在混合证书信任模型中配置和注册Windows Hello 企业版
本文介绍适用于以下Windows Hello 企业版功能或方案:
- 部署类型:
- 信任类型:证书
- 联接类型:Microsoft Entra加入 ,Microsoft Entra混合加入
满足先决条件并验证 PKI 和 AD FS 配置后,部署Windows Hello 企业版包括以下步骤:
配置 Windows Hello 企业版策略设置
在证书信任模型中启用Windows Hello 企业版需要两个策略设置:
另一个可选但建议的策略设置是:
使用以下说明使用Microsoft Intune或组策略 (GPO) 配置设备。
可以在 GPO 的计算机或用户节点中配置“使用Windows Hello 企业版”策略设置:
- 部署计算机节点策略设置,导致登录到目标设备的所有用户尝试Windows Hello 企业版注册
- 部署用户节点策略设置,仅导致目标用户尝试Windows Hello 企业版注册
如果同时部署了用户和计算机策略设置,用户策略设置优先。
提示
使用相同的Windows Hello 企业版用户安全组分配证书模板权限,以确保相同的成员可以在Windows Hello 企业版身份验证证书中注册。
Windows Hello 企业版预配执行 Windows Hello 企业版身份验证证书的初始注册。 此证书根据Windows Hello 企业版身份验证证书模板中配置的持续时间过期。
该过程不需要用户交互,前提是用户使用 Windows Hello 企业版 登录。 证书将在过期前在后台续订。
若要使用组策略配置设备,请使用本地组策略 编辑器。 若要配置多个已加入 Active Directory 的设备,请 (GPO) 创建或编辑 组策略对象,并使用以下设置:
组策略路径 | 组策略设置 | 值 |
---|---|---|
计算机配置\管理模板\Windows 组件\Windows Hello 企业版 或 用户配置\管理模板\Windows 组件\Windows Hello 企业版 |
使用 Windows Hello 企业版 | Enabled |
计算机配置\管理模板\Windows 组件\Windows Hello 企业版 或 用户配置\管理模板\Windows 组件\Windows Hello 企业版 |
使用证书进行本地身份验证 | Enabled |
计算机配置\Windows 设置\安全设置\公钥策略 或 用户配置\Windows 设置\安全设置\公钥策略 |
证书服务客户端 - 自动注册 | - 从配置模型中选择“启用” - 选择“续订过期的证书”、“更新挂起的证书”和“删除吊销的证书” - 选择“更新使用证书模板的证书” |
计算机配置\管理模板\Windows 组件\Windows Hello 企业版 | 使用硬件安全设备 | Enabled |
注意
启用 “使用硬件安全设备” 策略设置是可选的,但建议这样做。
组策略可以 链接到 域或组织单位, 使用安全组进行筛选, 或使用 WMI 筛选器进行筛选。
提示
部署Windows Hello 企业版 GPO 的最佳方法是使用安全组筛选。 只有目标安全组的成员才能预配Windows Hello 企业版,从而实现分阶段推出。 此解决方案允许将 GPO 链接到域,确保 GPO 的范围限定为所有安全主体。 安全组筛选可确保只有全局组的成员接收并应用 GPO,这会导致预配Windows Hello 企业版。
如果使用 组策略 和 Intune 部署Windows Hello 企业版配置,则组策略设置优先,Intune设置将被忽略。 有关策略冲突的详细信息,请参阅 来自多个策略源的策略冲突
可以配置更多策略设置来控制Windows Hello 企业版的行为。 有关详细信息,请参阅Windows Hello 企业版策略设置。
注册Windows Hello 企业版
Windows Hello 企业版预配过程在加载用户配置文件后和用户收到桌面之前立即开始。 若要开始预配过程,必须通过所有先决条件检查。
可以通过查看 Windows“应用程序和服务>日志”下的“用户设备注册管理员日志”Microsoft 来确定先决条件检查的状态>。
还可以使用控制台中的 dsregcmd.exe /status
命令获取此信息。 有关详细信息,请参阅 dsregcmd。
用户体验
用户登录后,Windows Hello 企业版注册过程将开始:
- 如果设备支持生物识别身份验证,系统会提示用户设置生物识别手势。 此手势可用于解锁设备,并向需要Windows Hello 企业版的资源进行身份验证。 如果用户不想设置生物识别手势,则可以跳过此步骤
- 系统会提示用户对组织帐户使用 Windows Hello。 用户选择 “确定”
- 预配流将转到注册的多重身份验证部分。 预配会通知用户,它正积极尝试通过配置的 MFA 形式与用户联系。 在身份验证成功、失败或超时之前,预配过程不会继续。MFA 失败或超时会导致错误,并要求用户重试
- MFA 成功之后, 预配流程将要求用户创建并验证 PIN。 此 PIN 必须观察设备上配置的任何 PIN 复杂性策略
- 预配的其余部分包括为用户请求非对称密钥对的 Windows Hello 企业版,最好通过 TPM(或在通过策略显式设置时需要)。 获取密钥对后,Windows 将与 IdP 通信以注册公钥。 密钥注册完成后,Windows Hello 企业版预配会通知用户他们可以使用其 PIN 进行登录。 用户可以关闭预配应用程序并访问其桌面
密钥注册成功后,Windows 将使用请求证书时所用的密钥对创建一个证书请求。 Windows 将证书请求发送到 AD FS 服务器进行证书注册。
AD FS 注册机构验证证书请求中使用的密钥是否与之前注册的密钥匹配。 如果成功匹配,AD FS 注册机构使用注册代理证书为证书请求签名,然后将其发送到证书颁发机构。
注意
为了使 AD FS 验证证书请求中使用的密钥,它需要能够访问 https://enterpriseregistration.windows.net
终结点。
CA 验证证书是否由注册机构签名。 验证成功后,它会根据请求颁发证书,并将证书返回给 AD FS 注册机构。 注册机构将证书返回到 Windows,然后在 Windows 中将证书安装到当前用户的证书存储中。 此过程完成后,Windows Hello 企业版预配工作流会通知用户,他们可以使用其 PIN 通过操作中心登录。
注意
Windows Server 2016 更新 KB4088889 (14393.2155) 在混合证书信任预配期间提供同步证书注册。 通过此更新,用户无需等待Microsoft Entra Connect 来同步本地公钥。 用户在预配期间注册其证书,并且可以在完成预配后立即使用该证书进行登录。 需要在联合服务器上安装更新。
序列图
若要更好地了解预配流,请根据设备联接和身份验证类型查看以下序列图:
若要更好地了解身份验证流,请查看以下序列图: