Руководство по развертыванию только в облаке
В этой статье описаны Windows Hello для бизнеса функциональные возможности или сценарии, которые применяются к:
- Тип развертывания:только в облаке
- Тип соединения. Microsoft Entra присоединиться
Требования
Перед началом развертывания ознакомьтесь с требованиями, описанными в статье Планирование Windows Hello для бизнеса развертывания.
Перед началом работы убедитесь, что выполнены следующие требования:
Шаги развертывания
После выполнения предварительных требований развертывание Windows Hello для бизнеса состоит из следующих шагов:
Настройка параметров политик Windows Hello для бизнеса
При Microsoft Entra присоединении к устройству система пытается автоматически зарегистрировать вас в Windows Hello для бизнеса. Если вы хотите использовать Windows Hello для бизнеса в облачной среде с параметрами по умолчанию, дополнительная настройка не требуется.
Облачные развертывания используют Microsoft Entra многофакторную проверку подлинности (MFA) во время регистрации Windows Hello для бизнеса, и другая конфигурация MFA не требуется. Если вы еще не зарегистрированы в MFA, вы можете ознакомиться с регистрацией MFA в рамках процесса регистрации Windows Hello для бизнеса.
Параметры политики можно настроить для управления поведением Windows Hello для бизнеса с помощью поставщика служб конфигурации (CSP) или групповой политики (GPO). В облачных развертываниях устройства обычно настраиваются с помощью решения MDM, например Microsoft Intune, используя поставщик служб CSP PassportForWork.
Примечание.
Сведения о различных параметрах, предлагаемых Microsoft Intune для настройки Windows Hello для бизнеса, см. в статье Настройка Windows Hello для бизнеса с помощью Microsoft Intune.
Если политика Intune на уровне клиента настроена для отключения Windows Hello для бизнеса или если устройства развернуты с Windows Hello отключены, необходимо настроить один параметр политики, чтобы включить Windows Hello для бизнеса:
Другой необязательный, но рекомендуемый параметр политики:
Следуйте приведенным ниже инструкциям, чтобы настроить устройства с помощью Microsoft Intune или групповой политики .
Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:
Категория | Имя параметра | Значение |
---|---|---|
Windows Hello для бизнеса | Использование Windows Hello для бизнеса | true |
Windows Hello для бизнеса | Требовать устройство безопасности | true |
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP PassportForWork.
Параметр |
---|
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Тип данных: bool - Ценность: True |
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Тип данных: bool - Ценность: True |
Совет
Если вы используете Microsoft Intune и не используете политику на уровне клиента, включите страницу состояния регистрации (ESP), чтобы устройства получили параметры политики Windows Hello для бизнеса, прежде чем пользователи смогут получить доступ к рабочему столу. Дополнительные сведения об ESP см . в статье Настройка страницы состояния регистрации.
Дополнительные параметры политики можно настроить для управления поведением Windows Hello для бизнеса. Дополнительные сведения см. в разделе параметры политики Windows Hello для бизнеса.
Регистрация в Windows Hello для бизнеса
Процесс подготовки Windows Hello для бизнеса начинается сразу после входа пользователя, если выполнены определенные проверки готовности.
Взаимодействие с пользователем
После входа пользователя начинается процесс регистрации Windows Hello для бизнеса:
- Если устройство поддерживает биометрическую проверку подлинности, пользователю будет предложено настроить биометрический жест. Этот жест можно использовать для разблокировки устройства и проверки подлинности для ресурсов, которым требуется Windows Hello для бизнеса. Пользователь может пропустить этот шаг, если не хочет настраивать биометрический жест
- Пользователю будет предложено использовать Windows Hello с учетной записью организации. Пользователь нажимает кнопку ОК.
- Поток подготовки переходит к части регистрации с многофакторной проверкой подлинности. Подготовка информирует пользователя о том, что он активно пытается связаться с пользователем через настроенную форму MFA. Процесс подготовки не продолжается до тех пор, пока проверка подлинности не будет выполнена успешно, не произойдет сбой или не истекает время ожидания. Сбой или истечение времени ожидания MFA приводит к ошибке и просит пользователя повторить попытку.
- После успешной многофакторной идентификации в рамках процесса подготовки пользователь получает запрос на создание и проверку PIN-кода. Этот ПИН-код должен соблюдать все политики сложности ПИН-кода, настроенные на устройстве.
- На завершающем этапе подготовки служба Windows Hello для бизнеса запрашивает пару асимметричных ключей для пользователя, предпочтительно (или обязательно, если этого явно требует политика) от доверенного платформенного модуля. После получения пары ключей Windows взаимодействует с поставщиком удостоверений для регистрации открытого ключа. После завершения регистрации ключа Windows Hello для бизнеса подготовки уведомляет пользователя о том, что он может использовать свой ПИН-код для входа. Пользователь может закрыть приложение подготовки и получить доступ к рабочему столу.
Схемы последовательностей
Чтобы лучше понять потоки подготовки, просмотрите следующие схемы последовательностей на основе типа проверки подлинности:
- Подготовка для Microsoft Entra присоединенных устройств с управляемой проверкой подлинности
- Подготовка для Microsoft Entra присоединенных устройств с федеративной проверкой подлинности
Чтобы лучше понять потоки проверки подлинности, просмотрите следующую схему последовательностей:
Отключение автоматической регистрации
Если вы хотите отключить автоматическую регистрацию Windows Hello для бизнеса, вы можете настроить устройства с помощью параметра политики или раздела реестра. Дополнительные сведения см. в разделе Отключение регистрации Windows Hello для бизнеса.
Примечание.
Во время процесса запуска запуска (OOBE) присоединения к Microsoft Entra вы можете зарегистрироваться в Windows Hello для бизнеса, если у вас нет Intune. Вы можете отменить экран ПИН-кода и получить доступ к рабочему столу без регистрации в Windows Hello для бизнеса.