Настройка и регистрация в Windows Hello для бизнеса в гибридной модели доверия сертификатов
В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:
-
Тип развертывания:
-
Тип доверия..
-
Тип соединения.присоединение к Microsoft Entra , к Microsoft Entra.
После выполнения необходимых требований и проверки конфигураций PKI и AD FS развертывание Windows Hello для бизнеса состоит из следующих действий.
Настройка параметров политик Windows Hello для бизнеса
Для включения Windows Hello для бизнеса в модели доверия сертификатов требуется два параметра политики:
Другой необязательный, но рекомендуемый параметр политики:
Используйте следующие инструкции, чтобы настроить устройства с помощью Microsoft Intune или групповой политики (GPO).
Объект групповой политики
Intune/CSPПараметр политики Использовать Windows Hello для бизнеса можно настроить на компьютере или в пользовательском узле объекта групповой политики:
- Развертывание параметра политики узла компьютера приводит к тому, что все пользователи, которые входят на целевые устройства, чтобы попытаться зарегистрироваться в Windows Hello для бизнеса
- Развертывание параметра политики узла пользователя приводит к тому, что только целевые пользователи попытаются зарегистрироваться в Windows Hello для бизнеса.
Если развернуты параметры политики и для пользователей, и для компьютеров, параметр политики для пользователей имеет приоритет.
Совет
Используйте одну и ту же группу безопасности Windows Hello для бизнеса пользователи , чтобы назначить разрешения шаблона сертификата , чтобы те же участники могли зарегистрироваться в сертификате проверки подлинности Windows Hello для бизнеса.
При подготовке Windows Hello для бизнеса производится первоначальная регистрация сертификата проверки подлинности Windows Hello для бизнеса. Срок действия этого сертификата истекает в зависимости от длительности, заданной в шаблоне сертификата проверки подлинности Windows Hello для бизнеса.
Этот процесс не требует взаимодействия с пользователем при условии, что пользователь входит с помощью Windows Hello для бизнеса. Сертификат продлевается в фоновом режиме до того, как истечет срок его действия.
Чтобы настроить устройство с помощью групповой политики, используйте редактор локальной групповой политики. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:
| Путь к групповой политике | Параметр групповой политики | Значение |
|---|---|---|
|
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса или Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса |
Использовать Windows Hello для бизнеса | Enabled |
|
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса или Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса |
Использовать сертификат для локальной проверки подлинности | Enabled |
|
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики открытых ключей или Конфигурация пользователя\Параметры Windows\Параметры безопасности\Политики открытого ключа |
Клиент служб сертификатов — автоматическая регистрация | — выберите Включено в модели конфигурации. — Выберите пункт Обновить сертификаты с истекшим сроком действия, обновить ожидающие сертификаты и удалить отозванные сертификаты. — Выберите Обновить сертификаты, использующие шаблоны сертификатов. |
| Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса | Использование устройства аппаратной защиты | Enabled |
Примечание.
Параметр политики Использовать аппаратное устройство безопасности является необязательным, но рекомендуется.
Групповые политики можно связать с доменами или подразделениями, отфильтровать с помощью групп безопасности или отфильтровать с помощью фильтров WMI.
Совет
Лучший способ развернуть объект групповой политики Windows Hello для бизнеса — использовать фильтрацию групп безопасности. Только члены целевой группы безопасности будут подготавливать Windows Hello для бизнеса, что позволяет поэтапное развертывание. Это решение позволяет связать объект групповой политики с доменом, гарантируя, что объект групповой политики ограничен всеми субъектами безопасности. Фильтрация групп безопасности гарантирует, что только члены глобальной группы получают и применяют объект групповой политики, что приводит к подготовке Windows Hello для бизнеса.
При развертывании конфигурации Windows Hello для бизнеса с помощью групповой политики и Intune приоритет имеют параметры групповой политики, а параметры Intune игнорируются. Дополнительные сведения о конфликтах политик см. в разделе Конфликты политик из нескольких источников политик.
Дополнительные параметры политики можно настроить для управления поведением Windows Hello для бизнеса. Дополнительные сведения см. в разделе Параметры политики Windows Hello для бизнеса.
Регистрация в Windows Hello для бизнеса
Процесс подготовки Windows Hello для бизнеса начинается сразу после загрузки профиля пользователя и до того, как пользователь получит рабочий стол. Чтобы начать процесс подготовки, все проверки готовности должны пройти.
Состояние проверок предварительных требований можно определить, просмотрев журнал администратора регистрации устройств пользователей в разделе Журналы > приложений и служб Microsoft > Windows.
Эти сведения также доступны с помощью dsregcmd.exe /status команды из консоли. Дополнительные сведения см. в разделе dsregcmd.
Взаимодействие с пользователем
После входа пользователя начинается процесс регистрации Windows Hello для бизнеса:
- Если устройство поддерживает биометрическую проверку подлинности, пользователю будет предложено настроить биометрический жест. Этот жест можно использовать для разблокировки устройства и проверки подлинности для ресурсов, которым требуется Windows Hello для бизнеса. Пользователь может пропустить этот шаг, если не хочет настраивать биометрический жест
- Пользователю будет предложено использовать Windows Hello с учетной записью организации. Пользователь нажимает кнопку ОК.
- Поток подготовки переходит к части регистрации с многофакторной проверкой подлинности. Подготовка информирует пользователя о том, что он активно пытается связаться с пользователем через настроенную форму MFA. Процесс подготовки не продолжается до тех пор, пока проверка подлинности не будет выполнена успешно, не произойдет сбой или не истекает время ожидания. Сбой или истечение времени ожидания MFA приводит к ошибке и просит пользователя повторить попытку.
- После успешной многофакторной идентификации в рамках процесса подготовки пользователь получает запрос на создание и проверку PIN-кода. Этот ПИН-код должен соблюдать все политики сложности ПИН-кода, настроенные на устройстве.
- На завершающем этапе подготовки служба Windows Hello для бизнеса запрашивает пару асимметричных ключей для пользователя, предпочтительно (или обязательно, если этого явно требует политика) от доверенного платформенного модуля. После получения пары ключей Windows взаимодействует с поставщиком удостоверений для регистрации открытого ключа. После завершения регистрации ключа подготовка Windows Hello для бизнеса информирует пользователя о том, что он может использовать свой ПИН-код для входа. Пользователь может закрыть приложение подготовки и получить доступ к рабочему столу.
После успешной регистрации ключа Windows создает запрос на сертификат с использованием той же пары ключей для запроса сертификата. Windows отправляет запрос сертификата на сервер AD FS для регистрации сертификата.
Центр регистрации AD FS проверяет ключ, использованный в запросе на сертификат, на соответствие ранее зарегистрированному ключу. Если они совпадают, центр регистрации AD FS подписывает запрос на сертификат с использованием своего сертификата агента регистрации и отправляет его в центр сертификации.
Примечание.
Чтобы служба AD FS проверила ключ, используемый в запросе сертификата, она должна иметь доступ к конечной точке https://enterpriseregistration.windows.net .
ЦС проверяет, подписан ли сертификат центром регистрации. При успешной проверке он выдает сертификат на основе запроса и возвращает его в центр регистрации AD FS. Центр регистрации возвращает сертификат в Windows, где затем устанавливает сертификат в хранилище сертификатов текущего пользователя. После завершения этого процесса рабочий процесс подготовки Windows Hello для бизнеса информирует пользователя о том, что он может использовать свой ПИН-код для входа в Центр уведомлений.
Примечание.
Обновление Windows Server 2016 KB4088889 (14393.2155) обеспечивает возможность синхронной регистрации сертификатов во время подготовки доверия гибридного сертификата. В этом обновлении пользователям не нужно ждать, пока Microsoft Entra Connect синхронизирует открытый ключ в локальной среде. Пользователи регистрят свой сертификат во время подготовки и могут использовать его для входа сразу после завершения подготовки. Обновление должно быть установлено на серверах федерации.
Схемы последовательностей
Чтобы лучше понять потоки подготовки, ознакомьтесь со следующими схемами последовательностей на основе присоединения устройства и типа проверки подлинности:
- Подготовка для устройств, присоединенных к Microsoft Entra, с управляемой проверкой подлинности
- Подготовка для устройств, присоединенных к Microsoft Entra, с федеративной проверкой подлинности
- Подготовка в гибридной модели развертывания доверия сертификатов с федеративной проверкой подлинности
Чтобы лучше понять потоки проверки подлинности, просмотрите следующую схему последовательностей: