有关Windows Hello 企业版的常见问题

Windows Hello 企业版使用非对称密钥对将密码登录替换为强身份验证。 此常见问题解答 (常见问题解答) 文章旨在帮助你了解有关Windows Hello 企业版的详细信息。

概念

Windows Hello和Windows Hello 企业版有何区别?

Windows Hello是一种身份验证技术,允许用户使用生物识别数据或 PIN(而不是传统密码)登录到其 Windows 设备。

Windows Hello 企业版是Windows Hello的扩展,可提供企业级安全和管理功能,包括设备证明、基于证书的身份验证和条件访问策略。 可以将策略设置部署到设备,以确保它们安全且符合组织要求。

为什么 PIN 优于联机密码

三main原因:

  1. PIN 绑定到设备:联机密码与Hello PIN 之间的一个重要区别是,PIN 绑定到设置它的特定设备。 如果没有该特定硬件,此 PIN 对任何人都无用。 获取你的在线密码的人可以从任何位置登录到你的帐户,但如果他们获得了你的 PIN,他们也必须访问你的设备。 PIN 不能用于除特定设备以外的任何位置。 如果要在多台设备上登录,必须在每台设备上设置Hello
  2. PIN 是设备的本地 PIN:联机密码将传输到服务器。 密码可以在传输中截获或从服务器获取。 PIN 是设备的本地 PIN,从不在任何地方传输,也不会存储在服务器上。 创建 PIN 时,它与标识提供者建立受信任的关系,并且创建用于身份验证的非对称密钥对。 输入 PIN 时,将解锁身份验证密钥,该密钥用于对发送到身份验证服务器的请求进行签名。 使用 Windows Hello 企业版,PIN 是用户提供的用于在受信任的平台模块 (TPM) 加载私钥的枚举。 服务器没有 PIN 的副本。 为此,Windows 客户端也没有当前 PIN 的副本。 用户必须提供 entropy、受 TPM 保护的密钥以及生成该密钥的 TPM 才能成功访问私钥
  3. PIN 由硬件支持:Hello PIN 由受信任的平台模块 (TPM) 芯片提供支持,该芯片是用于执行加密操作的安全加密处理器。 该芯片包含多个物理安全机制以使其防篡改,并且恶意软件无法篡改 TPM 的安全功能。 Windows 不会将本地密码链接到 TPM,因此 PIN 被认为比本地密码更安全。 用户密钥材料在设备的 TPM 中生成并可用。 TPM 可保护密钥材料免受想要捕获和重用密钥材料的攻击者的侵害。 由于Hello使用非对称密钥对,因此在用户访问的标识提供者或网站遭到入侵的情况下,用户凭据不会被盗。 TPM 可防范各种已知和潜在攻击,包括 PIN 暴力攻击。 经过太多错误的猜测,设备被锁定

PIN 比密码强 ”语句不针对 PIN 使用的 entropy 强度。 这是关于提供 entropy 与继续使用对称密钥 (密码) 之间的差异。 TPM 具有防锤功能,可阻止暴力破解 PIN 攻击, (攻击者持续尝试尝试所有 PIN 组合) 。 一些组织可能会担心肩膀冲浪。 对于这些组织,实现 多重解锁 功能,而不是增加 PIN 的复杂性。

如果有人偷了设备怎么办?

若要泄露 TPM 保护的Windows Hello凭据,攻击者必须有权访问物理设备。 然后,攻击者必须找到欺骗用户生物识别或猜测 PIN 的方法。 在 TPM 防锤 保护锁定设备之前,必须执行所有这些操作。

为什么需要 PIN 才能使用生物识别?

Windows Hello支持使用指纹、虹膜或面部识别进行生物识别登录。 设置Windows Hello时,系统会要求你在生物识别设置后创建 PIN。 当由于受伤或传感器不可用或无法正常工作而无法使用首选生物识别时,可以使用 PIN 登录。 如果只配置了生物识别登录,并且出于任何原因无法使用该方法登录,则必须使用帐户和密码登录,这不会为你提供与 Hello 相同的保护级别。

如何保护密钥?

每当生成密钥材料时,都必须保护它免受攻击。 执行此操作的最可靠方法是通过专门的硬件。 使用硬件安全模块 (HSM) 生成、存储和处理安全关键型应用程序的密钥有着悠久的历史。 智能卡是一种特殊类型的 HSM,符合受信任的计算组 TPM 标准的设备也是如此。 Windows Hello 企业版实现尽可能利用载入 TPM 硬件来生成和保护密钥。 管理员可以选择允许软件中的密钥操作,但建议使用 TPM 硬件。 TPM 可抵御各种已知和潜在的攻击,包括 PIN 强力攻击。 TPM 在帐户锁定后还提供一层额外的保护。 当 TPM 锁定密钥材料时,用户必须重置 PIN (这意味着,在 IdP 允许重新注册) 之前,用户必须使用 MFA 重新对 IdP 进行身份验证。 重置 PIN 意味着使用旧密钥材料加密的所有密钥和证书都将删除。

PIN 缓存如何使用 Windows Hello 企业版?

Windows Hello 企业版使用票证系统提供 PIN 缓存用户体验。 不是缓存 PIN,进程缓存它们可以用于请求私钥操作的票证。 Microsoft Entra ID和 Active Directory 登录密钥在锁定下缓存。 这意味着,只要用户以交互方式登录,密钥就一直可供使用,无需提示。 Microsoft帐户登录密钥是事务密钥,这意味着在访问密钥时始终提示用户。

Windows Hello 企业版用作默认启用的智能卡 (智能卡仿真,) 提供默认智能卡 PIN 缓存的相同用户体验。 请求私钥操作的每个进程都会提示用户在首次使用时输入 PIN。 后续的私钥操作不会提示用户输入 PIN。

Windows Hello 企业版的智能卡仿真功能验证 PIN,然后丢弃 PIN 交换票证。 该过程不会收到 PIN,而是收到向其授予私钥操作的票证。 没有用于调整缓存的策略设置。

Windows Hello生物识别数据存储在哪里?

注册Windows Hello时,将创建生物识别的表示形式(称为注册配置文件)。 注册配置文件生物识别数据特定于设备,存储在本地设备上,不会离开设备或与用户一起漫游。 某些外部指纹传感器将生物识别数据存储在指纹模块本身而不是 Windows 设备上。 即使在这种情况下,生物识别数据也会存储在这些模块本地,特定于设备,不会漫游,永远不会离开模块,并且永远不会发送到Microsoft云或外部服务器。 有关详细信息,请参阅企业中的Windows Hello生物识别Windows Hello人脸身份验证

在设备上存储Windows Hello生物识别数据的格式是什么?

Windows Hello生物识别数据作为加密模板数据库存储在设备上。 来自生物识别传感器的数据 (人脸相机或指纹读取器) 创建数据表示形式或图形,然后在存储在设备上之前对其进行加密。 设备上Windows Hello (人脸或指纹) 使用的每个生物识别传感器都将有自己的生物识别数据库文件,用于存储模板数据。 每个生物识别数据库文件都使用唯一的随机生成的密钥进行加密,该密钥使用 AES 加密对系统进行加密,生成 SHA256 哈希。

谁有权访问Windows Hello生物识别数据?

由于Windows Hello生物识别数据以加密格式存储,因此除了Windows Hello之外,任何用户或任何进程都无法访问它。

何时创建Windows Hello生物识别数据库文件? 用户如何注册Windows Hello人脸或指纹身份验证?

仅当用户注册Windows Hello基于生物识别的身份验证时,才会在设备上创建Windows Hello生物识别模板数据库文件。 IT 管理员可以配置策略设置,但如果用户想要使用生物识别或 PIN,则始终是用户选择的。 用户可以转到其设备上的登录选项,检查其当前注册到Windows Hello生物识别。 转到“开始>设置帐户>>登录选项”。 如果在“登录选项”中看不到Windows Hello,则它可能不适用于你的设备或管理员通过策略阻止。 管理员可以在 Autopilot 期间或设备的初始设置期间请求用户注册到 Windows Hello。 管理员可以禁止用户通过Windows Hello 企业版策略配置注册生物识别。 但是,如果通过策略配置允许,则用户始终可以选择注册Windows Hello生物识别。

何时删除Windows Hello生物识别数据库文件? 如何取消注册用户Windows Hello人脸或指纹身份验证?

若要从设备中删除Windows Hello和任何关联的生物识别数据,请打开“开始>设置帐户>登录”>选项。 选择要删除Windows Hello生物识别身份验证方法,然后选择“删除”。 该操作取消注册Windows Hello生物识别身份验证,并删除关联的生物识别模板数据库文件。 有关详细信息,请参阅 Windows 登录选项和帐户保护 (microsoft.com)

管理和操作

是否可以使用 Microsoft Configuration Manager 部署和管理Windows Hello 企业版?

从 Configuration Manager 版本 2203 开始,不再支持使用 Configuration Manager 的Windows Hello 企业版部署。

如何实现删除设备上的Windows Hello 企业版容器?

可以通过执行 命令 certutil.exe -deleteHelloContainer来删除Windows Hello 企业版容器。

当用户忘记其 PIN 时会发生什么情况?

如果用户可以使用密码登录,则可以通过在“设置”应用中或从锁屏界面中选择“ 我忘记了 PIN ”链接,在 PIN 凭据提供程序上选择“ 我忘记了 PIN” 链接来重置其 PIN。

对于本地部署,设备必须连接到其本地网络 (域控制器和/或证书颁发机构) 才能重置其 PIN。 混合部署可以加入其Microsoft Entra租户,以使用Windows Hello 企业版 PIN 重置服务来重置其 PIN。 非破坏性 PIN 重置无需访问公司网络即可工作。 破坏性 PIN 重置需要访问公司网络。 有关破坏性和非破坏性 PIN 重置的更多详细信息,请参阅 PIN 重置

Windows Hello 企业版是否阻止使用简单的 PIN?

是。 我们的简单 PIN 算法查找并禁用任何包含连续数字常量增量的 PIN。 该算法计算达到下一位数字所需的步骤数,在 10 (“零”) 溢出。 例如:

  • PIN 1111 的固定增量为 (0,0,0) ,因此不允许使用
  • PIN 1234 的固定增量为 (1,1,1) ,因此不允许使用
  • PIN 1357 的固定增量为 (2,2,2) ,因此不允许使用
  • PIN 9630 的固定增量为 (7,7,7) ,因此不允许使用
  • PIN 1593 的固定增量为 (4,4,4) ,因此不允许使用
  • PIN 7036 的固定增量为 (3,3,3) ,因此不允许使用
  • PIN 1231 没有固定增量 (1,1,2) ,因此允许它
  • PIN 1872 没有固定增量 (7,9,5) ,因此允许它

此检查可防止重复数字、顺序数字和简单模式。 它始终导致 100 个不允许的 PIN 列表, (独立于 PIN 长度) 。 此算法不适用于字母数字 PIN。

启用Windows Hello 企业版后,将收集哪些诊断数据?

为了帮助Microsoft保持工作正常,帮助检测和防止欺诈,并持续改进Windows Hello,收集有关人们如何使用Windows Hello的诊断数据。 例如:

  • 有关用户是否使用面部、虹膜、指纹或 PIN 登录的数据
  • 他们使用它的次数
  • 无论它是否有效,所有这些都是有价值的信息,有助于Microsoft构建更好的产品。 数据是假名化的,不包括生物识别信息,并在传输到Microsoft之前加密。 可以随时选择停止向Microsoft发送诊断数据。 详细了解 Windows 中的诊断数据

我可以在使用 Windows Hello 企业版时禁用 PIN 么?

不可以。 抛弃密码通过逐渐减少对密码的使用完成。 在无法使用生物识别进行身份验证的情况下,需要一个不是密码的回退机制。 PIN 是回退机制。 禁用或隐藏 PIN 凭据提供程序将禁用生物识别的使用。

当未经授权的用户获得在 Windows Hello 企业版 中注册的设备的所有权时,会发生什么情况?

未经授权的用户将无法使用任何生物识别选项,并且只能输入 PIN。

如果用户尝试通过输入随机 PIN 来解锁设备,则三次尝试失败后,凭据提供程序将显示以下消息: 你输入了多次不正确的 PIN。若要重试,请在下方输入 A1B2C3。 输入质询短语 A1B2C3 后,用户将再获得一次输入 PIN 的机会。 如果不成功,将禁用提供程序,使用户只能选择重新启动设备。 重新启动后,上述模式将重复。

如果尝试失败,设备将进入锁定状态,在第一次重新启动后持续 1 分钟,在第四次重新启动后持续 2 分钟,在第五次重新启动后持续 10 分钟。 每个锁定的持续时间相应地增加。 此行为是 TPM 2.0 防锤功能的结果。 有关 TPM 反锤击功能的详细信息,请参阅 TPM 2.0 反锤击

设计和规划

Windows Hello 企业版是否可以在气隙环境中工作?

是。 可以使用本地Windows Hello 企业版部署,并将其与不需要 Internet 连接的非Microsoft MFA 提供程序组合在一起即可实现空隙Windows Hello 企业版部署。

有多少用户在单个 Windows 设备上可以注册Windows Hello 企业版?

单个设备上支持的最大注册数为 10。 这允许 10 个用户每人注册其面部和最多 10 个指纹。 对于超过 10 个用户的设备,或者对于登录到许多设备 ((例如,支持技术人员) )的用户,建议使用 FIDO2 安全密钥。

我已将 Active Directory 扩展到 Microsoft Entra ID。 是否可以使用本地部署模型?

否。 如果组织使用Microsoft云服务,则必须使用混合部署模型。 本地部署仅适用于在迁移到云之前需要更多时间并专门使用 Active Directory 的组织。

Microsoft Entra Connect 与 Windows Hello 企业版 同步哪些属性?

查看Microsoft Entra Connect Sync:同步到Microsoft Entra ID的属性,了解基于方案同步的属性列表。 包含Windows Hello 企业版的基本方案是Windows 10方案和设备写回方案。 你的环境可能包含其他属性。

是否可以将非Microsoft MFA 提供程序与Windows Hello 企业版配合使用?

是的,如果使用联合混合部署,则可以使用提供 AD FS MFA 适配器的任何非Microsoft。 可 在此处找到非Microsoft MFA 适配器的列表。

Windows Hello 企业版是否适用于非Microsoft联合服务器?

Windows Hello 企业版适用于支持预配体验期间使用的协议的任何非Microsoft联合服务器。

协议 描述
[MS KPP]:密钥预配协议 指定密钥预配协议,这将定义客户端在用户和设备对上注册一组加密密钥的机制。
[MS-OAPX]:OAuth 2.0 协议扩展 指定 OAuth 2.0 协议扩展,这将用于扩展 OAuth 2.0 的授权框架。 这些扩展支持授权功能,例如资源规范、请求标识符和登录提示。
[MS-OAPXBC]:面向代理客户端的 OAuth 2.0 协议扩展 指定适用于 Broker 客户端的 OAuth 2.0 协议扩展,该扩展RFC6749 (OAuth 2.0 授权框架) ,允许代理客户端代表调用客户端获取访问令牌。
[MS-OIDCE]:OpenID Connect 1.0 协议扩展 指定 OpenID Connect 1.0 协议扩展。 这些扩展定义其他声明以携带有关用户的信息,包括用户主体名称、本地唯一标识符、密码过期时间和密码更改 URL。 这些扩展还定义了更多的提供程序元数据,用于发现访问令牌的颁发者,并提供有关提供程序功能的其他信息。

是否可以在 Windows Hello 企业版 中注册本地 Windows 帐户?

Windows Hello 企业版不适用于本地帐户。

Windows Hello 企业版的生物识别要求是什么?

我是否可以佩戴面具使用Windows Hello人脸身份验证进行注册或解锁?

佩戴掩码进行注册是一个安全问题,因为戴着类似掩码的其他用户可能能够解锁你的设备。 如果在使用Windows Hello人脸身份验证进行注册或解锁时戴着掩码,请删除掩码。 如果工作环境不允许暂时删除掩码,请考虑从人脸身份验证中取消注册,并且仅使用 PIN 或指纹。

Windows Hello 企业版如何与已注册Microsoft Entra设备配合使用?

如果策略启用了该功能,系统会提示用户在已注册Microsoft Entra设备上设置Windows Hello 企业版密钥。 如果用户具有现有的Windows Hello容器,Windows Hello 企业版密钥将注册到该容器中,并使用现有手势进行保护。

如果用户已使用 Windows Hello 登录到其Microsoft Entra注册的设备,则当用户尝试使用Microsoft Entra资源时,将使用其Windows Hello 企业版密钥对用户的工作标识进行身份验证。 Windows Hello 企业版密钥满足Microsoft Entra多重身份验证 (MFA) 要求,并减少用户在访问资源时看到的 MFA 提示数。

可以Microsoft Entra注册已加入域的设备。 如果已加入域的设备具有便捷 PIN,则使用便利 PIN 登录将不再有效。 Windows Hello 企业版不支持此配置。

有关详细信息,请参阅Microsoft Entra已注册的设备

Windows Hello 企业版是否适用于非 Windows 操作系统?

Windows Hello 企业版是 Windows 平台的一项功能。

Windows Hello 企业版是否适用于 Microsoft Entra 域服务 客户端?

否,Microsoft Entra 域服务是 Azure 中单独托管的环境,无法通过 Microsoft Entra Connect 使用云Microsoft Entra ID进行混合设备注册。 因此,Windows Hello 企业版不适用于Microsoft Entra 域服务。

Windows Hello 企业版是否被视为多重身份验证?

Windows Hello 企业版是基于观察到的身份验证因素的双重身份验证:你拥有的、你知道的,以及属于你的一部分的东西。 Windows Hello 企业版包含两个这样的因素:你有的(受设备安全模块保护的用户的私钥)和你知道的(你的 PIN)信息。 搭配适当的硬件,你可以通过引入生物识别来增强用户体验。 通过使用生物识别,可以将“你知道的东西”身份验证因素替换为“属于你的一部分”因素,并保证用户可以回退到“你了解的内容”。

注意

Windows Hello 企业版密钥满足Microsoft Entra多重身份验证 (MFA) 要求,并减少用户在访问资源时看到的 MFA 提示数。 有关详细信息,请参阅 什么是主刷新令牌

对于身份验证、密钥或证书,哪个更好或更安全?

这两种类型的身份验证提供相同的安全性;一个并不比另一个更安全。 部署的信任模型决定了如何向 Active Directory 进行身份验证。 密钥信任和证书信任都使用相同的硬件支持的双因素凭据。 这两种信任类型的区别在于最终实体证书的颁发:

  • 密钥信任模型使用原始密钥向 Active Directory 进行身份验证。 密钥信任不需要企业颁发的证书,因此无需向用户颁发证书, (域控制器证书仍需要)
  • 证书信任模型使用证书向 Active Directory 进行身份验证。 因此,需要向用户颁发证书。 证书信任中使用的证书使用受 TPM 保护的私钥从企业的颁发 CA 请求证书

什么是便捷 PIN?

与密码相比,便捷 PIN 提供了一种更简单的登录 Windows 的方法,但它仍使用密码进行身份验证。 向 Windows 提供正确的便利 PIN 后,将从其缓存加载密码信息并验证用户身份。 使用便捷 PIN 的组织应迁移到Windows Hello 企业版。 新的 Windows 部署应部署Windows Hello 企业版,而不是方便 PIN。

是否可以对Microsoft Entra ID使用便捷 PIN?

否。 虽然可以在已加入Microsoft Entra和Microsoft Entra混合加入的设备上设置便捷 PIN,但Microsoft Entra用户帐户不支持便捷 PIN, (包括同步标识) 。 仅本地 Active Directory用户和本地帐户用户支持便捷 PIN。

虚拟智能卡呢?

Windows Hello 企业版是适用于 Windows 的新式双因素身份验证。 强烈建议使用虚拟智能卡的客户迁移到 Windows Hello 企业版。

混合部署需要允许哪些 URL?

有关所需 URL 的列表,请参阅 Microsoft 365 Common 和 Office Online

如果环境使用Microsoft Intune,请参阅用于Microsoft Intune的网络终结点

功能

当计算机具有内置Windows Hello兼容的相机时,是否可以使用外部Windows Hello兼容的相机?

可以,如果设备具有内部Windows Hello相机,则可以使用外部Windows Hello兼容的相机。 当两个相机都存在时,外部摄像头用于人脸身份验证。 有关详细信息,请参阅 支持 Windows 10 21H1 的 IT 工具。 如果启用了 ESS,请参阅Windows Hello增强的登录安全性

我的笔记本电脑盖关闭或停靠时,是否可以使用外部Windows Hello兼容的相机或其他Windows Hello兼容的配件?

当计算机与盖子合上时,某些带有键盘关闭的笔记本电脑和平板电脑可能无法使用外部Windows Hello兼容的相机或其他Windows Hello兼容的附件。 此问题已在 Windows 11 版本 22H2 中得到解决。

是否可以在专用浏览器模式或“隐身”模式下使用Windows Hello 企业版凭据?

Windows Hello 企业版凭据需要访问设备状态,这在专用浏览器模式或隐身模式下不可用。 因此,它不能在专用浏览器或 Incognito 模式下使用。

是否可以同时使用 PIN 和生物识别来解锁我的设备?

可以使用 多重解锁 来要求用户提供额外的因素来解锁其设备。 身份验证保留使用双因素,但在 Windows 允许用户访问桌面之前,需要提供其他因素。 若要了解详细信息,请参阅 多重解锁

云 Kerberos 信任

什么是Windows Hello 企业版云 Kerberos 信任?

Windows Hello 企业版云 Kerberos 信任是一种信任模型,它使用为支持Microsoft Entra混合联接设备上的安全密钥登录和Microsoft Entra上的本地资源访问而引入的基础结构实现Windows Hello 企业版部署已联接的设备。 如果不需要支持证书身份验证方案,则云 Kerberos 信任是首选部署模型。 有关详细信息,请参阅 云 Kerberos 信任部署

Windows Hello 企业版云 Kerberos 信任是否在本地环境中工作?

此功能在纯本地 AD 域服务环境中不起作用。

Windows Hello 企业版云 Kerberos 信任是否适用于混合环境中存在的 RODC 的 Windows 登录?

Windows Hello 企业版云 Kerberos 信任查找可写 DC 以交换部分 TGT。 只要每个站点至少有一个可写 DC,使用云 Kerberos 信任登录将有效。

是否需要域控制器的视线才能使用Windows Hello 企业版云 Kerberos 信任?

在以下情况下,Windows Hello 企业版云 Kerberos 信任需要域控制器的视线:

  • 用户首次登录或在预配后使用Windows Hello 企业版解锁
  • 尝试访问受 Active Directory 保护的本地资源

是否可以将 RDP/VDI 与Windows Hello 企业版云 Kerberos 信任配合使用?

Windows Hello 企业版云 Kerberos 信任不能用作 RDP/VDI 提供的凭据。 与密钥信任类似,如果出于此目的将证书注册到 Windows Hello 企业版,则可以将云 Kerberos 信任用于 RDP。 作为替代方法,请考虑使用不需要部署证书的 远程凭据防护

是否需要根据我使用Windows Hello 企业版云 Kerberos 信任的先决条件对我的所有域控制器进行完全修补?

否,仅处理来自所有云 Kerberos 信任设备的负载所需的数字。

密钥信任

为什么在预配混合密钥信任后身份验证会立即失败?

在混合部署中,用户的公钥必须从 Microsoft Entra ID 同步到 Active Directory,然后才能使用它对域控制器进行身份验证。 此同步由 Microsoft Entra Connect 处理,将在正常同步周期期间发生。

是否可以使用Windows Hello 企业版密钥信任和 RDP?

远程桌面协议 (RDP) 不支持使用基于密钥的身份验证作为提供的凭据。 但是,可以在密钥信任模型中部署证书以启用 RDP。 有关详细信息,请参阅 将证书部署到密钥信任用户以启用 RDP。 作为替代方法,请考虑使用不需要部署证书的 远程凭据防护