочему столу.
Схемы последовательностей
Чтобы лучше понять потоки подготовки, просмотрите следующие схемы последовательностей на основе типа проверки подлинности:
- Подготовка для устройств, присоединенных к Microsoft Entra, с управляемой проверкой подлинности
- Подготовка для устройств, присоединенных к Microsoft Entra, с федеративной проверкой подлинности
Чтобы лучше понять потоки проверки подлинности, просмотрите следующую схему последовательностей:
Отключение автоматической регистрации
Если вы хотите отключить автоматическую регистрацию Windows Hello для бизнеса, вы можете настроить устройства с помощью параметра политики или раздела реестра. Дополнительные сведения см. в разделе Отключение регистрации Windows Hello для бизнеса.
Примечание.
Во время процесса запуска (OOBE) присоединения к Microsoft Entra вы можете зарегистрироваться в Windows Hello для бизнеса, если у вас нет Intune. Вы можете отменить экран ПИН-кода и получить доступ к рабочему столу без регистрации в Windows Hello для бизнеса.