规划 Windows Hello 企业版部署
本规划指南将帮助你了解不同的拓扑、体系结构,以及包含 Windows Hello 企业版基础结构的组件。
本指南将介绍 Windows Hello 企业版内每个组件的角色,以及某些部署决策将如何影响基础结构的其他方面。
提示
如果拥有 Microsoft Entra ID 租户,可以使用联机交互式无密码向导来完成以下选择,而无需使用下面的手动指南。 可在 Microsoft 365 管理中心使用无密码向导。
使用本指南
有许多选项可用于部署 Windows Hello 企业版,确保与各种组织基础结构的兼容性。 虽然部署过程可能看起来比较复杂,但大多数组织会发现他们已实现必要的基础结构。 需要注意的是,Windows Hello 企业版是一种分布式系统,需要跨组织内多个团队进行正确的规划。
本指南旨在通过帮助就 Windows Hello 企业版部署的各个方面做出明智决策来简化部署过程。 它提供有关可用选项的信息并帮助用户选择最适合运行环境的部署方法。
如何开始
阅读此文档并记录你的决策。 完成后,应会得到评估可用选项和确定Windows Hello 企业版部署要求所需的所有必要信息。
规划 Windows Hello 企业版部署时,需要考虑七个主要方面:
部署选项
Windows Hello 企业版的目标是让任何规模或场景的所有组织都能够实现部署。 为了提供这种细化部署,Windows Hello 企业版提供了各种不同的部署选项。
部署模型
了解使用哪个部署模型可成功部署至关重要。 部署的某些方面可能已基于当前的基础结构有了决定结果。
可从三种部署模型中进行选择:
部署模型 | 描述 | |
---|---|---|
🔲 | 仅限云 | 对于仅具有云标识而不访问本地资源的组织。 这些组织通常将他们的设备连接到云,并且仅在云中使用资源,如 SharePoint Online、OneDrive 等。 此外,由于其用户不使用本地资源,因此他们不需要 VPN 等内容的相关证书,因为他们所需的所有内容都托管在云服务中。 |
🔲 | 混合 | 对于具有从 Active Directory 同步到 Microsoft Entra ID 的标识的组织。 这些组织使用在 Microsoft Entra ID 中注册的应用程序,并且需要本地和 Microsoft Entra 资源的单一登录(SSO)体验。 |
🔲 | 本地 | 对于没有云标识或使用 Microsoft Entra ID 中托管的应用程序的组织。 这些组织使用集成在 Active Directory 中的本地应用程序,并在访问它们时需要 SSO 用户体验。 |
注意
- 本地部署的主要用例是“增强的安全管理环境”,也称为“红林”
- 从本地部署迁移到混合部署需要重新部署
信任类型
部署的信任类型定义 Windows Hello 企业版客户端向 Active Directory 进行身份验证的方式。 信任类型不影响 Microsoft Entra ID 身份验证。 因此,信任类型不适用于仅限云的部署模型。
Windows Hello 企业版的 Microsoft Entra ID 身份验证始终使用密钥而非证书(不包括联合环境中的智能卡身份验证)。
信任类型决定了是否向用户颁发身份验证证书。 两个信任模型在安全性方面没有差别。
将证书部署到用户和域控制器需要更多的配置和基础结构,这也可能是决策中要考虑的因素。 证书信任部署需要的其他基础结构包括证书注册机构。 在联合环境中,需要在 Microsoft Entra Connect 中激活“设备写回”选项。
有三种信任类型可供选择:
信任类型 | 描述 | |
---|---|---|
🔲 | 云 Kerberos | 用户通过使用 Microsoft Entra Kerberos 从 Microsoft Entra ID 请求 TGT,向 Active Directory 进行身份验证。 本地域控制器仍负责 Kerberos 服务票证和授权。 Cloud Kerberos 信任使用“FIDO2 安全密钥登录”所使用的同一基础结构,该基础结构可用于新的或现有的 Windows Hello 企业版部署。 |
🔲 | 密钥 | 用户使用在 Windows Hello 预配体验期间创建的绑定了设备的密钥(硬件或软件)向本地 Active Directory 进行身份验证。 它需要将证书分发到域控制器。 |
🔲 | 证书 | 证书信任类型向用户颁发身份验证证书。 用户使用通过 Windows Hello 预配体验期间创建的绑定了设备的密钥(硬件或软件)所请求的证书进行身份验证。 |
密钥信任和证书信任在请求 kerberos 票证授予票证(TGT)进行本地身份验证时使用基于证书身份验证的 Kerberos。 此类身份验证需要用于 DC 证书的 PKI,并且需要用于获取证书信任的最终用户证书。
与其他信任类型相比,Windows Hello 企业版云 Kerberos 信任的目标是提供更简单的部署体验:
- 无需部署公钥基础结构(PKI)或更改现有 PKI
- 无需出于用户访问本地资源的目的在 Microsoft Entra ID 与 Active Directory 之间同步公钥。 用户的 Windows Hello 企业版预配与用户变为能够向 Active Directory 进行身份验证之间无任何延迟
- FIDO2 安全密钥登录可通过最少的额外设置进行部署
提示
相比密钥信任模型,建议使用 Windows Hello 企业版云 Kerberos 信任作为部署模型。 在不需要支持证书身份验证方案的情况下,它也是首选的部署模型。
云 Kerberos 信任需要部署 Microsoft Entra Kerberos。 有关如何通过 Microsoft Entra Kerberos 实现本地资源访问的详细信息,请参阅实现对本地资源的无密码安全密钥登录。
PKI 要求
云 Kerberos 信任是唯一不需要部署任何证书的混合部署选项。 其他混合模型和本地模型依赖于企业 PKI 作为身份验证的信任定位点:
- 混合和本地部署的域控制器需要一个证书来让 Windows 设备信任域控制器是合法的。
- 使用证书信任类型的部署需要企业 PKI 和证书注册机构 (CRA) 来向用户颁发身份验证证书。 AD FS 充当 CRA
- 混合部署可能需要向用户颁发 VPN 证书以获得本地资源的连接。
部署模型 | 信任类型 | 需要 PKI? | |
---|---|---|---|
🔲 | 仅限云 | 不适用 | 否 |
🔲 | 混合 | 云 Kerberos | 否 |
🔲 | 混合 | 密钥 | 是 |
🔲 | 混合 | 证书 | 是 |
🔲 | 本地 | 密钥 | 是 |
🔲 | 本地 | 证书 | 是 |
Microsoft Entra ID 身份验证
用户可以使用联合身份验证或云(非联合)身份验证向 Microsoft Entra ID 进行身份验证。 相关要求因信任类型而异:
部署模型 | 信任类型 | Microsoft Entra ID 身份验证 | 要求 | |
---|---|---|---|---|
🔲 | 仅限云 | 不适用 | 云身份验证 | 不适用 |
🔲 | 仅限云 | 不适用 | 联合身份验证 | 非 Microsoft 联合身份验证服务 |
🔲 | 混合 | 云 Kerberos 信任 | 云身份验证 | 密码哈希同步(PHS)或直通身份验证(PTA) |
🔲 | 混合 | 云 Kerberos 信任 | 联合身份验证 | AD FS 或非 Microsoft 联合身份验证服务 |
🔲 | 混合 | 密钥信任 | 云身份验证 | 密码哈希同步(PHS)或直通身份验证(PTA) |
🔲 | 混合 | 密钥信任 | 联合身份验证 | AD FS 或非 Microsoft 联合身份验证服务 |
🔲 | 混合 | 证书信任 | 联合身份验证 | 此部署模型不支持 PTA 或 PHS。 Active Directory 必须通过使用 AD FS 与 Microsoft Entra ID 联合 |
如需了解详细信息:
设备注册
对于本地部署,运行 Active Directory 联合身份验证服务(AD FS)角色的服务器负责设备注册。 对于仅限云的部署和混合部署,设备需要在 Microsoft Entra ID 中注册。
部署模型 | 支持的加入类型 | 设备注册服务提供程序 |
---|---|---|
仅限云 | 已加入 Microsoft Entra 已注册 Microsoft Entra |
Microsoft Entra ID |
混合 | 已加入 Microsoft Entra 已加入 Microsoft Entra 混合 已注册 Microsoft Entra |
Microsoft Entra ID |
本地 | 已加入 Active Directory 域 | AD FS |
重要提示
有关 Microsoft Entra 混合加入指南,请查看规划 Microsoft Entra 混合加入实现。
多重身份验证
Windows Hello 企业版的目标是通过向组织提供可轻松实现双因素身份验证的强凭据,让组织不再使用密码。 内置预配体验接受用户的弱凭据(用户名和密码)作为第一个身份验证因素。 但是,在 Windows 预配强凭据之前,用户需要提供第二个身份验证因素:
- 对于仅限云的部署和混合部署,有不同的多重身份验证选择,包括 Microsoft Entra MFA
- 本地部署必须使用一个可作为 AD FS 多因素适配器进行集成的多因素选项。 组织可以从提供 AD FS MFA 适配器的非 Microsoft 选项中进行选择。 有关详细信息,请参阅其他 Microsoft 和非 Microsoft 身份验证方法
重要提示
从 2019 年 7 月 1 日起,Microsoft不会为新部署提供 MFA 服务器。 需要多重身份验证的新部署应使用基于云的 Microsoft Entra 多重身份验证。
从 2024 年 9 月 30 日开始,Azure 多重身份验证服务器部署将不再为 MFA 请求提供服务。 为确保身份验证服务不间断并保持受支持状态,组织应 将其用户的身份验证数据迁移到 基于云的 Azure MFA。
部署模型 | MFA 选项 | |
---|---|---|
🔲 | 仅限云 | Microsoft Entra MFA |
🔲 | 仅限云 | 非Microsoft MFA,通过Microsoft Entra ID或联合身份验证中的外部身份验证方法 |
🔲 | 混合 | Microsoft Entra MFA |
🔲 | 混合 | 非Microsoft MFA,通过Microsoft Entra ID或联合身份验证中的外部身份验证方法 |
🔲 | 本地 | AD FS MFA 适配器 |
有关详细信息:
MFA 和联合身份验证
联合域可以配置 FederatedIdpMfaBehavior 标志。 该标志指示 Microsoft Entra ID 接受、强制实施或拒绝来自联合 IdP 的 MFA 质询。 有关详细信息,请参阅 federatedIdpMfaBehavior 值。 若要检查此设置,请使用以下 PowerShell 命令:
Connect-MgGraph
$DomainId = "<your federated domain name>"
Get-MgDomainFederationConfiguration -DomainId $DomainId |fl
如需拒绝来自联合 IdP 的 MFA 声明,可使用以下命令。 此更改会影响所有联合域 MFA 方案:
Update-MgDomainFederationConfiguration -DomainId $DomainId -FederatedIdpMfaBehavior rejectMfaByFederatedIdp
如果将标志的值配置为 acceptIfMfaDoneByFederatedIdp
(默认)或 enforceMfaByFederatedIdp
,则需要验证联合 IDP 是否配置正确且能正常与 IdP 使用的 MFA 适配器和提供程序配合运行。
密钥注册
内置 Windows Hello 企业版预配体验创建绑定了设备的非对称密钥对作为用户的凭据。 私钥受设备的安全模块保护。 凭据是用户密钥而非设备密钥。 预配体验通过身份提供程序注册用户公钥:
部署模型 | 密钥注册服务提供程序 |
---|---|
仅限云 | Microsoft Entra ID |
混合 | Microsoft Entra ID |
本地 | AD FS |
目录同步
混合和本地部署使用目录同步,但是,分别用于不同目的:
- 混合部署使用 Microsoft Entra Connect Sync 同步其自身与 Microsoft Entra ID 的 Active Directory 标识(用户和设备)或凭据。 在 Window Hello 企业版预配过程中,用户向 Microsoft Entra ID 注册其 Windows Hello 企业版凭据的公共部分。 Microsoft Entra Connect Sync 将 Windows Hello 企业版公钥与 Active Directory 同步。 此同步允许 SSO 到 Microsoft Entra ID 及其联合组件。
重要提示
Windows Hello 企业版的绑定在用户和设备之间进行。 用户和设备对象都必须在 Microsoft Entra ID 和 Active Directory 之间同步。
- 本地部署使用目录同步将用户从 Active Directory 导入 Azure MFA 服务器,该服务器将数据发送到 MFA 云服务以执行验证
部署模型 | 目录同步选项 |
---|---|
仅限云 | 不适用 |
混合 | Microsoft Entra Connect Sync |
本地 | Azure MFA 服务 |
重要提示
从 2024 年 9 月 30 日开始,Azure 多重身份验证服务器部署将不再为 MFA 请求提供服务。 为确保身份验证服务不间断并保持受支持状态,组织应 将其用户的身份验证数据迁移到 基于云的 Azure MFA。
设备配置选项
Windows Hello 企业版提供一组丰富的精细化策略设置。 有两个用于配置 Windows Hello 企业版的主要选项:配置服务提供程序(CSP)和组策略(GPO)。
- CSP 选项非常适合通过移动设备管理(MDM)解决方案(如 Microsoft Intune)管理的设备。 还可以使用预配包配置 CSP
- GPO 可用于配置已加入域的设备以及未通过 MDM 管理设备的情况
部署模型 | 设备配置选项 | |
---|---|---|
🔲 | 仅限云 | CSP |
🔲 | 仅限云 | GPO (本地) |
🔲 | 混合 | CSP |
🔲 | 混合 | GPO (Active Directory 或本地) |
🔲 | 本地 | CSP |
🔲 | 本地 | GPO (Active Directory 或本地) |
云服务许可要求
下面是有关云服务许可要求的一些注意事项:
- Windows Hello 企业版不需要 Microsoft Entra ID P1 或 P2 订阅。 但某些依赖项(如 MDM 自动注册和条件访问)需要
- 通过 MDM 管理的设备不需要 Microsoft Entra ID P1 或 P2 订阅。 如果放弃订阅,用户需要在 MDM 解决方案中手动注册设备,例如在 Microsoft Intune 或支持的非 Microsoft MDM 中
- 可以使用 Microsoft Entra ID 免费层部署 Windows Hello 企业版。 所有 Microsoft Entra ID 免费帐户都可以对 Windows 无密码功能使用 Microsoft Entra 多重身份验证
- 某些 Microsoft Entra 多重身份验证功能需要许可证。 有关详细信息,请参阅 Microsoft Entra 多重身份验证的功能和许可证。
- 使用 AD FS 注册机构注册证书需要设备验证 AD FS 服务器,这需要设备回写,即需要 Microsoft Entra ID P1 或 P2 功能
部署模型 | 信任类型 | 云服务许可证(最低) | |
---|---|---|---|
🔲 | 仅限云 | 不适用 | 不需要 |
🔲 | 混合 | 云 Kerberos | 不需要 |
🔲 | 混合 | 密钥 | 不需要 |
🔲 | 混合 | 证书 | Microsoft Entra ID P1 |
🔲 | 本地 | 密钥 | Azure MFA (如果用作 MFA 解决方案) |
🔲 | 本地 | 证书 | Azure MFA (如果用作 MFA 解决方案) |
重要提示
从 2024 年 9 月 30 日开始,Azure 多重身份验证服务器部署将不再为 MFA 请求提供服务。 为确保身份验证服务不间断并保持受支持状态,组织应 将其用户的身份验证数据迁移到 基于云的 Azure MFA。
操作系统要求
Windows 要求
所有支持的 Windows 版本都可以与Windows Hello 企业版一起使用。 但云 Kerberos 信任有最低版本要求:
部署模型 | 信任类型 | Windows 版本 | |
---|---|---|---|
🔲 | 仅限云 | 不适用 | 支持的所有版本 |
🔲 | 混合 | 云 Kerberos | - Windows 10 21H2,含 KB5010415 和更高版本 - Windows 11 21H2,含 KB5010414 和更高版本 |
🔲 | 混合 | 密钥 | 支持的所有版本 |
🔲 | 混合 | 证书 | 支持的所有版本 |
🔲 | 本地 | 密钥 | 支持的所有版本 |
🔲 | 本地 | 证书 | 支持的所有版本 |
Windows 服务器要求
Windows Hello 企业版可用于作为域控制器对所有受支持的 Windows Server 版本进行身份验证。 但云 Kerberos 信任有最低版本要求:
部署模型 | 信任类型 | 域控制器 OS 版本 | |
---|---|---|---|
🔲 | 仅限云 | 不适用 | 支持的所有版本 |
🔲 | 混合 | 云 Kerberos | - Windows Server 2016,含 KB3534307 和更高版本 - Windows Server 2019,含 KB4534321 和更高版本 Windows Server 2022 - Windows Server 2025 |
🔲 | 混合 | 密钥 | 支持的所有版本 |
🔲 | 混合 | 证书 | 支持的所有版本 |
🔲 | 本地 | 密钥 | 支持的所有版本 |
🔲 | 本地 | 证书 | 支持的所有版本 |
所有部署模型的最低所需域功能和林功能级别为 Windows Server 2008 R2。
用户准备
准备好在组织中启用 Windows Hello 企业版后,请务必通过向用户说明如何预配和使用 Windows Hello 让用户做好准备。
如需了解详细信息,请参阅准备用户。
后续步骤
在了解了不同的部署选项和要求后,便可选择最适合组织的实现方案。
如需了解有关部署过程的详细信息,可从以下下拉列表中选择部署模型和信任类型: