多重要素解除鎖定
Windows Hello 企業版支援使用單一認證 (PIN 和生物特徵辨識) 來解除鎖定裝置。 因此,如果上述任何認證遭到入侵 (遭到窺視),攻擊者就能獲得系統的存取權。
您可以使用 多重要素解除鎖定來設定 Windows Hello 企業版,方法是使用受信任的訊號擴充 Windows Hello。 系統管理員可以設定裝置來要求因素和受信任訊號的組合,以解除鎖定它們。
多重要素解除鎖定適用於下列組織:
- 表示單獨的 PIN 不符合其安全性需求
- 想要防止資訊工作者共享認證
- 希望其組織遵守法規雙因素驗證原則
- 想要保留熟悉的 Windows 登入用戶體驗,而不是滿足自定義解決方案
運作方式
第一個解除鎖定因數認證提供者 和第 二個解除鎖定認證提供者 負責大量設定。 這些元件都包含代表不同 Windows 認證提供者的全域唯一標識碼 (GUID) 。 啟用原則設定后,使用者會在 Windows 允許使用者繼續使用其桌面之前,使用每個類別中至少一個認證提供者來解除鎖定裝置。
這項原則設定具有三個元件:
- 第一個解除鎖定要素認證提供者
- 第二個解除鎖定要素認證提供者
- 裝置解除鎖定的訊號規則
設定解除鎖定因素
注意
啟用 DontDisplayLastUserName 安全策略時,已知會干擾使用多重要素解除鎖定的能力。
原則設定的 \[第一個解除鎖定要素認證提供者\] 和 \[第二個解除鎖定要素認證提供者\] 部分各自包含一份以逗號分隔認證提供者清單。
支援的認證提供者包括:
| 認證提供者 | GUID |
|---|---|
| PIN | {D6886603-9D2F-4EB2-B667-1971041FA96B} |
| 指紋 | {BEC09223-B018-416D-A0AC-523971B639F5} |
| 臉部辨識 | {8AF662BF-65A0-4D0A-A540-A338A999D36F} |
| 受信任的訊號 (手機近接、網路位置) |
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD} |
注意
多重要素解除鎖定不支援非Microsoft認證提供者或未列在上表中的認證提供者。
第一個解除鎖定要素認證提供者的認證提供者包含:
- PIN
- 指紋
- 臉部辨識
第二個解除鎖定要素認證提供者的認證提供者包含:
- 受信任的訊號
- PIN
設定您要用來做為第一個和第二個解除鎖定要素的以逗號分隔認證提供者 GUID 清單。 雖然認證提供者可以出現在這兩個清單中,但該提供者所支持的認證只能滿足其中一個解除鎖定因素。 列出的認證提供者不需要是任何特定順序。
例如,如果您將 PIN 和指紋辨識認證提供者包含在第一個和第二個要素清單中,使用者可以使用他們的指紋或 PIN 做為第一個解除鎖定要素。 您用來滿足第一個解除鎖定因數的任何因素,都無法用來滿足第二個解除鎖定因素。 因此每個要素就只能使用一次。 受信任的訊號提供者只能指定為第二個解除鎖定要素認證提供者的一部分。
設定受信任訊號認證提供者的訊號規則
\[裝置解除鎖定的訊號規則\] 設定包含受信任的訊號認證提供者用來滿足解除鎖定裝置的規則。
規則元素
您可以使用 XML 表示訊號規則。 每個訊號規則都有起始和結束 rule 專案,其中包含 schemaVersion 屬性和值。 目前支援的架構版本為 1.0。
範例
<rule schemaVersion="1.0">
</rule>
訊號元素
每個規則專案都有一個 signal 元素。 所有訊號元素都有項目 type 和 value。 支援的值為:
- 藍牙
- ipConfig
- wifi
藍牙
您可以在 signal 元素中使用更多屬性來定義藍牙訊號。 藍牙組態不會使用任何其他元素。 您可以使用簡短的結束標記 />結束訊號專案。
| 屬性 | 值 | 必要 |
|---|---|---|
| type | bluetooth |
是 |
| scenario | Authentication |
是 |
| classOfDevice | "number" | 否 |
| rssiMin | "number" | 否 |
| rssiMaxDelta | "number" | 否 |
例如:
<rule schemaVersion="1.0">
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>
classofDevice 屬性預設為 Phone,並使用下表中的值:
| 描述 | 值 |
|---|---|
| 其他 | 0 |
| 電腦 | 256 |
| 手機 | 512 |
| LAN/網路存取點 | 768 |
| 音訊/視訊 | 1024 |
| 周邊設備 | 1280 |
| 影像處理 | 1536 |
| 穿戴式裝置 | 1792 |
| 玩具 | 2048 |
| 健康情況 | 2304 |
| 未分類 | 7936 |
rssiMin 屬性值訊號顯示要將裝置視為「在範圍內」所需的強度。 預設值 -10 可讓使用者移動大約平均規模的辦公室或隔間距離而不觸發 Windows 鎖定裝置。 rssiMaxDelta 的預設值為 -10,指示 Windows 在訊號強度降低超過 10 度量時鎖定裝置。
RSSI 度量是相對的,而且會隨著兩個配對裝置之間的藍牙訊號減少而降低。 0 的度量大於 -10。 -10 的度量比 -60 強,表示裝置彼此之間的距離更遠。
重要
Microsoft建議使用此原則設定的預設值。 測量值是相對值,根據每個環境的不同條件而改變。 因此,相同的值可能會產生不同的結果。 廣泛部署設定之前,請在每個環境中測試原則設定。 使用由群組原則管理編輯器所建立之 XML 檔案中的 rssiMIN 及 rssiMaxDelta 值,或是將兩個屬性都移除,以使用預設值。
IP 設定
您可以使用一個或多個 ipConfiguration 元素來定義 IP 設定訊號。 每個元素都有字串值。 IpConfiguration 元素沒有屬性或巢狀元素。
IPv4Prefix
使用以點分隔之十進位網際網路標準標記法所表示的 IPv4 網路首碼。 必須有使用類別網域間路由選擇 (CIDR) 標記法的網路首碼做為網路字串的一部分。 網路連接埠不可出現在網路字串中。 訊號元素可能僅包含一個 ipv4Prefix 元素。 例如:
<ipv4Prefix>192.168.100.0/24</ipv4Prefix>
在 192.168.100.1 至 192.168.100.254 範圍內的指派的 IPv4 位址符合此訊號設定。
IPv4Gateway
使用以點分隔之十進位網際網路標準標記法所表示的 IPv4 網路閘道。 網路連接埠或首碼不可出現在網路字串中。 訊號元素可能僅包含一個 ipv4Gateway 元素。 例如:
<ipv4Gateway>192.168.100.10</ipv4Gateway>
IPv4DhcpServer
使用以點分隔之十進位網際網路標準標記法所表示的 IPv4 DHCP 伺服器。 網路連接埠或首碼不可出現在網路字串中。 訊號元素可能僅包含一個 ipv4DhcpServer 元素。 例如:
<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>
IPv4DnsServer
使用以點分隔之十進位網際網路標準標記法所表示的 IPv4 DNS 伺服器。 網路連接埠或首碼不可出現在網路字串中。訊號元素可能會包含一個或多個 ipv4DnsServer 元素。
範例:
<ipv4DnsServer>192.168.100.10</ipv4DnsServer>
IPv6Prefix
IPv6 網路中使用網際網路標準十六進位編碼所表示的 IPv6 網路首碼。 必須有使用 CIDR 標記法的網路首碼做為網路字串的一部分。 網路連接埠或領域識別碼不可出現在網路字串中。 訊號元素可能僅包含一個 ipv6Prefix 元素。 例如:
<ipv6Prefix>21DA:D3::/48</ipv6Prefix>
IPv6Gateway
使用網際網路標準十六進位編碼所表示的 IPv6 網路閘道。 IPv6 領域識別碼可能會出現在網路字串中。 網路連接埠或首碼不可出現在網路字串中。 訊號元素可能僅包含一個 ipv6Gateway 元素。 例如:
<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>
IPv6DhcpServer
使用網際網路標準十六進位編碼所表示的 IPv6 DNS 伺服器。 IPv6 領域識別碼可能會出現在網路字串中。 網路連接埠或首碼不可出現在網路字串中。 訊號元素可能僅包含一個 ipv6DhcpServer 元素。 例如:
<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer
IPv6DnsServer
使用網際網路標準十六進位編碼所表示的 IPv6 DNS 伺服器。 IPv6 領域識別碼可能會出現在網路字串中。 網路連接埠或首碼不可出現在網路字串中。 訊號元素可能會包含一個或多個 ipv6DnsServer 元素。 例如:
<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>
dnsSuffix
貴組織內部 DNS 後綴的完整功能變數名稱,其中此設定中完整功能變數名稱的任何部分都存在於電腦的主要 DNS 後綴中。 訊號元素可能會包含一個或多個 dnsSuffix 元素。 例如:
<dnsSuffix>corp.contoso.com</dnsSuffix>
Wi-Fi
您可以使用一或多個 wifi 元素來定義 Wi-Fi 訊號。 每個元素都有字串值。 Wifi 元素沒有屬性或巢狀元素。
SSID
包含無線網路的 SSID) (服務集識別碼。 SSID 是無線網路的名稱。 需要 SSID 元素。 例如:
<ssid>corpnetwifi</ssid>
BSSID
包含無線存取點 (BSSID) 的基本服務集標識碼。 BSSID 是無線存取點的 mac 位址。 BSSID 元素是選擇性的。 例如:
<bssid>12-ab-34-ff-e5-46</bssid>
安全性
包含客戶端連線到無線網路時所使用的安全性類型。 安全性元素是必要的,而且必須包含下列其中一個值:
| 值 | 描述 |
|---|---|
| Open | 無線網路是不需要任何驗證或加密的開放式網路。 |
| WEP | 無線網路會使用有線對等隱私權進行保護。 |
| WPA-Personal | 無線網路會使用 Wi-Fi 受保護的存取來保護。 |
| WPA-Enterprise | 無線網路會使用 Wi-Fi 受保護的 Access-Enterprise 來保護。 |
| WPA2-Personal | 無線網路是使用 Wi-Fi 受保護的存取 2 來保護,這通常會使用預先共用的密鑰。 |
| WPA2-Enterprise | 無線網路會使用 Wi-Fi Protected Access 2-Enterprise 來保護。 |
例如:
<security>WPA2-Enterprise</security>
TrustedRootCA
包含無線網路受信任跟證書的指紋。 您可以使用任何有效的受信任跟證書。 值會以十六進位字串表示,其中字串中的每個位元組都會以單一空格分隔。 元素是選擇性的。 例如:
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
Sig_quality
包含數值,範圍從 0 到 100,代表要視為受信任訊號所需的無線網路訊號強度。
例如:
<sig_quality>80</sig_quality>
範例受信任訊號組態
重要
這些範例會換行顯示以便於閱讀。 正確設定格式後,整個 XML 內容必須為單行。
範例 1
下列範例會使用 Ipv4Prefix、Ipv4DnsServer 和 DnsSuffix 元素來設定 IPConfig 訊號類型。
<rule schemaVersion="1.0">
<signal type="ipConfig">
<ipv4Prefix>10.10.10.0/24</ipv4Prefix>
<ipv4DnsServer>10.10.0.1</ipv4DnsServer>
<ipv4DnsServer>10.10.0.2</ipv4DnsServer>
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>
範例 2
下列範例會使用 dnsSuffix 元素和手機藍牙訊號來設定 IpConfig 訊號類型。 此範例表示 IpConfig 或 藍牙規則必須評估為 true,產生的訊號評估才會是 true。
注意
使用逗號分隔每個規則元素。
<rule schemaVersion="1.0">
<signal type="ipConfig">
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>,
<rule schemaVersion="1.0">
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>
範例 3
下列範例會使用複合 and 元素來設定與範例 2 相同的 。 此範例表示 IpConfig 和 藍牙規則必須評估為 true,產生的訊號評估才會是 true。
<rule schemaVersion="1.0">
<and>
<signal type="ipConfig">
<dnsSuffix>corp.microsoft.com</dnsSuffix>
</signal>
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>
範例 4
下列範例會將 Wi-Fi 設定為受信任的訊號。
<rule schemaVersion="1.0">
<signal type="wifi">
<ssid>contoso</ssid>
<bssid>12-ab-34-ff-e5-46</bssid>
<security>WPA2-Enterprise</security>
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
<sig_quality>80</sig_quality>
</signal>
</rule>
設定多重要素解除鎖定
若要設定多重要素解除鎖定,您可以使用:
- Microsoft Intune/CSP
- 群組原則
重要
- PIN 必須至少位於下列其中一個群組
- 信任的訊號必須結合另一個認證提供者
- 您無法使用相同的解除鎖定因數來滿足這兩個類別。 因此,如果您在兩個類別中包含任何認證提供者,這表示它可以滿足任一類別,但不能同時滿足兩者
下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。
Intune/CSP
GPO若要使用 Microsoft Intune 設定裝置, 請建立 [設定] 目錄原則 ,並使用下列設定:
| 類別 | 設定名稱 |
|---|---|
| 系統管理範>本Windows Hello 企業版 | 裝置解除鎖定外掛程式 |
- 使用設定解除鎖定因素中的資訊來設定第一個和第二 個解除鎖定因素
- 如果使用信任的訊號,請使用設定信賴訊號認證提供者之訊號規則中的資訊,設定解除鎖定因數所使用的受信任訊號
將原則指派給包含 為您要設定之裝置或用戶成員的群組。
或者,您可以使用 自定義 原則搭配 PassportForWork CSP 來設定裝置。
| 設定 |
|---|
| ./Device/Vendor/MSFT/PassportForWork/DeviceUnlock |
重要
您應該移除所有非Microsoft認證提供者,以確保使用者若沒有必要的因素,就無法解除鎖定其裝置。 遞補選項是使用密碼或智慧卡 (兩者都可視需要停用)。
使用者體驗
以下簡短影片顯示啟用多重要素解除鎖定時的用戶體驗:
- 使用者第一次使用指紋 + 藍牙配對手機登入
- 用戶接著使用指紋 + PIN 登入
疑難排解
多重要素解除鎖定會將事件寫入應用程式 和服務記錄檔\Microsoft\Windows\HelloForBusiness 底下的事件記錄檔,其類別名稱為 裝置解除鎖定。
事件
| 事件識別碼 | 詳細資料 |
|---|---|
| 3520 | 已起始解除鎖定嘗試 |
| 5520 | 未設定解除鎖定原則 |
| 6520 | 警告事件 |
| 7520 | 錯誤事件 |
| 8520 | 成功事件 |