Konfigurieren und Registrieren in Windows Hello for Business in einem lokalen Zertifikatvertrauensmodell
In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:
Sobald die Voraussetzungen erfüllt sind und die PKI- und AD FS-Konfigurationen überprüft wurden, besteht die Bereitstellung von Windows Hello for Business aus den folgenden Schritten:
Konfigurieren der Richtlinieneinstellungen für Windows Hello for Business
Es sind zwei Richtlinieneinstellungen erforderlich, um Windows Hello for Business in einem Zertifikatvertrauensmodell zu aktivieren:
Eine weitere optionale, aber empfohlene Richtlinieneinstellung ist:
Befolgen Sie die folgenden Anweisungen, um Ihre Geräte mithilfe von Microsoft Intune oder gruppenrichtlinien (GPO) zu konfigurieren.
Sie können die Richtlinieneinstellung Windows Hello for Business verwenden auf dem Computer- oder Benutzerknoten eines Gruppenrichtlinienobjekts konfigurieren:
- Die Bereitstellung der Richtlinieneinstellung für Computerknoten führt dazu, dass sich alle Benutzer, die sich bei den Zielgeräten anmelden, um eine Windows Hello for Business-Registrierung zu versuchen.
- Die Bereitstellung der Benutzerknotenrichtlinieneinstellung führt dazu, dass nur die Zielbenutzer versuchen, eine Windows Hello for Business-Registrierung zu versuchen.
Wenn Richtlinieneinstellungen sowohl für Benutzer als auch Computer bereitgestellt werden, hat die Einstellung für Benutzer Vorrang.
Tipp
Verwenden Sie dieselbe Sicherheitsgruppe für Windows Hello for Business-Benutzer , um Zertifikatvorlagenberechtigungen zuzuweisen, um sicherzustellen, dass sich dieselben Mitglieder beim Windows Hello for Business-Authentifizierungszertifikat registrieren können.
Aktivieren der Gruppenrichtlinieneinstellung für die automatische Registrierung von Zertifikaten
Bei der Bereitstellung von Windows Hello for Business erfolgt die anfängliche Registrierung des Windows Hello for Business-Authentifizierungszertifikats. Dieses Zertifikat läuft basierend auf der Dauer ab, die in der Windows Hello for Business-Authentifizierungszertifikatvorlage konfiguriert ist.
Der Prozess erfordert keine Benutzerinteraktion, vorausgesetzt, der Benutzer meldet sich mit Windows Hello for Business an. Das Zertifikat wird im Hintergrund erneuert, bevor es abläuft.
Verwenden Sie den Editor für lokale Gruppenrichtlinien, um ein Gerät mit Einer Gruppenrichtlinie zu konfigurieren. Um mehrere Geräte zu konfigurieren, die mit Active Directory verknüpft sind, erstellen oder bearbeiten Sie ein Gruppenrichtlinienobjekt (GPO), und verwenden Sie die folgenden Einstellungen:
Gruppenrichtlinienpfad | Gruppenrichtlinieneinstellung | Wert |
---|---|---|
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business or Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business |
Windows Hello for Business verwenden | Ermöglichte |
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business or Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business |
Zertifikat für die lokale Authentifizierung verwenden | Ermöglichte |
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel or Benutzerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel |
Zertifikatdienstclient – Automatische Registrierung | – Wählen Sie im KonfigurationsmodellAktiviert aus. – Wählen Sie abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und widerrufene Zertifikate entfernen aus. – Wählen Sie Zertifikate aktualisieren aus, die Zertifikatvorlagen verwenden. |
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business | Gerät mit sicherer Hardware verwenden | Ermöglichte |
Hinweis
Die Aktivierung der Richtlinieneinstellung Hardwaresicherheitsgeräte verwenden ist optional, wird jedoch empfohlen.
Gruppenrichtlinien können mit Domänen oder Organisationseinheiten verknüpft , mithilfe von Sicherheitsgruppen gefiltert oder mithilfe von WMI-Filtern gefiltert werden.
Tipp
Die beste Möglichkeit zum Bereitstellen des Windows Hello for Business-Gruppenrichtlinienobjekts ist die Verwendung der Sicherheitsgruppenfilterung. Nur Mitglieder der Zielsicherheitsgruppe stellen Windows Hello for Business bereit, wodurch ein stufenweises Rollout ermöglicht wird. Diese Lösung ermöglicht das Verknüpfen des Gruppenrichtlinienobjekts mit der Domäne, um sicherzustellen, dass das Gruppenrichtlinienobjekt auf alle Sicherheitsprinzipale festgelegt ist. Die Sicherheitsgruppenfilterung stellt sicher, dass nur die Mitglieder der globalen Gruppe das Gruppenrichtlinienobjekt empfangen und anwenden, was zur Bereitstellung von Windows Hello for Business führt.
Zusätzliche Richtlinieneinstellungen können konfiguriert werden, um das Verhalten von Windows Hello for Business zu steuern. Weitere Informationen finden Sie unter Windows Hello for Business-Richtlinieneinstellungen.
Registrieren bei Windows Hello for Business
Der Windows Hello for Business-Bereitstellungsprozess beginnt unmittelbar nach dem Laden des Benutzerprofils und bevor der Benutzer seinen Desktop erhält. Damit der Bereitstellungsprozess beginnen kann, müssen alle Voraussetzungsprüfungen bestanden werden.
Sie können den Status der Voraussetzungsprüfungen ermitteln, indem Sie das Administratorprotokoll benutzergeräteregistrierung unter Anwendungs- und Dienstprotokolle > Microsoft > Windows anzeigen.
Diese Informationen sind auch über den dsregcmd.exe /status
Befehl über eine Konsole verfügbar. Weitere Informationen finden Sie unter dsregcmd.
Benutzerfreundlichkeit
Nachdem sich ein Benutzer angemeldet hat, beginnt der Windows Hello for Business-Registrierungsprozess:
- Wenn das Gerät die biometrische Authentifizierung unterstützt, wird der Benutzer aufgefordert, eine biometrische Geste einzurichten. Diese Geste kann verwendet werden, um das Gerät zu entsperren und sich bei Ressourcen zu authentifizieren, die Windows Hello for Business erfordern. Der Benutzer kann diesen Schritt überspringen, wenn er keine biometrische Geste einrichten möchte.
- Der Benutzer wird aufgefordert, Windows Hello mit dem Organisationskonto zu verwenden. Der Benutzer wählt OK aus.
- Der Bereitstellungsablauf wird mit dem Mehrstufigen Authentifizierungsteil der Registrierung fortgesetzt. Die Bereitstellung informiert den Benutzer darüber, dass er aktiv versucht, den Benutzer über seine konfigurierte MFA-Form zu kontaktieren. Der Bereitstellungsprozess wird erst fortgesetzt, wenn die Authentifizierung erfolgreich war, ein Fehler auftritt oder ein Timeout auftritt. Ein MFA-Fehler oder Timeout führt zu einem Fehler und fordert den Benutzer auf, es erneut zu versuchen.
- Nach einer erfolgreichen MFA wird der Benutzer von der Bereitstellung aufgefordert, eine PIN zu erstellen und zu validieren. Diese PIN muss alle auf dem Gerät konfigurierten PIN-Komplexitätsrichtlinien beachten.
- Im verbleibenden Teil der Bereitstellung fordert Windows Hello for Business ein asymmetrisches Schlüsselpaar für den Benutzer an, vorzugsweise vom TPM (oder ausdrücklich, wenn dies durch Gruppenrichtlinien explizit festgelegt ist). Sobald das Schlüsselpaar abgerufen wurde, kommuniziert Windows mit dem IdP, um den öffentlichen Schlüssel zu registrieren. Wenn die Schlüsselregistrierung abgeschlossen ist, informiert die Windows Hello for Business-Bereitstellung den Benutzer darüber, dass er seine PIN für die Anmeldung verwenden kann. Der Benutzer kann die Bereitstellungsanwendung schließen und auf seinen Desktop zugreifen.
Nach einer erfolgreichen Registrierung erstellt Windows eine Zertifikatanforderung unter Verwendung des gleichen Schlüsselpaars. Windows sendet die Zertifikatanforderung zur Zertifikatregistrierung an den AD FS-Server.
Die AD FS-Registrierungsstelle überprüft, ob der in der Zertifikatanforderung verwendete Schlüssel mit dem zuvor registrierten übereinstimmt. Bei einer Übereinstimmung signiert die AD FS-Registrierungsstelle die Zertifikatanforderung mit ihrem Registrierungs-Agent-Zertifikat und sendet sie an die Zertifizierungsstelle.
Die Zertifizierungsstelle überprüft, ob das Zertifikat von der Registrierungsstelle signiert wurde. Bei erfolgreicher Überprüfung stellt sie ein Zertifikat basierend auf der Anforderung aus und gibt das Zertifikat an die AD FS-Registrierungsstelle zurück. Die Registrierungsstelle gibt das Zertifikat an Windows zurück, wo sie das Zertifikat dann im Zertifikatspeicher des aktuellen Benutzers installiert.
Das folgende Video zeigt die Registrierungsschritte für Windows Hello for Business nach der Anmeldung mit einem Kennwort unter Verwendung eines benutzerdefinierten MFA-Adapters für AD FS.
Sequenzdiagramm
Um die Bereitstellungsabläufe besser zu verstehen, sehen Sie sich das folgende Sequenzdiagramm an: