Вы можете создать политику управления групповая политика или мобильными устройствами (MDM), чтобы настроить Windows Hello для бизнеса на устройствах Windows.
Windows Hello в качестве удобного ПИН-кода по умолчанию отключен на всех присоединенных к домену и Azure AD присоединенных устройствах. Чтобы включить удобный ПИН-код, включите параметр групповая политика Включить удобный вход с ПИН-кодом.
Используйте параметры политики Сложность PIN-кода для управления PIN-кодами в Windows Hello для бизнеса.
Параметры групповой политики для Windows Hello для бизнеса
В следующей таблице перечислены параметры групповая политика, которые можно настроить для Windows Hello использования в организации. Эти параметры политики доступны в разделе Конфигурация пользователя и Конфигурация компьютера в разделе Политики > Административные шаблоны > Компоненты > Windows Windows Hello для бизнеса.
В разделе «Сложность ПИН-кода» групповая политика находится расположение: Конфигурация > компьютера Административные шаблоны > Сложность ПИН-кода системы>.
Что такое Windows Hello, как им пользоваться и как настроить.
Не настроено: устройство не подготавливает Windows Hello для бизнеса для любого пользователя.
Включено. Устройство подготавливает Windows Hello для бизнеса с помощью ключей или сертификатов для всех пользователей.
Не настроено: Windows Hello для бизнеса будет подготовлено с помощью доверенного платформенного платформенного модуля ,если доступно, и будет подготовлено с помощью программного обеспечения, если доверенный платформенный модуль недоступен.
Включено: Windows Hello для бизнеса будут подготовлены только с помощью доверенного платформенного платформенного модуля. Эта функция будет подготавливать Windows Hello для бизнеса с помощью TPM 1.2, если параметр исключения не задан явно.
Не настроено: Windows Hello для бизнеса регистрирует ключ, используемый для локальной проверки подлинности.
Включено: Windows Hello для бизнеса регистрирует сертификат входа с помощью ADFS, который используется для локальной проверки подлинности.
Добавлено в Windows 10, версия 1703
Не настроено: Windows Hello для бизнеса не создает и не сохраняет секрет восстановления ПИН-кода. При сбросе ПИН-кода не используется служба восстановления ПИН-кода на основе Azure.
Включено: Windows Hello для бизнеса использует службу восстановления ПИН-кода на основе Azure для сброса ПИН-кода.
Отключено: Windows Hello для бизнеса не создает и не сохраняет секрет восстановления ПИН-кода. При сбросе ПИН-кода не используется служба восстановления ПИН-кода на основе Azure.
Не настроено: биометрию можно использовать в качестве жеста вместо ПИН-кода
Включено. Биометрию можно использовать в качестве жеста вместо ПИН-кода.
Сложность PIN-кода
Не настроено. Пользователи должны включать цифру в свой ПИН-код.
Включено. Пользователи должны включать цифру в свой ПИН-код.
Не настроено: пользователи не могут использовать строчные буквы в ПИН-коде
Как Отключить или Включить Функцию Распознавания лиц Windows Hello
Включено. Пользователи должны включать по крайней мере одну строчную букву в СВОЙ ПИН-код.
Не настроено: длина ПИН-кода должна быть меньше или равна 127.
Включено: длина ПИН-кода должна быть меньше указанного числа или равна ей.
Не настроено: длина ПИН-кода должна быть больше или равна 4.
Включено: длина ПИН-кода должна быть больше указанного числа или равна ей.
Не настроено: срок действия ПИН-кода не истекает.
Включено. Пин-код может быть задан как срок действия через любое количество дней от 1 до 730, или можно задать для ПИН-кода значение никогда не истекает, установив для политики значение 0.
Не настроено: предыдущие ПИН-коды не сохраняются.
Включено. Укажите количество предыдущих ПИН-кодов, которые можно связать с учетной записью пользователя, которую нельзя использовать повторно.
Отключено: предыдущие ПИН-коды не сохраняются.
Примечание Текущий ПИН-код включается в журнал ПИН-кодов.
Не настроено: Windows разрешает, но не требует специальных символов в ПИН-коде.
Включено. Windows требует, чтобы пользователь включал по крайней мере один специальный символ в свой ПИН-код.
Не настроено. Пользователи не могут включать прописную букву в СВОЙ ПИН-код.
Включено. Пользователи должны включать в ПИН-код по крайней мере одну прописную букву.
Вход на телефоне
| Использовать функцию входа на телефоне | Компьютер | В настоящее время не поддерживается. |
Параметры политики MDM для Windows Hello для бизнеса
В указанной ниже таблице представлены параметры политики управления мобильными устройствами (MDM), которые можно настроить для использования Windows Hello для бизнеса на рабочем месте. Для этих параметров политики MDM используется поставщик службы конфигурации (CSP) PassportForWork.
Начиная с Windows 10 версии 1607, все устройства имеют только один PIN-код, связанный с Windows Hello для бизнеса. Это означает, что на любой PIN-код на устройстве будет распространяться действие политик, указанных в поставщике служб конфигурации PassportForWork. Указанные значения имеют приоритет перед правилами любой сложности, заданными с помощью Exchange ActiveSync (EAS) или поставщика служб конфигурации DeviceLock.
True: функция Windows Hello для бизнеса будет подготовлена к работе для всех пользователей устройства.
False. Пользователи не смогут подготавливать Windows Hello для бизнеса.
Примечание: Если Windows Hello для бизнеса включена, а затем политика изменяется на False, пользователи, которые ранее настроили Windows Hello для бизнеса, могут продолжать использовать его, но не смогут настроить Windows Hello для бизнеса на других устройствах.
True: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля.
True: модули TPM версии 1.2 запрещено использовать с Windows Hello для бизнеса.
Добавлено в Windows 10, версия 1703
True: Windows Hello для бизнеса использует службу восстановления ПИН-кода на основе Azure для сброса ПИН-кода.
Биометрия
True: биометрию можно использовать в качестве жеста вместо ПИН-кода для входа в домен.
Не настроено: пользователи могут выбрать, включить улучшенную защиту от подделок или нет.
True: улучшенная защита от подделок требуется на устройствах, которые поддерживают эту функцию.
PINComplexity
0: допускаются цифры.
1. Требуется по крайней мере одна цифра.
0: допускаются строчные буквы.
1. Требуется по крайней мере одна строчная буква.
0: допускаются специальные символы.
1. Требуется по крайней мере один специальный символ.
0: допускаются прописные буквы.
1. Требуется по крайней мере одна прописная буква.
Удаленный
| UseRemotePassport | Устройство или пользователь | False | В настоящее время не поддерживается. |
В Windows 10 версии 1709 и более поздних, если политика не настроена для явного требования букв или специальных символов, пользователи могут при необходимости задать буквенно-цифровой ПИН-код. До версии 1709 пользователю необходимо задать числовой ПИН-код.
Конфликты политик из нескольких источников политик
Windows Hello для бизнеса предназначена для управления групповая политика или MDM, но не для их сочетания. Если политики заданы из обоих источников, это может привести к смешанному результату того, что фактически применяется для пользователя или устройства.
Политики для Windows Hello для бизнеса применяются с помощью следующей иерархии: User групповая политика > Computer групповая политика > User MDM Device MDM >> Device Lock.
Политика включения функций и политика доверия сертификатов группируются и применяются из одного источника (GP или MDM) на основе приведенного выше правила. Политика Use Passport for Work используется для определения источника выигрышной политики.
Все политики сложности ПИН-кода группируются отдельно от включения функций и применяются из одного источника политики. Использование аппаратного устройства безопасности и принудительное применение RequireSecurityDevice также группируются вместе с политикой сложности ПИН-кода. Разрешение конфликтов для других политик Windows Hello для бизнеса применяется для каждой политики.
Windows Hello для бизнеса логика разрешения конфликтов политик не учитывает политику ControlPolicyConflict/MDMWinsOverGP в поставщике CSP политики.
Следующие параметры настраиваются с помощью групповая политика компьютера:
- Использование Windows Hello для бизнеса — включено
- Сертификат пользователя для локальной проверки подлинности — включено
Следующие параметры настраиваются с помощью политики MDM устройства:
- UsePassportForWork — отключено
- UseCertificateForOnPremAuth — отключено
- MinimumPINLength — 8
- Цифры — 1
- Нижний регистрЛеты — 1
- Специальные символы — 1
Набор принудительной политики:
- Использование Windows Hello для бизнеса — включено
- Использование сертификата для локальной проверки подлинности — включено
- MinimumPINLength — 8
- Цифры — 1
- Нижний регистрЛеты — 1
- Специальные символы — 1
Источник: learn.microsoft.com
Обзор развертывания Windows Hello для бизнеса
Windows Hello для бизнеса — это трамплин в мир без паролей. Вместо имени пользователя и пароля для входа в Windows теперь используется надежная проверка подлинности пользователей на основе пары асимметричных ключей.
Этот обзор развертывания поможет вам развернуть Windows Hello для бизнеса. Сначала необходимо использовать мастер без пароля в Центр администрирования Microsoft 365 или руководство по планированию развертывания Windows Hello для бизнеса, чтобы определить правильную модель развертывания для вашей организации.
После выбора модели развертывания руководство по развертыванию для этой модели предоставит сведения, необходимые для успешного развертывания Windows Hello для бизнеса в вашей среде. Общие сведения о предварительных требованиях для Windows Hello для бизнеса развертывания см. в статье Общие сведения о предварительных требованиях для каждой модели развертывания Windows Hello для бизнеса.
Допущения
В этом руководстве предполагается наличие базовой инфраструктуры, соответствующей требованиям к вашему развертыванию. Как для гибридных, так и для локальных развертываний предполагается, что у вас есть:
- Хорошо соединенная работающая сеть
- Доступ к Интернету
- Во время подготовки Windows Hello для бизнеса требуется многофакторная проверка подлинности
- Надлежащее разрешение имен, как внутренних, так и внешних
- Active Directory и достаточное количество контроллеров домена для каждого сайта для поддержки проверки подлинности
- Службы сертификатов Active Directory 2012 или более поздней версии (примечание. Службы сертификатов не требуются для облачных развертываний доверия Kerberos)
- Один или несколько компьютеров рабочей станции под управлением Windows 10 версии 1703 или более поздней
Если вы впервые устанавливаете роль сервера, убедитесь, что соответствующая серверная операционная система установлена, обновлена путем применения последних исправлений и присоединена к домену. Этот документ содержит инструкции по установке и настройке конкретных ролей на этом сервере.
Не приступайте к развертыванию до тех пор, пока серверы и инфраструктура размещения (не роли), указанные в вашем списке предварительных условий, не будут настроены и полностью работоспособны.
Модели развертывания и доверия
Windows Hello для бизнеса имеет три модели развертывания: только Azure AD облачную, гибридную и локальную. Гибридная среда имеет три модели доверия: доверие к ключу, доверие сертификатам и доверие к облачному протоколу Kerberos. Локальные модели развертывания поддерживают только доверие ключей и сертификатов.
Гибридные развертывания предназначены для предприятий, которые используют Azure Active Directory. Локальные развертывания предназначены для предприятий, которые используют исключительно локальную службу Active Directory. Помните, что в средах, в которых используется служба Azure Active Directory, необходимо использовать гибридную модель развертывания для всех доменов в соответствующем лесу.
Модель доверия определяет, как пользователи должны будут подтверждать свою подлинность для локальной службы Active Directory:
- Модель доверия на основе ключей предназначена для предприятий, которые не хотят выдавать своим пользователям сертификаты конечных субъектов и располагают достаточным количеством контроллеров домена Windows Server 2016 для поддержки проверки подлинности на каждом сайте. Для этого по-прежнему требуются службы сертификатов Active Directory для сертификатов контроллера домена.
- Модель доверия к облаку также предназначена для гибридных предприятий, которые не хотят выдавать сертификаты конечной сущности своим пользователям и имеют достаточное количество контроллеров домена 2016 на каждом сайте для поддержки проверки подлинности. Эту модель доверия проще развернуть, чем доверие к ключу, и для нее не требуются службы сертификатов Active Directory. Мы рекомендуем использовать облачное доверие Kerberos вместо доверия к ключам , если клиенты в вашем предприятии поддерживают его.
- Модель доверия сертификатов используется для предприятий, которые хотят выдавать пользователям сертификаты конечной сущности и имеют преимущества истечения срока действия и продления сертификатов, аналогично тому, как смарт-карты работают сегодня.
- Модель доверия на основе сертификатов также подойдет предприятиям, которые не готовы развертывать контроллеры домена Windows Server 2016.
RDP не поддерживает проверку подлинности с Windows Hello для бизнеса доверия ключом или облачными развертываниями доверия Kerberos в качестве предоставленных учетных данных. В настоящее время RDP поддерживается только для развертываний доверия сертификатов в качестве предоставленных учетных данных. Windows Hello для бизнеса доверия к ключам и облачного доверия Kerberos можно использовать с Защитник Windows Remote Credential Guard.
Ниже приведены различные руководства по развертыванию и модели, включенные в этот раздел.
- Развертывание доверия Kerberos, присоединенное к гибридному Azure AD
- Развертывание доверия на основе ключей с гибридным присоединением к Azure AD
- Развертывание доверия на основе сертификатов с гибридным присоединением к Azure AD
- Руководства по развертыванию службы единого входа с присоединением к Azure AD
- Локальное развертывание с доверием на основе ключей
- Локальное развертывание с доверием на основе сертификатов
Для развертывания Windows Hello для бизнеса предварительных требований к гибридному сертификату и предварительных требований к доверию ключей вам потребуется Azure Active Directory Connect для синхронизации учетных записей пользователей в локальная служба Active Directory с Azure Active Directory. Для локальных развертываний с доверием к ключу и сертификату используйте сервер Azure MFA, где учетные данные не синхронизируются с Azure Active Directory. Узнайте, как развернуть службы многофакторной проверки подлинности (MFA) для доверия к ключам и для развертываний доверия с сертификатами .
Подготовка
Подготовка Windows Hello для бизнеса начинается сразу же после входа пользователя, т. е. после загрузки профиля пользователя, но до того, как пользователь получит свой рабочий стол. Windows запускает процесс подготовки только в случае, если проверка всех предварительных условий пройдена. Состояние проверки предварительных условий можно определить, просмотрев раздел Регистрация устройства пользователя в средстве Просмотр событий, выбрав Журналы приложений и службMicrosoftWindows.
Обратите внимание, что для начала подготовки Windows Hello для бизнеса необходимо разрешить доступ к ACCOUNT.MICROSOFT.COM URL-адреса. Этот URL-адрес запускает последующие шаги в процессе подготовки и необходим для успешного завершения Windows Hello для бизнеса подготовки. Этот URL-адрес не требует проверки подлинности и поэтому не собирает данные пользователя.
Источник: learn.microsoft.com
Как настроить Windows Привет для бизнеса
В этом Задать вопрос администратору, Я покажу вам, как настроить Windows Привет для бизнеса используя Microsoft Intune.
Ранее известный как Microsoft Passport for Work, Windows Привет для бизнеса заменяет пароли двухфакторной аутентификацией: одним из факторов является ключ или сертификат, привязанный к устройству, а второй — жест, например PIN-код или биометрическая аутентификация, хранящиеся локально на устройстве. Для получения дополнительной информации о Windows Привет для бизнесаСм. Введение в Windows Привет для бизнеса на Техническая база знаний Petri.
Удобные PIN-коды vs. Windows Привет для бизнеса
Windows Привет для бизнеса предоставляет ключи или сертификаты для пользователей, эффективно заменяя их пароли домена. По умолчанию, Windows Учетные данные Hello основаны на асимметричной паре ключей, которая привязана к устройству и сопоставляется с учетной записью пользователя AD во время процесса регистрации. Windows Привет для бизнеса также поддерживает учетные данные на основе сертификатов для организаций, имеющих инфраструктуру открытого ключа (PKI).
Но можно войти в Windows с учетной записью домена, используя удобный PIN-код, если он включен в политике. Важно отметить, что удобные ПИН-коды представляют собой зашифрованную оболочку для паролей домена, которая кэшируется на локальном устройстве при входе пользователей в систему.
Настроить MDM-политику в Intune
В следующем примере у меня есть учетные записи пользователей в Azure Active Directory (AD), а Microsoft Intune используется для управления устройствами. Прежде чем вы сможете выполнить инструкции, вам понадобятся как Intune счета и Azure Active Directory (Premium) подписка. Вам также понадобится Windows 10 устройство, которое уже зарегистрировано у вашего клиента Intune.
Для получения дополнительной информации о регистрации Windows 10 с Intune смотрите Microsoft Intune: Windows 10 Регистрация устройства на Техническая база знаний Petri. Windows Привет для бизнеса политика также может быть настроена с использованием групповой политики Active Directory вместо решения MDM.
- Войдите в портал управления Intune здесь в Internet Explorer. Портал в настоящее время не совместим с Microsoft Edge.
- В списке параметров слева от порта Intune нажмите ADMIN.
- Под Администрация, развернуть Управление мобильными устройствами >Windows и нажмите Windows Привет для бизнеса.
- Проверьте Включите Windows Hello для бизнеса на зарегистрированных устройствах.
Настройте политику MDM для Windows Привет для бизнеса (Изображение предоставлено Расселом Смитом)
Для целей этой лаборатории я приму все настройки по умолчанию. Но, как вы можете видеть, Windows Привет для бизнеса настройки могут быть настроены. Например, вы можете изменить минимальную и максимальную длину PIN-кода и включить или отключить биометрическую аутентификацию. Примите настройки по умолчанию, нажав Save. внизу портала windows.
Добавить PIN-код
Как только появится строка Windows Политика MDM Hello для бизнеса настраивается в Intune, пользователям, уже работающим с зарегистрированными устройствами, будет предложено настроить ПИН-код в процессе автоматической подготовки. Пользователи, входящие в виртуальные машины через службы удаленных рабочих столов, не будут получать автоматические запросы, и им нужно будет установить ПИН-код вручную:
- Войти в Windows 10 устройство, которое уже зарегистрировано в Intune.
- Нажмите Настройки значок на Start меню.
- В разделе Настройки приложение, нажмите Учетные записи.
- Нажмите Параметры входа слево.
- Нажмите Добавить под PIN-код справа.
- Подтвердите свой пароль при появлении запроса.
- Введите новый вывод и еще раз подтвердите его, затем нажмите OK.
Если вы еще не подтвердили свою личность на устройстве, вам будет предложено сделать это, используя один из нескольких методов. В последующих инструкциях я подтвержу свою личность с помощью SMS, отправленного на мобильный.
- Затем вы увидите Настройка PIN-кода в котором указано, что это устройство принадлежит вашей организации. Нажмите Настройка PIN-кода.
- На Помогите нам защитить свою учетную запись экрана, вам будет предложено настроить свою учетную запись для дополнительной безопасности. Нажмите Установите его сейчас.
Настройте PIN-код и проверьте свою личность (Image Credit: Russell Smith)
- На Подтвердите вашу личность выберите метод идентификации из раскрывающегося меню, а затем введите необходимые данные. Я выбрал Текстовое сообщение и введите номер мобильного телефона. Нажмите Следующая.
- Введите полученный код и нажмите Следующая.
- Нажмите OK и подождите, пока PIN-код будет настроен.
Проверьте свою личность (Image Credit: Russell Smith)
В этой статье я показал вам, как настроить Windows Привет для бизнеса используя Microsoft Intune.
Источник: websetnet.net
