Принципы работы Windows Hello для бизнеса How Windows Hello for Business works
Относится к: Applies to
Windows Hello для бизнеса — это современные двух-факторные учетные данные, которые более безопасная альтернатива паролям. Windows Hello for Business is a modern, two-factor credential that is the more secure alternative to passwords. Независимо от того, являетесь ли вы облаком или локальной службой, windows Hello для бизнеса может выбрать вариант развертывания. Whether you are cloud or on-premises, Windows Hello for Business has a deployment option for you. Для облачных развертывание можно использовать Windows Hello для бизнеса с устройствами, которые присоединились к Azure Active Directory, гибридной службой Azure Active Directory или зарегистрированными устройствами Azure Active Directory. For cloud deployments, you can use Windows Hello for Business with Azure Active Directory joined, Hybrid Azure Active Directory joined, or Azure Active Directory registered devices. Windows Hello для бизнеса также работает на устройствах, которые присоединились к домену. Windows Hello for Business also works for domain joined devices.
Посмотрите это быстрое видео, в котором Pieter Wigleven объясняет, как работает Windows Hello для бизнеса, и некоторые из его вспомогательных функций. Watch this quick video where Pieter Wigleven gives a simple explanation of how Windows Hello for Business works and some of its supporting features.
Технический анализ Technical Deep Dive
Windows Hello для бизнеса — это распределенная система, которая использует несколько компонентов для регистрации, предоставления и проверки подлинности устройств. Windows Hello for Business is a distributed system that uses several components to accomplish device registration, provisioning, and authentication. Используйте этот раздел, чтобы лучше понять каждую категорию и то, как они поддерживают Windows Hello для бизнеса. Use this section to gain a better understanding of each of the categories and how they support Windows Hello for Business.
Регистрация устройств Device Registration
Регистрация — это фундаментальное условие для Windows Hello для бизнеса. Registration is a fundamental prerequisite for Windows Hello for Business. Без регистрации подготовка Windows Hello для бизнеса не может начаться. Without registration, Windows Hello for Business provisioning cannot start. Регистрация — это место, где устройство регистрирует свое удостоверение у поставщика удостоверений. Registration is where the device registers its identity with the identity provider. В облачных и гибридных развертываниях поставщиком удостоверений является Azure Active Directory, и устройство регистрируется в службе регистрации устройств Azure (ADRS). For cloud and hybrid deployments, the identity provider is Azure Active Directory and the device registers with the Azure Device Registration Service (ADRS). Для локального развертывания поставщиком удостоверений является служба федерации Active Directory (AD FS), а устройство регистрируется в службе регистрации корпоративных устройств, размещенной на серверах федерации (AD FS). For on-premises deployments, the identity provider is Active Directory Federation Services (AD FS), and the device registers with the enterprise device registration service hosted on the federation servers (AD FS).
Дополнительные сведения о регистрации устройств. For more information read how device registration works.
Подготовка Provisioning
Подготовка происходит, когда пользователь использует одну форму проверки подлинности для запроса новых учетных данных Windows Hello для бизнеса. Provisioning is when the user uses one form of authentication to request a new Windows Hello for Business credential. Как правило, пользователь войтывает в Windows, используя имя пользователя и пароль. Typically the user signs in to Windows using user name and password. Для работы потока предоставления требуется второй фактор проверки подлинности, прежде чем он создаст прочные двух-факторные учетные данные Windows Hello для бизнеса. The provisioning flow requires a second factor of authentication before it will create a strong, two-factor Windows Hello for Business credential.
Посмотрите, как работают подготовка Windows Hello для бизнеса, и Рави Vennapusa. Watch Matthew Palko and Ravi Vennapusa explain how Windows Hello for Business provisioning works.
Дополнительные сведения о том, как работает подготовка. For more information read how provisioning works.
Authentication Authentication
После регистрации устройства и завершения подготовка пользователи могут войти в Windows 10 с помощью биометрии или ПИН-кода. With the device registered and provisioning complete, users can sign-in to Windows 10 using biometrics or a PIN. ПИН-код является наиболее распространенным жестом и доступен на всех компьютерах, если только он не ограничен политикой, требующей TPM. PIN is the most common gesture and is available on all computers unless restricted by policy requiring a TPM. Независимо от используемого жеста проверка подлинности происходит с использованием закрытой части учетных данных Windows Hello для бизнеса. Regardless of the gesture used, authentication occurs using the private portion of the Windows Hello for Business credential. Ни ПИН-код, ни частная часть учетных данных никогда не отправляются поставщику удостоверений, а ПИН-код не хранится на устройстве. Neither the PIN nor the private portion of the credential are ever sent to the identity provider, and the PIN is not stored on the device. Он предоставляется пользователем при выполнении операций, которые используют частную часть учетных данных. It is user provided entropy when performing operations that use the private portion of the credential.
Посмотрите, как работают проверки подлинности Windows Hello для бизнеса. Watch Matthew Palko and Ravi Vennapusa explain how Windows Hello for Business authentication works.
Управление функцией Windows Hello для бизнеса в организации Manage Windows Hello for Business in your organization
Относится к: Applies to
Вы можете создать групповую политику или политику управления мобильными устройствами (MDM), которая внедрит функцию Windows Hello на устройства с Windows 10. You can create a Group Policy or mobile device management (MDM) policy that will implement Windows Hello on devices running Windows 10.
Параметр групповой политики Включить вход с помощью ПИН-кода не относится к Windows Hello для бизнеса. The Group Policy setting Turn on PIN sign-in does not apply to Windows Hello for Business. Но он позволяет запретить или разрешить создать удобный PIN-код для Windows 10 версий 1507 и 1511. It still prevents or enables the creation of a convenience PIN for Windows 10, version 1507 and 1511.
Начиная с версии 1607, использование Windows Hello как более удобного PIN-кода отключено по умолчанию на всех компьютерах, входящих в состав домена. Beginning in version 1607, Windows Hello as a convenience PIN is disabled by default on all domain-joined computers. Чтобы включить удобный PIN-код для Windows 10 версии 1607, включите параметр групповой политики Включение входа в систему с помощью удобного PIN-кода. To enable a convenience PIN for Windows 10, version 1607, enable the Group Policy setting Turn on convenience PIN sign-in.
Используйте параметры политики Сложность PIN-кода для управления PIN-кодами в Windows Hello для бизнеса. Use PIN Complexity policy settings to manage PINs for Windows Hello for Business.
Параметры групповой политики для Windows Hello для бизнеса Group Policy settings for Windows Hello for Business
В приведенной ниже таблице перечислены параметры групповой политики, которые можно настроить для использования Windows Hello на рабочем месте. The following table lists the Group Policy settings that you can configure for Windows Hello use in your workplace. Эти параметры политики доступны в **** конфигурации пользователя и конфигурации компьютера в соответствии с политиками административных шаблонов Windows > **** > Components > Windows Hello для бизнеса. These policy settings are available in User configuration and Computer Configuration under Policies > Administrative Templates > Windows Components > Windows Hello for Business.
Начиная с Windows 10 версии 1709, расположение раздела сложности ПИН-кода групповой политики: сложность PIN-кода системы административных шаблонов > **** > **** > компьютерной конфигурации. Starting with Windows 10, version 1709, the location of the PIN complexity section of the Group Policy is: Computer Configuration > Administrative Templates > System > PIN Complexity.
Политика Policy
Область применения Scope
Параметры Options
Использовать Windows Hello для бизнеса Use Windows Hello for Business
Компьютер или пользователь Computer or user
Не настроено. Устройство не содержит Windows Hello для бизнеса для любого пользователя. Not configured: Device does not provision Windows Hello for Business for any user.
Включено: устройство подготавливает Windows Hello для бизнеса к работе с помощью ключей или сертификатов для всех пользователей. Enabled: Device provisions Windows Hello for Business using keys or certificates for all users.
Отключено: устройство не подготавливает Windows Hello для бизнеса к работе для пользователей. Disabled: Device does not provision Windows Hello for Business for any user.
Использование устройства аппаратной защиты Use a hardware security device
Компьютер Computer
Не задано: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если он недоступен. Not configured: Windows Hello for Business will be provisioned using TPM if available, and will be provisioned using software if TPM is not available.
Включено: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля. Enabled: Windows Hello for Business will only be provisioned using TPM. Эта функция будет устанавливать Windows Hello для бизнеса с помощью TPM 1.2, если не будет явно заданной опция для их исключения. This feature will provision Windows Hello for Business using TPM 1.2 unless the option to exclude them is explicitly set.
Отключено: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если он недоступен. Disabled: Windows Hello for Business will be provisioned using TPM if available, and will be provisioned using software if TPM is not available.
Использовать сертификат для локальной проверки подлинности Use certificate for on-premises authentication
Компьютер или пользователь Computer or user
Не настроено. Windows Hello для бизнеса зачисляет ключ, используемый для локальной проверки подлинности. Not configured: Windows Hello for Business enrolls a key that is used for on-premises authentication.
Включено: Windows Hello для бизнеса регистрит сертификат входа с помощью ADFS, который используется для локальной проверки подлинности. Enabled: Windows Hello for Business enrolls a sign-in certificate using ADFS that is used for on-premises authentication.
Отключено. Windows Hello для бизнеса записывал ключ, используемый для локальной проверки подлинности. Disabled: Windows Hello for Business enrolls a key that is used for on-premises authentication.
Использование восстановления PIN-кода Use PIN recovery
Компьютер Computer
Добавленная в Windows 10 версия 1703 Added in Windows 10, version 1703
Не настроен: Windows Hello для бизнеса не создает и не хранит секрет восстановления ПИН-кода. Not configured: Windows Hello for Business does not create or store a PIN recovery secret. Сброс ПИН-кода не использует службу восстановления ПИН-кода на основе Azure. PIN reset does not use the Azure-based PIN recovery service.
Включено: Windows Hello для бизнеса использует службу восстановления ПИН-кода на основе Azure для сброса ПИН-кода. Enabled: Windows Hello for Business uses the Azure-based PIN recovery service for PIN reset.
Отключено. Windows Hello для бизнеса не создает и не хранит секрет восстановления ПИН-кода. Disabled: Windows Hello for Business does not create or store a PIN recovery secret. Сброс ПИН-кода не использует службу восстановления ПИН-кода на основе Azure. PIN reset does not use the Azure-based PIN recovery service.
Дополнительные сведения об использовании службы восстановления ПИН-кода для сброса ПИН-кода см. в перезагрузде ПИН-кода Windows Hello для бизнеса. For more information about using the PIN recovery service for PIN reset see Windows Hello for Business PIN Reset.
Использование биометрии Use biometrics
Компьютер Computer
Не задано: биометрию можно использовать в качестве жеста вместо ПИН-кода. Not configured: Biometrics can be used as a gesture in place of a PIN.
Включено: биометрию можно использовать в качестве жеста вместо ПИН-кода. Enabled: Biometrics can be used as a gesture in place of a PIN.
Отключено: в качестве жеста можно использовать только ПИН-код. Disabled: Only a PIN can be used as a gesture.
Сложность ПИН-кода PIN Complexity
Использование цифр Require digits
Компьютер Computer
Не задано: пользователи должны включить цифру в ПИН-код. Not configured: Users must include a digit in their PIN.
Включено: пользователи должны включить цифру в ПИН-код. Enabled: Users must include a digit in their PIN.
Отключено: пользователи не могут использовать цифры в ПИН-коде. Disabled: Users cannot use digits in their PIN.
Использование строчных букв Require lowercase letters
Компьютер Computer
Не задано: пользователи не могут использовать строчные буквы в ПИН-коде. Not configured: Users cannot use lowercase letters in their PIN.
Включено: пользователи должны включить в ПИН-код по крайней мере одну строчную букву. Enabled: Users must include at least one lowercase letter in their PIN.
Отключено: пользователи не могут использовать строчные буквы в ПИН-коде. Disabled: Users cannot use lowercase letters in their PIN.
Максимальная длина PIN-кода Maximum PIN length
Компьютер Computer
Не задано: в ПИН-код не может быть больше 127 символов. Not configured: PIN length must be less than or equal to 127.
Включено: в ПИН-коде не может быть больше указанного количества символов. Enabled: PIN length must be less than or equal to the number you specify.
Отключено: в ПИН-код не может быть больше 127 символов. Disabled: PIN length must be less than or equal to 127.
Минимальная длина PIN-кода Minimum PIN length
Компьютер Computer
Не задано: в ПИН-коде не может быть меньше 4 символов. Not configured: PIN length must be greater than or equal to 4.
Включено: в ПИН-коде не может быть меньше указанного количества символов. Enabled: PIN length must be greater than or equal to the number you specify.
Отключено: в ПИН-коде не может быть меньше 4 символов. Disabled: PIN length must be greater than or equal to 4.
Срок действия Expiration
Компьютер Computer
Не задано: ПИН-код действует бессрочно. Not configured: PIN does not expire.
Включено: задается срок действия ПИН-кода в днях (от 1 до 730). Чтобы ПИН-код действовал бессрочно, задайте этой политике значение 0. Enabled: PIN can be set to expire after any number of days between 1 and 730, or PIN can be set to never expire by setting policy to 0.
Отключено: ПИН-код действует бессрочно. Disabled: PIN does not expire.
Журнал History
Компьютер Computer
Не задано: предыдущие ПИН-коды не сохраняются. Not configured: Previous PINs are not stored.
Включено: укажите количество предыдущих ПИН-данных, которые могут быть связаны с учетной записью пользователя,’не будет повторно использовать. Enabled: Specify the number of previous PINs that can be associated to a user account that can’t be reused.
Отключено: предыдущие ПИН-коды не сохраняются. Disabled: Previous PINs are not stored.
Использование специальных символов Require special characters
Компьютер Computer
Не задано: пользователи не могут включать специальные знаки в ПИН-код. Not configured: Users cannot include a special character in their PIN.
Включено: пользователи должны включить в ПИН-код по крайней мере один специальный знак. Enabled: Users must include at least one special character in their PIN.
Отключено: пользователи не могут включать специальные знаки в ПИН-код. Disabled: Users cannot include a special character in their PIN.
Использование прописных букв Require uppercase letters
Компьютер Computer
Не задано: пользователи не могут включать прописные буквы в ПИН-код. Not configured: Users cannot include an uppercase letter in their PIN.
Включено: пользователи должны включить в ПИН-код по крайней мере одну прописную букву. Enabled: Users must include at least one uppercase letter in their PIN.
Отключено: пользователи не могут включать прописные буквы в ПИН-код. Disabled: Users cannot include an uppercase letter in their PIN.
Вход на телефоне Phone Sign-in
Использовать функцию входа на телефоне Use Phone Sign-in
Компьютер Computer
В настоящее время не поддерживается. Not currently supported.
Параметры политики MDM для Windows Hello для бизнеса MDM policy settings for Windows Hello for Business
В указанной ниже таблице представлены параметры политики управления мобильными устройствами (MDM), которые можно настроить для использования Windows Hello для бизнеса на рабочем месте. The following table lists the MDM policy settings that you can configure for Windows Hello for Business use in your workplace. Для этих параметров политики MDM используется поставщик службы конфигурации (CSP) PassportForWork. These MDM policy settings use the PassportForWork configuration service provider (CSP).
Начиная с Windows 10 версии 1607, все устройства имеют только один PIN-код, связанный с Windows Hello для бизнеса. Starting in Windows 10, version 1607, all devices only have one PIN associated with Windows Hello for Business. Это означает, что на любой PIN-код на устройстве будет распространяться действие политик, указанных в поставщике служб конфигурации PassportForWork. This means that any PIN on a device will be subject to the policies specified in the PassportForWork CSP. Указанные значения имеют приоритет перед правилами любой сложности, заданными с помощью Exchange ActiveSync (EAS) или поставщика служб конфигурации DeviceLock. The values specified take precedence over any complexity rules set via Exchange ActiveSync (EAS) or the DeviceLock CSP.
Политика Policy
Область применения Scope
По умолчанию Default
Параметры Options
UsePassportForWork UsePassportForWork
Устройство или пользователь Device or user
True True
True: функция Windows Hello для бизнеса будет подготовлена к работе для всех пользователей устройства. True: Windows Hello for Business will be provisioned for all users on the device.
False: пользователи не смогут подготовить Windows Hello для бизнеса к работе. False: Users will not be able to provision Windows Hello for Business.
RequireSecurityDevice RequireSecurityDevice
Устройство или пользователь Device or user
False False
True: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля. True: Windows Hello for Business will only be provisioned using TPM.
False: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если он недоступен. False: Windows Hello for Business will be provisioned using TPM if available, and will be provisioned using software if TPM is not available.
ExcludeSecurityDevice ExcludeSecurityDevice
TPM12 TPM12
Устройство Device
False False
Добавленная в Windows 10 версия 1703 Added in Windows 10, version 1703
True: модули TPM revision 1.2 будут отсеяно от использования в Windows Hello для бизнеса. True: TPM revision 1.2 modules will be disallowed from being used with Windows Hello for Business.
False. Модули TPM revision 1.2 будут разрешены для использования с Windows Hello для бизнеса. False: TPM revision 1.2 modules will be allowed to be used with Windows Hello for Business.
EnablePinRecovery EnablePinRecovery
Устройство или пользователь Device or user
False False
Добавленная в Windows 10 версия 1703 Added in Windows 10, version 1703
True: Windows Hello for Business использует службу восстановления ПИН-кода на основе Azure для сброса ПИН-кода. True: Windows Hello for Business uses the Azure-based PIN recovery service for PIN reset.
False. Windows Hello for Business не создает и не хранит секрет восстановления ПИН-кода. False: Windows Hello for Business does not create or store a PIN recovery secret. Сброс ПИН-кода не использует службу восстановления ПИН-кода на основе Azure. PIN reset does not use the Azure-based PIN recovery service.
Дополнительные сведения об использовании службы восстановления ПИН-кода для сброса ПИН-кода см. в перезагрузде ПИН-кода Windows Hello для бизнеса. For more information about using the PIN recovery service for PIN reset see Windows Hello for Business PIN Reset.
True: биометрию можно использовать в качестве жеста вместо ПИН-кода для входа в домен. True: Biometrics can be used as a gesture in place of a PIN for domain sign-in.
False: в качестве жеста для входа в домен можно использовать только ПИН-код. False: Only a PIN can be used as a gesture for domain sign-in.
Устройство Device
Не задано Not configured
Не настроено: пользователи могут выбрать, включить улучшенную защиту от подделок или нет. Not configured: users can choose whether to turn on enhanced anti-spoofing.
True: улучшенная защита от подделок требуется на устройствах, которые поддерживают эту функцию. True: Enhanced anti-spoofing is required on devices which support it.
False: пользователи не смогут включать улучшенную защиту от подделок. False: Users cannot turn on enhanced anti-spoofing.
PINComplexity PINComplexity
Цифры Digits
Устройство или пользователь Device or user
1 1
0. Допустимы цифры. 0: Digits are allowed.
1. Требуется по крайней мере одна цифра. 1: At least one digit is required.
2. Цифры не допускаются. 2: Digits are not allowed.
Строчные буквы Lowercase letters
Устройство или пользователь Device or user
2 2
0. Разрешены буквы нижнего регистра. 0: Lowercase letters are allowed.
1. Требуется по крайней мере одна нижняя буква. 1: At least one lowercase letter is required.
2. Письма нижнего регистра не допускаются. 2: Lowercase letters are not allowed.
Специальные знаки Special characters
Устройство или пользователь Device or user
2 2
0. Разрешены специальные символы. 0: Special characters are allowed.
1. Требуется по крайней мере один специальный символ. 1: At least one special character is required.
2. Специальные символы не допускаются. 2: Special characters are not allowed.
Прописные буквы Uppercase letters
Устройство или пользователь Device or user
2 2
0. Разрешены буквы верхнего шкафа. 0: Uppercase letters are allowed.
1. Требуется по крайней мере одно письмо верхнего шкафа. 1: At least one uppercase letter is required.
2. Буквы верхнего шкафа не допускаются. 2: Uppercase letters are not allowed.
Максимальная длина ПИН-кода Maximum PIN length
Устройство или пользователь Device or user
127 127
Максимальная длина, которую можно установить, равна 127. Maximum length that can be set is 127. Максимальная длина не может быть меньше установленной минимальной. Maximum length cannot be less than minimum setting.
Минимальная длина PIN-кода Minimum PIN length
Устройство или пользователь Device or user
4 4
Минимальная длина, которую можно установить, равна 4. Minimum length that can be set is 4. Минимальная длина не может превышать установленную максимальную. Minimum length cannot be greater than maximum setting.
Срок действия Expiration
Устройство или пользователь Device or user
0 0
Целое число, представляющее собой период в днях, в течение которого используется ПИН-код, прежде чем для пользователя отобразится запрос о его изменении. Integer value specifies the period of time (in days) that a PIN can be used before the system requires the user to change it. Максимальное значение для этого параметра политики— 730. The largest number you can configure for this policy setting is 730. Минимальное значение для этого параметра политики — 0. The lowest number you can configure for this policy setting is 0. Если эта политика установлена до 0, пин-код пользователя никогда не истекает. If this policy is set to 0, then the user’s PIN will never expire.
Журнал History
Устройство или пользователь Device or user
0 0
Значение Integer, которое указывает количество прошлых ПИН-данных, которые могут быть связаны с учетной записью пользователя, которую нельзя повторно использовать. Integer value that specifies the number of past PINs that can be associated to a user account that can’t be reused. Максимальное значение для этого параметра политики— 50. The largest number you can configure for this policy setting is 50. Минимальное значение для этого параметра политики — 0. The lowest number you can configure for this policy setting is 0. Если значение этой политики равно 0, предыдущие ПИН-коды не сохраняются. If this policy is set to 0, then storage of previous PINs is not required.
Устройство или пользователь Device or user
False False
В настоящее время не поддерживается. Not currently supported.
В Windows 10 версии 1709 и более поздней версии, если политика не настроена на явное требовать букв или специальных символов, пользователи могут дополнительно установить альфа-пин-код. In Windows 10, version 1709 and later, if policy is not configured to explicitly require letters or special characters, users can optionally set an alphanumeric PIN. Перед версией 1709 пользователь должен установить числовую ПИН-код. Prior to version 1709 the user is required to set a numeric PIN.
Конфликты политик из нескольких источников политики Policy conflicts from multiple policy sources
Windows Hello для бизнеса предназначена для того, чтобы управлять групповой политикой или MDM, но не сочетанием обоих. Windows Hello for Business is designed to be managed by Group Policy or MDM but not a combination of both. Если политики устанавливаются из обоих источников, это может привести к неоднозначным результатам того, что фактически выполняется для пользователя или устройства. If policies are set from both sources it can result in a mixed result of what is actually enforced for a user or device.
Политики Windows Hello для бизнеса применяются с помощью следующей иерархии: политика группы пользователей > политика группы компьютеров > MDM пользователя > MDM устройства > блокировки устройств. Policies for Windows Hello for Business are enforced using the following hierarchy: User Group Policy > Computer Group Policy > User MDM > Device MDM > Device Lock policy.
Политика включить функции и политика доверия сертификата сгруппируются и применяются из одного источника (GP или MDM), на основе вышеуказанного правила. Feature enablement policy and certificate trust policy are grouped together and enforced from the same source (either GP or MDM), based on the rule above. Политика Использования паспорта для работы используется для определения источника политики выигрыша. The Use Passport for Work policy is used to determine the winning policy source.
Все политики сложности ПИН-кода группуются отдельно от включить функции и применяются из одного источника политики. All PIN complexity policies, are grouped separately from feature enablement and are enforced from a single policy source. Использование аппаратного устройства безопасности и применение requireSecurityDevice также сгруппировали вместе с политикой сложности ПИН-кода. Use a hardware security device and RequireSecurityDevice enforcement are also grouped together with PIN complexity policy. Разрешения конфликтов для других политик Windows Hello для бизнеса применяются на основе политики. Conflict resolution for other Windows Hello for Business policies are enforced on a per policy basis.
Логика разрешения конфликтов политики Windows Hello для бизнеса не соблюдает политику ControlPolicyConflict/MDMWinsOverGP в CSP политики. Windows Hello for Business policy conflict resolution logic does not respect the ControlPolicyConflict/MDMWinsOverGP policy in the Policy CSP.
Следующие настройки с помощью компьютерной групповой политики: The following are configured using computer Group Policy:
Использование Windows Hello для бизнеса — включено Use Windows Hello for Business — Enabled
Сертификат пользователя для локальной проверки подлинности — включен User certificate for on-premises authentication — Enabled
Следующие настройки с помощью политики MDM устройства: The following are configured using device MDM Policy:
Набор принудительной политики: Enforced policy set:
Использование Windows Hello для бизнеса — включено Use Windows Hello for Business — Enabled
Использование сертификата для локальной проверки подлинности — включено Use certificate for on-premises authentication — Enabled
MinimumPINLength — 8 MinimumPINLength — 8
Цифры — 1 Digits — 1
LowercaseLetters — 1 LowercaseLetters — 1
SpecialCharacters — 1 SpecialCharacters — 1
Использование Windows Hello для бизнеса с Azure Active Directory How to use Windows Hello for Business with Azure Active Directory
Существует 3 сценария использования Windows Hello для бизнеса в организациях, где имеется только Azure AD. There are three scenarios for using Windows Hello for Business in Azure AD–only organizations:
Организации, использующие версию Azure AD, включенную в Office 365. Organizations that use the version of Azure AD included with Office 365. Для этих организаций никакой дополнительной работы не требуется. For these organizations, no additional work is necessary. Когда ОС Windows 10 стала общедоступной, компания Майкрософт изменила поведение стека Azure AD Office 365. When Windows 10 was released to general availability, Microsoft changed the behavior of the Office 365 Azure AD stack. Когда пользователь выбирает возможность присоединиться к работе или школьной сети, устройство автоматически присоединяется к разделу каталога клиента Office 365, для устройства выдан сертификат, и он становится подходящим для Office 365 MDM, если клиент подписался на эту функцию. When a user selects the option to join a work or school network, the device is automatically joined to the Office 365 tenant’s directory partition, a certificate is issued for the device, and it becomes eligible for Office 365 MDM if the tenant has subscribed to that feature. Кроме того, пользователю будет предложено выполнить вход и, если многофакторная проверка подлинности (MFA) включена, ввести подтверждение MFA, которое Azure AD отправляет на телефон пользователя. In addition, the user will be prompted to log on and, if MFA is enabled, to enter an MFA proof that Azure AD sends to his or her phone.
Организации, использующие бесплатный уровень Azure AD. Organizations that use the free tier of Azure AD. Для этих организаций компания Майкрософт не включила автоматическое присоединение домена к Azure AD. For these organizations, Microsoft has not enabled automatic domain join to Azure AD. Организации, которые подписались на бесплатный уровень, имеют возможность включить или отключить эту функцию, поэтому автоматическое участие в домене не будет включено до тех пор, пока администраторы организации не решат включить его. Organizations that have signed up for the free tier have the option to enable or disable this feature, so automatic domain join won’t be enabled unless and until the organization’s administrators decide to enable it. Если эта функция включена, то устройства, которые присоединяются к домену Azure AD в диалоговом окне «Подключение к месту работы или учебы», будут автоматически зарегистрированы в Windows Hello для бизнеса, но устройства, присоединившиеся ранее, зарегистрированы не будут. When that feature is enabled, devices that join the Azure AD domain by using the Connect to work or school dialog box will be automatically registered with Windows Hello for Business support, but previously joined devices will not be registered.
Организации, подписавшиеся на Azure AD Premium, имеют доступ ко всему набору функций Azure AD MDM. Organizations that have subscribed to Azure AD Premium have access to the full set of Azure AD MDM features. Эти функции включают в себя инструменты управления службой Windows Hello для бизнеса. These features include controls to manage Windows Hello for Business. Вы можете настроить политики для отключения или принудительного использования Windows Hello для бизнеса. Также можно сделать обязательным использование доверенного платформенного модуля (TPM) и контролировать длину и надежность ПИН-кодов, созданных на устройстве. You can set policies to disable or force the use of Windows Hello for Business, require the use of a TPM, and control the length and strength of PINs set on the device.
Если вы хотите использовать Windows Hello для бизнеса с сертификатами, вам потребуется система регистрации устройств. If you want to use Windows Hello for Business with certificates, you’ll need a device registration system. Это означает, что вы должны настроить Configuration Manager, Microsoft Intune или совместимую стороннюю систему MDM и разрешить регистрацию устройств. That means that you set up Configuration Manager, Microsoft Intune, or a compatible non-Microsoft MDM system and enable it to enroll devices. Это обязательное предварительное условие использования Windows Hello для бизнеса с сертификатами, независимо от поставщика удостоверений (IDP), поскольку система регистрации должна подготавливать устройства с необходимыми сертификатами. This is a prerequisite step to use Windows Hello for Business with certificates, no matter the IDP, because the enrollment system is responsible for provisioning the devices with the necessary certificates.
