Windows Hello for Business telah menjadi asas Komitmen Microsoft terhadap pengesahan tanpa kata laluan dalam persekitaran korporat melangkaui log masuk PIN atau cap jari biasa; ia merupakan sistem teragih yang menggabungkan biometrik, kunci kriptografi berkaitan peranti dan perkhidmatan awan untuk menawarkan pengesahan yang tahan terhadap serangan pancingan data dan kekerasan.
Dalam banyak organisasi, Laksanakan Windows Hello for Business dengan kekunci berasaskan perkakasan (TPM, kunci FIDO2, kad pintar, dll.) bukan lagi pilihan yang "bagus untuk dimiliki", tetapi satu keperluan untuk beralih ke arah model keselamatan sifar kepercayaan, mematuhi peraturan yang ketat dan mengurangkan kos pengurusan kata laluan yang tinggi, contohnya apabila pekerja Lupa kata laluan anda dalam WindowsWalau bagaimanapun, penggunaannya bukanlah sesuatu yang remeh: ia memerlukan perancangan topologi, memilih model kepercayaan yang sesuai, menyemak PKI, menyediakan pengguna dan menyelaraskan keselamatan, sistem dan pasukan sokongan.
Apakah Windows Hello for Business dan mengapa perlu melabur dalam kunci perkakasan?
Windows Hello for Business (WHfB) ialah versi korporat Windows Hello, direka bentuk untuk disepadukan dengan Microsoft Entra ID (dahulunya Azure AD), Active Directory di premis dan penyedia identiti yang mematuhi FIDO2/WebAuthn. Daripada bergantung pada kata laluan atau kod OTP, WHfB menggunakan pasangan kunci asimetri: kunci persendirian dilindungi oleh perkakasan peranti (biasanya TPM) dan kunci awam didaftarkan dengan penyedia identiti.
Dari sudut pandangan pengguna, WHfB bermaksud log masuk dengan gerak isyarat Ia mudah: PIN, pengecaman wajah, cap jari atau pengimbasan iris pada peranti yang serasi. Gerak isyarat ini membuka kunci peribadi yang disimpan dalam perkakasan selamat, yang digunakan untuk menandatangani cabaran pengesahan. Kunci peribadi tidak pernah meninggalkan peranti, jadi tiada "rahsia kongsi" yang boleh dicuri oleh penyerang daripada pelayan atau digunakan semula dari jauh. Jika anda bimbang tentang perlindungan data biometrik, anda boleh mengetahui lebih lanjut tentang caranya. Lindungi privasi anda dalam Windows 11 dalam persekitaran korporat.
Apabila kita bercakap tentang kekunci berasaskan perkakasan Kami merujuk kepada kelayakan yang dilindungi oleh komponen keselamatan fizikal: TPM peranti, kunci keselamatan FIDO2, kad pintar atau perkakasan biometrik yang diperakui. Pendekatan ini mengukuhkan perlindungan terhadap pancingan data, kekerasan, kecurian kelayakan dan serangan ulangan, kerana penyerang memerlukan kedua-dua peranti dan gerak isyarat pengguna (PIN atau biometrik).
Dalam persekitaran korporat, WHfB dianggap sebagai pengesahan dua faktorIa terdiri daripada dua perkara: sesuatu yang anda miliki (kunci peribadi yang dipegang oleh TPM atau modul selamat lain) dan sesuatu yang anda tahu atau anda tahu (PIN atau sifat biometrik). Dengan perkakasan yang betul, anda boleh menggantikan "sesuatu yang anda tahu" dengan "sesuatu yang anda tahu" tanpa kehilangan keupayaan untuk kembali kepada PIN jika biometrik gagal.
Model pelaksanaan: awan sahaja, hibrid atau di premis
Salah satu perkara penting dalam mereka bentuk pelaksanaan Kunci kepada Windows Hello for Business ialah memilih model pelaksanaan anda: awan sahaja, hibrid atau sepenuhnya di premis. Pilihannya bergantung pada lokasi identiti, aplikasi yang anda gunakan (M365, SaaS, di premis), keperluan kawal selia anda dan berapa banyak yang anda boleh atau ingin bergantung pada Microsoft Entra ID.
Dalam pelaksanaan hanya di awanOrganisasi ini berfungsi secara eksklusif dengan identiti dalam ID Microsoft Entra, tanpa Active Directory tempatan atau sumber di premis. Peranti menyertai Microsoft Entra (Azure AD menyertai) atau mendaftar, dan dasar pendaftaran, pengesahan dan akses kunci dikendalikan dalam awan. Ini adalah senario biasa untuk syarikat awan pertama yang bergantung pada aplikasi Microsoft 365, SharePoint Online, OneDrive dan SaaS; jika anda masih ragu-ragu tentang keserasian, lihat sebab untuk lompat ke Windows 11.
Model itu kacukan Ini merupakan pendekatan yang paling biasa dalam syarikat besar: identiti disegerakkan antara Active Directory dan Microsoft Entra ID menggunakan Entra Connect Sync; ini menyediakan pengguna dengan daftar masuk tunggal (SSO) untuk kedua-dua sumber awan dan pelayan serta aplikasi di premis. Pilihan jenis kepercayaan (kepercayaan awan Kerberos, kepercayaan utama atau kepercayaan sijil) memainkan peranan di sini, menentukan cara pengguna disahkan dalam Active Directory.
Akhirnya, model benar-benar tempatan Penyelesaian ini sesuai untuk organisasi yang tidak berfungsi dengan identiti awan atau aplikasi yang dihoskan pada Microsoft Entra ID. Dalam kes ini, semuanya berkisar tentang Active Directory, AD FS dan PKI korporat. Ia merupakan pilihan biasa untuk sektor yang dikawal selia dengan ketat (pertahanan, agensi kerajaan tertentu, infrastruktur kritikal) yang memerlukan kawalan penuh ke atas kelayakan dan metadata pengesahan.
Dari sudut keselamatan dan kerumitan, Kebanyakan organisasi akhirnya memilih melalui model hibrid: ia membolehkan perkhidmatan aplikasi legasi, mendapat manfaat daripada kelebihan awan dan secara progresif bergerak ke arah persekitaran tanpa kata laluan.
Jenis kepercayaan: Kerberos dalam awan, kepercayaan utama dan kepercayaan sijil
Apabila WHfB digunakan dalam persekitaran dengan Active DirectoryAnda perlu memutuskan jenis kepercayaan yang hendak digunakan oleh klien untuk mengesahkan terhadap domain: Kerberos dalam awan, kepercayaan kunci atau kepercayaan sijil. Perkara ini tidak terpakai kepada penggunaan awan semata-mata, kerana pengesahan dalam Microsoft Entra ID sentiasa berdasarkan kunci dan bukan sijil (kecuali untuk senario tertentu dengan kad pintar dalam persekitaran bersekutu).
La Amanah awan Kerberos (Cloud Kerberos Trust) membolehkan pengguna mendapatkan Active Directory TGT daripada Microsoft Entra Kerberos. Pengawal domain di premis terus mengeluarkan tiket perkhidmatan dan melaksanakan kebenaran, tetapi pengesahan dikendalikan oleh awan. Kelebihan utamanya ialah anda tidak memerlukan PKI untuk pengawal domain atau sijil pengguna dan anda menggunakan semula infrastruktur yang sama yang digunakan untuk log masuk kunci keselamatan FIDO2.
Dalam model kepercayaan utamaPengguna mengesahkan ke Active Directory menggunakan kunci yang berkaitan dengan peranti (disimpan dalam perkakasan atau perisian selamat) yang dicipta semasa peruntukan Windows Hello. Sijil pengesahan tidak dikeluarkan kepada pengguna, tetapi sijil mesti dikeluarkan kepada pengawal domain, yang memerlukan PKI korporat yang dikonfigurasikan dengan betul.
La sijil amanah Ia melangkah lebih jauh: selain kunci yang dipautkan ke peranti, sijil pengesahan dikeluarkan kepada pengguna. Sijil ini diminta menggunakan kunci yang dilindungi oleh peranti dan digunakan untuk mendapatkan Kerberos TGT berdasarkan pengesahan sijil. Senario ini bergantung pada PKI perusahaan dan, dalam persekitaran bersekutu, pada AD FS yang bertindak sebagai pihak berkuasa sijil.
Dari sudut keselamatan, tiada satu pun model kepercayaan yang "lebih selamat" itu sendiriPerbezaannya terletak pada kerumitan infrastruktur, keperluan PKI dan jenis keserasian yang diperlukan oleh aplikasi anda. Walau bagaimanapun, kepercayaan Kerberos awan adalah pilihan paling mudah untuk digunakan dan diselenggara jika anda sudah banyak berintegrasi dengan Microsoft Entra ID.
Keperluan PKI, sistem pengendalian dan penyegerakan identiti
PKI memainkan peranan penting Dalam kebanyakan senario Windows Hello for Business, kecuali apabila menggunakan model hibrid dengan kepercayaan awan Kerberos, pengawal domain memerlukan sijil untuk komputer Windows bagi mengenalinya sebagai entiti yang sah. Dalam penggunaan hibrid dan di premis dengan kepercayaan kunci atau sijil, pengawal domain memerlukan sijil untuk komputer Windows bagi mengenalinya sebagai entiti yang sah. Dan dalam kes kepercayaan sijil, pengguna juga menerima sijil pengesahan yang dikeluarkan oleh CA korporat.
Dalam penggunaan di premis atau hibrid dengan kepercayaan sijil, AD FS biasanya bertindak sebagai entiti pendaftaran sijilmengeluarkan sijil pengesahan selepas mengesahkan pengguna dengan betul. Tambahan pula, jika sijil digunakan untuk VPN atau perkhidmatan lain, PKI mesti direka bentuk untuk menyokong kes penggunaan ini tanpa menjadi kesesakan operasi.
Berkenaan versi sistem pengendalian, hampir semua versi Windows 10 dan Windows 11 yang disokong Mereka boleh menggunakan WHfB. Walau bagaimanapun, kepercayaan Kerberos awan memerlukan minimum tertentu: contohnya, Windows 10 21H2 dengan KB5010415 atau lebih baharu, dan Windows 11 21H2 dengan KB5010414 atau lebih baharu. Di bahagian pelayan, pengawal domain yang menyertai kepercayaan Kerberos awan mesti menjalankan sekurang-kurangnya Windows Server 2016 dengan rollup tertentu, atau Windows Server 2019/2022/2025; di samping itu, adalah dinasihatkan untuk menyemak butiran tampalan terkini seperti tampal KB5070311 untuk memastikan keserasian.
La penyegerakan identiti Ia juga merupakan kunci dalam senario hibrid: Microsoft Entra Connect Sync mereplikasi pengguna, peranti dan atribut kelayakan (seperti kunci awam yang dikaitkan dengan objek pengguna melalui msDS-KeyCredentialLink) daripada Active Directory kepada Microsoft Entra ID dan sebaliknya. Penyegerakan ini membolehkan SSO antara sumber awan dan di premis serta menghalang kelewatan antara penyediaan kelayakan Hello dan keupayaan pengguna untuk mengesahkan.
Dalam penggunaan di premis semata-mata yang mengintegrasikan Azure MFA melalui pelayan MFA legasi, Penyegerakan direktori digunakan untuk tujuan lainImport pengguna Active Directory ke pelayan MFA supaya ia boleh menggunakan perkhidmatan awan semasa mengesahkan faktor kedua.
Pengesahan dengan ID Log Masuk Microsoft, MFA dan Pendaftaran Peranti
Berkenaan pengesahan terhadap Microsoft Enter IDSesebuah organisasi boleh memilih antara pengesahan awan (PHS atau PTA) atau pengesahan bersekutu (AD FS atau IdP lain). WHfB berfungsi dengan betul dengan kedua-dua model, tetapi terdapat beberapa nuansa: contohnya, kepercayaan sijil dalam persekitaran hibrid memerlukan penyepaduan dengan AD FS dan tidak menyokong PTA atau PHS.
Pengesahan berbilang faktor (MFA) merupakan keperluan mandatori semasa penyediaan WHfB: kali pertama pengguna mengkonfigurasi gerak isyarat mereka (PIN atau biometrik) mesti disahkan dengan kelayakan tradisional dan faktor kedua yang kukuh. Dalam senario awan atau hibrid, Microsoft Entra MFA biasanya digunakan, walaupun penyelesaian pihak ketiga juga boleh disepadukan melalui kaedah pengesahan luaran persekutuan atau Entra ID. Dalam penggunaan di premis sepenuhnya, pilihan MFA disepadukan dengan AD FS melalui penyesuai tertentu.
Dalam domain persekutuan, Jenama federatedIdpMfaBehavior Microsoft memasuki pasaran Ini membolehkan anda mengawal sama ada Entra ID menerima, menggunakan atau menolak MFA yang dilakukan oleh IdP bersekutu. Konfigurasi ini diuruskan dengan Microsoft Graph PowerShell dan boleh menjadi kritikal apabila menggabungkan MFA yang dilakukan dalam AD FS dengan dasar akses bersyarat berasaskan awan.
El pendaftaran peranti Ia juga berbeza-beza bergantung pada model penggunaan. Dalam persekitaran awan dan hibrid, peranti mendaftar dengan Microsoft Entra ID (disertai, hibrid atau didaftarkan oleh Microsoft Entra), dan Entra ID bertindak sebagai perkhidmatan pendaftaran peranti. Dalam senario di premis semata-mata, pendaftaran peranti dikendalikan oleh Sistem Fail Direktori Aktif (ADFS). Pendaftaran ini penting bukan sahaja untuk White for Bonding (WfB) tetapi juga untuk menguatkuasakan dasar akses bersyarat, pengurusan data pengurusan (MDM) dan pematuhan.
Akhir sekali, pendaftaran kunci pengguna Kekunci yang dijana semasa peruntukan WHfB dikendalikan oleh pembekal identiti yang sama yang mengurus pengesahan: ID Microsoft Entra untuk model awan/hibrid dan AD FS untuk persekitaran di premis. Bahagian awam kunci disimpan dipautkan ke akaun pengguna dan disegerakkan dengan Active Directory apabila perlu.
Konfigurasi peranti: Keperluan perkakasan CSP, GPO dan biometrik
Persediaan Windows Hello for Business boleh dilakukan Ini boleh dilakukan melalui dasar Penyedia Perkhidmatan Konfigurasi (CSP) atau Objek Dasar Kumpulan (GPO), bergantung pada cara anda mengurus peranti anda. Pada peranti yang diuruskan dengan penyelesaian MDM seperti Microsoft Intune, CSP biasanya digunakan untuk mendayakan Pembidaan Terusan Putih (WfB), menguatkuasakan pendaftaran dan menentukan keperluan PIN dan biometrik; pada peranti yang disertai domain tanpa MDM, GPO masih diutamakan.
Dalam kedua-dua kes, anda boleh mengawal aspek seperti Jika biometrik dibenarkan, panjang PIN minimum, kerumitan (seperti menyekat corak remeh), tamat tempoh atau keperluan untuk mengkonfigurasi WHfB pada log masuk pertama harus dipertimbangkan. Sebaik-baiknya, dalam penggunaan sederhana hingga besar, automasi harus dimaksimumkan: pendaftaran automatik, peruntukan berpandu dan dasar yang konsisten di seluruh organisasi.
Bagi perkakasan, WHfB memerlukan TPM 2.0 sebagai asasnya Didayakan pada peranti untuk melindungi kunci peribadi. Bagi komponen biometrik, sensor yang memenuhi ambang keselamatan yang sangat ketat diperlukan, terutamanya dari segi kadar penerimaan palsu (FAR) dan kadar penolakan palsu (FRR). Microsoft bekerjasama dengan pengeluar untuk mengesahkan kamera inframerah, pembaca cap jari dan sensor iris yang memenuhi keperluan ini.
The sensor cap jari Ia boleh menjadi sensitif sentuhan (kawasan besar atau kecil) atau berasaskan leretan, tetapi semuanya mesti mengintegrasikan mekanisme anti-spoofing dan menunjukkan FAR yang sangat rendah (pada peringkat 0,001–0,002%) dan FRR yang munasabah dengan pengesanan keaktifan. Begitu juga, kamera IR untuk pengecaman wajah mesti membezakan antara gambar dan wajah sebenar dengan andal, mengekalkan FAR di bawah 0,001%.
Bagi organisasi besar, Keserasian perkakasan boleh mewakili pelaburan Banyak: menaik taraf komputer riba tanpa TPM, menambah pembaca biometrik luaran, kamera IR atau menggunakan kekunci FIDO2 untuk pengguna pada peranti kongsi atau bukan Windows. Walaupun begitu, banyak pasukan keselamatan bersetuju bahawa penjimatan jangka sederhana dalam penetapan semula kata laluan, pengurangan insiden dan peningkatan pematuhan peraturan melebihi pelaburan.
PKI perusahaan dan sijil pengawal domain dalam model kepercayaan utama
Apabila memilih model kepercayaan utama dalam persekitaran hibrid atau tempatanInfrastruktur kunci awam menjadi keperluan penting. Windows Hello untuk perniagaan memerlukan pengawal domain mempunyai sijil pengesahan Kerberos yang dikeluarkan oleh CA perusahaan. Tanpa "akar kepercayaan" ini, komputer tidak dapat mengesahkan bahawa mereka berkomunikasi dengan DC yang sah.
Perkara biasa ialah menyebarkan hierarki PKI berasaskan Windows Server dengan Perkhidmatan Sijil Direktori Aktif (AD CS), walaupun CA pihak ketiga juga boleh digunakan jika ia memenuhi keperluan sijil pengawal domain. Banyak persekitaran sudah mempunyai PKI yang berfungsi yang digunakan untuk VPN, sijil pelayan atau e-mel, jadi ia sering digunakan semula dan dilanjutkan untuk menyokong WHfB.
Amalan terbaik ialah bermula daripada templat “Pengesahan Kerberos” disertakan dalam AD CS dan mencipta templat “Pengesahan Pengawal Domain (Kerberos)” khusus daripadanya dengan kriptografi (RSA 2048, SHA-256, penyedia storan kunci moden yang dikemas kini). Templat baharu ini diterbitkan kepada CA perusahaan dan dikonfigurasikan untuk menggantikan templat “Pengawal Domain” dan “Pengesahan Pengawal Domain” yang lama.
Agar pengawal domain dapat memperoleh sijil ini secara automatik, Pendaftaran kendiri diaktifkan melalui GPODengan memautkan dasar kepada OU "Pengawal Domain", dengan konfigurasi yang betul, DC akan meminta dan memperbaharui sijil mereka tanpa campur tangan manual dan sijil lama akan diarkibkan.
Pengesahan seterusnya melibatkan Semak peristiwa dalam Pemapar Peristiwa (Pendaftaran Perkhidmatan Sijil-Kitaran Hayat-Sistem), semak dengan certlm.msc sijil yang telah didaftarkan dalam stor "Peribadi" komputer dan gunakan certutil.exe untuk melihat EKU, cap jari dan templat yang berkaitan secara terperinci. Sebarang masalah dengan penerbitan templat, kebenaran pendaftaran kendiri atau replikasi AD biasanya tercermin dalam log ini.
Pendaftaran pengguna, amalan terbaik dan pengalaman penggunaan
Selain aspek teknikal, kejayaan WHfB Ia sebahagian besarnya bergantung pada bagaimana pendaftaran pengguna dan penggunaan dalaman diuruskan. Jika pengalaman itu janggal, biometrik kerap gagal, atau dasar PIN terlalu ketat, pengguna akan menentang, meja perkhidmatan akan dibanjiri dengan tiket, dan projek itu akan gagal.
Sebelum memaksa penggunaan, adalah penting memastikan prasyarat dipenuhiPeranti dengan Windows 10/11 yang disokong dan TPM 2.0 yang beroperasi, identiti yang disegerakkan dengan betul, MFA yang disediakan dan diuji, model kepercayaan yang ditakrifkan dan PKI yang sihat (jika berkenaan). Setelah siap, adalah dinasihatkan untuk mendayakan pendaftaran automatik melalui Intune atau GPO bagi memastikan konsistensi.
Semasa pendaftaran, pengguna melalui beberapa fasaPengesahan awal dengan MFA, penciptaan PIN peranti, pendaftaran ciri biometrik jika perkakasan membenarkannya dan penjanaan pasangan kunci yang didaftarkan dalam Microsoft Entra ID atau AD FS. Mengautomasikan fasa-fasa ini mengurangkan ralat dan menghalang setiap pasukan sokongan daripada "mencipta" prosedurnya sendiri.
Perancangan juga penting. mekanisme pemulihan akses selamatTetapan semula PIN layan diri melalui ID Microsoft Entra, pilihan alternatif seperti kunci keselamatan FIDO2 untuk pengguna yang tidak boleh menggunakan biometrik (atau bekerja pada komputer kongsi) dan prosedur yang jelas untuk menggantikan peranti yang hilang atau dicuri; jika anda memerlukan bantuan langsung dengan PIN anda, lihat Saya tidak ingat PIN Windows 11 sayaMelengkapi ini dengan BitLocker pada peranti dapat meminimumkan kesan kecurian fizikal.
Akhirnya, pengambilan anak angkat melibatkan komunikasi yang jelas dan jujur dengan pekerjaJelaskan bahawa data biometrik disimpan secara setempat dan tidak dimuat naik ke Microsoft, bahawa sistem tersebut menyelamatkan mereka daripada perlu mengingati kata laluan yang kompleks, dan organisasi tidak dapat "melihat" cap jari atau wajah mereka. Menyertakan bahan latihan, sesi amali dan saluran maklum balas membantu memperhalusi pengalaman dan mengenal pasti titik pergeseran.
Dengan semua rangkaian model penggunaan, jenis kepercayaan, PKI, keperluan perkakasan dan pengurusan perubahan yang rumit iniMelaksanakan Windows Hello for Business dengan kekunci berasaskan perkakasan mungkin kelihatan seperti projek yang rumit; walau bagaimanapun, apabila dirancang dengan baik, ia menawarkan gabungan keselamatan tahan pancingan data yang hebat, pengalaman pengguna yang lancar dan penjajaran dengan rangka kerja sifar kepercayaan dan peraturan moden, menjadikannya salah satu pertaruhan paling kukuh untuk akhirnya mengatasi masalah kata laluan kronik dalam perniagaan.
