Настройка и регистрация в Windows Hello для бизнеса в гибридной модели доверия ключей

В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:


После выполнения предварительных требований и проверки конфигурации PKI развертывание Windows Hello для бизнеса состоит из следующих шагов.

Настройка параметров политик Windows Hello для бизнеса

Для включения Windows Hello для бизнеса в модели доверия ключей требуется один параметр политики:

Другой необязательный, но рекомендуемый параметр политики:

В следующих инструкциях описывается настройка устройств с помощью Microsoft Intune или групповой политики (GPO).

Примечание.

Ознакомьтесь со статьей Настройка Windows Hello для бизнеса с помощью Microsoft Intune , чтобы узнать о различных параметрах, предлагаемых Microsoft Intune для настройки Windows Hello для бизнеса.

Если политика на уровне клиента Intune включена и настроена в соответствии с вашими потребностями, можно перейти к разделу Регистрация в Windows Hello для бизнеса.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория Имя параметра Значение
Windows Hello для бизнеса Использование Passport для работы true
Windows Hello для бизнеса Требовать устройство безопасности true

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP PassportForWork.

Параметр
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
- Тип данных:bool
- Ценность:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
- Тип данных:bool
- Ценность:True

При развертывании конфигурации Windows Hello для бизнеса с помощью групповой политики и Intune приоритет имеют параметры групповой политики, а параметры Intune игнорируются. Дополнительные сведения о конфликтах политик см. в разделе Конфликты политик из нескольких источников политик.

Другие параметры политики можно настроить для управления поведением Windows Hello для бизнеса. Дополнительные сведения см. в разделе Параметры политики Windows Hello для бизнеса.

Регистрация в Windows Hello для бизнеса

Процесс подготовки Windows Hello для бизнеса начинается сразу после загрузки профиля пользователя и до того, как пользователь получит рабочий стол. Чтобы начать процесс подготовки, все проверки готовности должны пройти.

Состояние проверок предварительных требований можно определить, просмотрев журнал администратора регистрации устройств пользователей в разделе Журналы > приложений и служб Microsoft > Windows.
Эти сведения также доступны с помощью dsregcmd.exe /status команды из консоли. Дополнительные сведения см. в разделе dsregcmd.

Сведения о событии с идентификатором 358, показывающие, что устройство готово к регистрации в Windows Hello для бизнеса.

Взаимодействие с пользователем

После входа пользователя начинается процесс регистрации Windows Hello для бизнеса:

  1. Если устройство поддерживает биометрическую проверку подлинности, пользователю будет предложено настроить биометрический жест. Этот жест можно использовать для разблокировки устройства и проверки подлинности для ресурсов, которым требуется Windows Hello для бизнеса. Пользователь может пропустить этот шаг, если не хочет настраивать биометрический жест
  2. Пользователю будет предложено использовать Windows Hello с учетной записью организации. Пользователь нажимает кнопку ОК.
  3. Поток подготовки переходит к части регистрации с многофакторной проверкой подлинности. Подготовка информирует пользователя о том, что он активно пытается связаться с пользователем через настроенную форму MFA. Процесс подготовки не продолжается до тех пор, пока проверка подлинности не будет выполнена успешно, не произойдет сбой или не истекает время ожидания. Сбой или истечение времени ожидания MFA приводит к ошибке и просит пользователя повторить попытку.
  4. После успешной многофакторной идентификации в рамках процесса подготовки пользователь получает запрос на создание и проверку PIN-кода. Этот ПИН-код должен соблюдать все политики сложности ПИН-кода, настроенные на устройстве.
  5. На завершающем этапе подготовки служба Windows Hello для бизнеса запрашивает пару асимметричных ключей для пользователя, предпочтительно (или обязательно, если этого явно требует политика) от доверенного платформенного модуля. После получения пары ключей Windows взаимодействует с поставщиком удостоверений для регистрации открытого ключа. После завершения регистрации ключа подготовка Windows Hello для бизнеса информирует пользователя о том, что он может использовать свой ПИН-код для входа. Пользователь может закрыть приложение подготовки и получить доступ к рабочему столу.

После регистрации Microsoft Entra Connect синхронизирует ключ пользователя из Идентификатора Microsoft Entra в Active Directory.

Важно.

Минимальное время, необходимое для синхронизации открытого ключа пользователя из Microsoft Entra ID в локальную службу Active Directory, составляет 30 минут. Планировщик Microsoft Entra Connect управляет интервалом синхронизации. Эта задержка синхронизации задерживает возможность пользователя проверять подлинность и использовать локальные ресурсы до тех пор, пока открытый ключ пользователя не будет синхронизирован с Active Directory. После синхронизации пользователь может пройти проверку подлинности и получить доступ к локальным ресурсам. Прочитайте статью Microsoft Entra Connect Sync: Планировщик , чтобы просмотреть и настроить цикл синхронизации для вашей организации.

Схемы последовательностей

Чтобы лучше понять потоки подготовки, ознакомьтесь со следующими схемами последовательностей на основе присоединения устройства и типа проверки подлинности:

Чтобы лучше понять потоки проверки подлинности, просмотрите следующую схему последовательностей: