Настройка и регистрация в Windows Hello для бизнеса в локальной модели доверия ключам

В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:

  • Тип развертывания:
  • Тип доверия..
  • Тип соединения..

После выполнения необходимых требований и проверки конфигураций PKI и AD FS развертывание Windows Hello для бизнеса состоит из следующих действий.

Настройка параметров политик Windows Hello для бизнеса

Для включения Windows Hello для бизнеса в модели доверия ключей требуется 1 параметр политики:

Другой необязательный, но рекомендуемый параметр политики:

Параметр политики Использовать Windows Hello для бизнеса можно настроить на компьютере или в пользовательском узле объекта групповой политики:

  • Развертывание параметра политики узла компьютера приводит к тому, что все пользователи, которые входят на целевые устройства, чтобы попытаться зарегистрироваться в Windows Hello для бизнеса
  • Развертывание параметра политики узла пользователя приводит к тому, что только целевые пользователи попытаются зарегистрироваться в Windows Hello для бизнеса.

Если развернуты параметры политики и для пользователей, и для компьютеров, параметр политики для пользователей имеет приоритет.

Чтобы настроить устройство с помощью групповой политики, используйте редактор локальной групповой политики. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

Путь к групповой политике Параметр групповой политики Значение
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса
или
Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса
Использовать Windows Hello для бизнеса Enabled
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса Использование устройства аппаратной защиты Enabled

Групповые политики можно связать с доменами или подразделениями, отфильтровать с помощью групп безопасности или отфильтровать с помощью фильтров WMI.

Совет

Лучший способ развернуть объект групповой политики Windows Hello для бизнеса — использовать фильтрацию групп безопасности. Только члены целевой группы безопасности будут подготавливать Windows Hello для бизнеса, что позволяет поэтапное развертывание. Это решение позволяет связать объект групповой политики с доменом, гарантируя, что объект групповой политики ограничен всеми субъектами безопасности. Фильтрация групп безопасности гарантирует, что только члены глобальной группы получают и применяют объект групповой политики, что приводит к подготовке Windows Hello для бизнеса.

Дополнительные параметры политики можно настроить для управления поведением Windows Hello для бизнеса. Дополнительные сведения см. в разделе Параметры политики Windows Hello для бизнеса.

Регистрация в Windows Hello для бизнеса

Процесс подготовки Windows Hello для бизнеса начинается сразу после загрузки профиля пользователя и до того, как пользователь получит рабочий стол. Чтобы начать процесс подготовки, все проверки готовности должны пройти.

Состояние проверок предварительных требований можно определить, просмотрев журнал администратора регистрации устройств пользователей в разделе Журналы > приложений и служб Microsoft > Windows.
Эти сведения также доступны с помощью dsregcmd.exe /status команды из консоли. Дополнительные сведения см. в разделе dsregcmd.

Взаимодействие с пользователем

После входа пользователя начинается процесс регистрации Windows Hello для бизнеса:

  1. Если устройство поддерживает биометрическую проверку подлинности, пользователю будет предложено настроить биометрический жест. Этот жест можно использовать для разблокировки устройства и проверки подлинности для ресурсов, которым требуется Windows Hello для бизнеса. Пользователь может пропустить этот шаг, если не хочет настраивать биометрический жест
  2. Пользователю будет предложено использовать Windows Hello с учетной записью организации. Пользователь нажимает кнопку ОК.
  3. Поток подготовки переходит к части регистрации с многофакторной проверкой подлинности. Подготовка информирует пользователя о том, что он активно пытается связаться с пользователем через настроенную форму MFA. Процесс подготовки не продолжается до тех пор, пока проверка подлинности не будет выполнена успешно, не произойдет сбой или не истекает время ожидания. Сбой или истечение времени ожидания MFA приводит к ошибке и просит пользователя повторить попытку.
  4. После успешной многофакторной идентификации в рамках процесса подготовки пользователь получает запрос на создание и проверку PIN-кода. Этот ПИН-код должен соблюдать все политики сложности ПИН-кода, настроенные на устройстве.
  5. На завершающем этапе подготовки служба Windows Hello для бизнеса запрашивает пару асимметричных ключей для пользователя, предпочтительно (или обязательно, если этого явно требует политика) от доверенного платформенного модуля. После получения пары ключей Windows взаимодействует с поставщиком удостоверений для регистрации открытого ключа. После завершения регистрации ключа подготовка Windows Hello для бизнеса информирует пользователя о том, что он может использовать свой ПИН-код для входа. Пользователь может закрыть приложение подготовки и получить доступ к рабочему столу.

В следующем видео показаны шаги регистрации Windows Hello для бизнеса после входа с помощью пароля с помощью пользовательского адаптера MFA для AD FS.

Схема последовательностей

Чтобы лучше понять потоки подготовки, просмотрите следующую схему последовательностей: