Windows Hello for Business und AuthentifizierungWindows Hello for Business and Authentication

BetrifftApplies to:

  • Windows 10Windows 10

Windows Hello for Business-Authentifizierung ist kennwortlos, zweistufige Authentifizierung.Windows Hello for Business authentication is passwordless, two-factor authentication. Die Authentifizierung mit Windows Hello for Business bietet eine bequeme Anmelde Erfahrung, die den Benutzer für Azure Active Directory-und Active Directory-Ressourcen authentifiziert.Authenticating with Windows Hello for Business provides a convenient sign-in experience that authenticates the user to both Azure Active Directory and Active Directory resources.
Azure Active Directory-verbundene Geräte authentifizieren sich während der Anmeldung bei Azure und können optional bei Active Directory authentifiziert werden.Azure Active Directory joined devices authenticate to Azure during sign-in and can optional authenticate to Active Directory. Hybrid Azure Active Directory-verbundene Geräte authentifizieren sich bei der Anmeldung bei Active Directory und authentifizieren sich bei Azure Active Directory im Hintergrund.Hybrid Azure Active Directory joined devices authenticate to Active Directory during sign-in, and authenticate to Azure Active Directory in the background.

Azure AD-Join-Authentifizierung zu Azure Active DirectoryAzure AD join authentication to Azure Active Directory
Azure AD-Join-Authentifizierung zu Active Directory mithilfe eines SchlüsselsAzure AD join authentication to Active Directory using a Key
Azure AD-Join-Authentifizierung zu Active Directory mithilfe eines ZertifikatsAzure AD join authentication to Active Directory using a Certificate
Hybrid Azure AD Join-Authentifizierung mit einem SchlüsselHybrid Azure AD join authentication using a Key
Hybrid Azure AD Join-Authentifizierung mit einem ZertifikatHybrid Azure AD join authentication using a Certificate

Azure AD-Join-Authentifizierung zu Azure Active DirectoryAzure AD join authentication to Azure Active Directory

Azure AD-Join-Authentifizierung zu Azure Active Directory

PhasePhase BeschreibungDescription
AA Die Authentifizierung beginnt, wenn die Benutzer den Sperrbildschirm sperren, wodurch Winlogon ausgelöst wird, um den Windows Hello for Business-Anmeldeinformationsanbieter anzuzeigen.Authentication begins when the users dismisses the lock screen, which triggers winlogon to show the Windows Hello for Business credential provider. Der Benutzer stellt seine Windows Hello-Geste (PIN oder Biometrie) zur Verfügung.The user provides their Windows Hello gesture (PIN or biometrics). Der Anmeldeinformationsanbieter Pakete diese Anmeldeinformationen und gibt Sie an Winlogon zurück.The credential provider packages these credentials and returns them to winlogon. Winlogon übergibt die gesammelten Anmeldeinformationen an Lsass.Winlogon passes the collected credentials to lsass. LSASS übergibt die gesammelten Anmeldeinformationen an den Cloud Authentication Security Support-Anbieter, der als Cloud-AP-Anbieter bezeichnet wird.Lsass passes the collected credentials to the Cloud Authentication security support provider, referred to as the Cloud AP provider.
BB Der Anbieter von Cloud-AP fordert einen aus Azure Active Directory aus.The Cloud AP provider requests a nonce from Azure Active Directory. Azure AD gibt einen Kurzwert zurück.Azure AD returns a nonce. Der Anbieter der Cloud-AP unterzeichnet den augenstern mit dem privaten Schlüssel des Benutzers und gibt den signierten Augen in das Azure Active Directory zurück.The Cloud AP provider signs the nonce using the user's private key and returns the signed nonce to the Azure Active Directory.
CC Azure Active Directory überprüft den signierten Aussichtspunkt unter Verwendung des sicher registrierten öffentlichen Schlüssels des Benutzers gegen die Signatur des Unternehmens.Azure Active Directory validates the signed nonce using the user's securely registered public key against the nonce signature. Nach dem Überprüfen der Signatur überprüft Azure AD dann den zurückgegebenen signierten Kurzwert.After validating the signature, Azure AD then validates the returned signed nonce. Nach der Überprüfung des Anblicks erstellt Azure AD ein FHM mit Sitzungsschlüssel, das mit dem Transportschlüssel des Geräts verschlüsselt ist, und gibt es an den Anbieter für Cloud-AP zurück.After validating the nonce, Azure AD creates a PRT with session key that is encrypted to the device's transport key and returns it to the Cloud AP provider.
DD Der Cloud-AP-Anbieter erhält das verschlüsselte FHM mit Sitzungsschlüssel.The Cloud AP provider receives the encrypted PRT with session key. Mit dem privaten Transportschlüssel des Geräts entschlüsselt der Cloud-AP-Anbieter den Sitzungsschlüssel und schützt den Sitzungsschlüssel mit dem TPM des Geräts.Using the device's private transport key, the Cloud AP provider decrypt the session key and protects the session key using the device's TPM.
EE Der Cloud-AP-Anbieter gibt eine erfolgreiche Authentifizierungsantwort auf LSASS zurück.The Cloud AP provider returns a successful authentication response to lsass. LSASS zwischenspeichert das FHM und informiert Winlogon über die Erfolgs Authentifizierung.Lsass caches the PRT, and informs winlogon of the success authentication. Winlogon erstellt eine Anmeldesitzung, lädt das Profil des Benutzers und startet explorer.exe.Winlogon creates a logon session, loads the user's profile, and starts explorer.exe.

Azure AD-Join-Authentifizierung zu Active Directory mithilfe eines SchlüsselsAzure AD join authentication to Active Directory using a Key

Azure AD-Join-Authentifizierung zu Active Directory mithilfe eines Schlüssels

PhasePhase BeschreibungDescription
AA Die Authentifizierung für Active Directory von einem mit Azure AD verbundenen Gerät beginnt mit dem Benutzer, der zuerst versucht, eine Ressource zu verwenden, die die Kerberos-Authentifizierung benötigt.Authentication to Active Directory from a Azure AD joined device begins with the user first attempts to use a resource that needs Kerberos authentication. Der Kerberos-Sicherheitsdienst Anbieter, der in LSASS gehostet wird, verwendet Metadaten aus dem Windows Hello for Business-Schlüssel, um einen Hinweis auf die Domäne des Benutzers zu erhalten.The Kerberos security support provider, hosted in lsass, uses metadata from the Windows Hello for Business key to get a hint of the user's domain. Mit dem Hinweis verwendet der Anbieter den DClocator-Dienst, um einen 2016-Domänencontroller zu finden.Using the hint, the provider uses the DClocator service to locate a 2016 domain controller. Nachdem der Anbieter einen aktiven 2016-Domänencontroller gefunden hat, verwendet der Anbieter den privaten Schlüssel, um die Kerberos-Authentifizierungsdaten zu signieren.After the provider locates an active 2016 domain controller, the provider uses the private key to sign the Kerberos pre-authentication data.
BB Der Kerberos-Anbieter sendet die signierten Vorauthentifizierungsdaten und deren öffentlichen Schlüssel (in Form eines selbstsignierten Zertifikats) an den KDC-Dienst (Key Distribution Center), der auf dem 2016-Domänencontroller in Form eines KERB_AS_REQ ausgeführt wird.The Kerberos provider sends the signed pre-authentication data and its public key (in the form of a self-signed certificate) to the Key Distribution Center (KDC) service running on the 2016 domain controller in the form of a KERB_AS_REQ.
Der 2016-Domänencontroller bestimmt, dass es sich um ein selbstsigniertes Zertifikat handelt.The 2016 domain controller determines the certificate is a self-signed certificate. Sie ruft den öffentlichen Schlüssel aus dem Zertifikat ab, das in der KERB_AS_REQ enthalten ist, und sucht nach dem öffentlichen Schlüssel in Active Directory.It retrieves the public key from the certificate included in the KERB_AS_REQ and searches for the public key in Active Directory. Er überprüft, ob der UPN für die Authentifizierungsanforderung mit dem in Active Directory registrierten UPN übereinstimmt, und überprüft die signierten Vorauthentifizierungsdaten mit dem öffentlichen Schlüssel aus Active Directory.It validates the UPN for authentication request matches the UPN registered in Active Directory and validates the signed pre-authentication data using the public key from Active Directory. Beim Erfolg gibt das KDC eine TGT an den Client zurück, deren Zertifikat in einem KERB_AS_REP ist.On success, the KDC returns a TGT to the client with its certificate in a KERB_AS_REP.
CC Der Kerberos-Anbieter stellt sicher, dass er der Antwort vom Domänencontroller Vertrauen kann.The Kerberos provider ensures it can trust the response from the domain controller. Zunächst werden die KDC-Zertifikatketten für ein Stammzertifikat sichergestellt, das vom Gerät als vertrauenswürdig eingestuft wird.First, it ensures the KDC certificate chains to a root certificate that is trusted by the device. Als nächstes wird sichergestellt, dass das Zertifikat innerhalb seines Gültigkeitszeitraums liegt und nicht widerrufen wurde.Next, it ensures the certificate is within its validity period and that it has not be revoked. Der Kerberos-Anbieter überprüft dann, ob das Zertifikat über die KDC-Authentifizierung verfügt und dass der im KDC-Zertifikat aufgelistete Subjekt Alternative Name mit dem Domänennamen übereinstimmt, in dem sich der Benutzer authentifiziert.The Kerberos provider then verifies the certificate has the KDC Authentication present and that the subject alternate name listed in the KDC's certificate matches the domain name to which the user is authenticating. Nach der Übergabe dieser Kriterien gibt Kerberos den TGT an LSASS zurück, wo er zwischengespeichert und für nachfolgende Service Ticket-Anforderungen verwendet wird.After passing this criteria, Kerberos returns the TGT to lsass, where it is cached and used for subsequent service ticket requests.

Azure AD-Join-Authentifizierung zu Active Directory mithilfe eines ZertifikatsAzure AD join authentication to Active Directory using a Certificate

Azure AD-Join-Authentifizierung zu Active Directory mithilfe eines Zertifikats

PhasePhase BeschreibungDescription
AA Die Authentifizierung für Active Directory von einem mit Azure AD verbundenen Gerät beginnt mit dem Benutzer, der zuerst versucht, eine Ressource zu verwenden, die die Kerberos-Authentifizierung benötigt.Authentication to Active Directory from a Azure AD joined device begins with the user first attempts to use a resource that needs Kerberos authentication. Der Kerberos-Sicherheitsdienst Anbieter, der in LSASS gehostet wird, verwendet Informationen aus dem Zertifikat, um einen Hinweis auf die Domäne des Benutzers zu erhalten.The Kerberos security support provider, hosted in lsass, uses information from the certificate to get a hint of the user's domain. Kerberos kann den Distinguished Name des Benutzers verwenden, der sich im Betreff des Zertifikats befindet, oder er kann den Benutzerprinzipalnamen des Benutzers verwenden, der im alternativen Subjektnamen des Zertifikats gefunden wurde.Kerberos can use the distinguished name of the user found in the subject of the certificate, or it can use the user principal name of the user found in the subject alternate name of the certificate. Mit dem Hinweis verwendet der Anbieter den DClocator-Dienst, um einen Domänencontroller zu finden.Using the hint, the provider uses the DClocator service to locate a domain controller. Nachdem der Anbieter einen aktiven Domänencontroller gefunden hat, verwendet der Anbieter den privaten Schlüssel, um die Kerberos-Authentifizierungsdaten zu signieren.After the provider locates an active domain controller, the provider use the private key to sign the Kerberos pre-authentication data.
BB Der Kerberos-Anbieter sendet die signierten Vorauthentifizierungsdaten und das Zertifikat des Benutzers, der den öffentlichen Schlüssel enthält, an den KDC-Dienst (Key Distribution Center), der auf dem Domänencontroller in Form eines KERB_AS_REQ ausgeführt wird.The Kerberos provider sends the signed pre-authentication data and user's certificate, which includes the public key, to the Key Distribution Center (KDC) service running on the domain controller in the form of a KERB_AS_REQ.
Der Domänencontroller bestimmt, dass das Zertifikat kein selbstsigniertes Zertifikat ist.The domain controller determines the certificate is not self-signed certificate. Der Domänencontroller stellt sicher, dass die Zertifikatketten zu einem vertrauenswürdigen Stammzertifikat innerhalb seines Gültigkeitszeitraums sind, für die Authentifizierung verwendet werden können und nicht widerrufen wurden.The domain controller ensures the certificate chains to trusted root certificate, is within its validity period, can be used for authentication, and has not been revoked. Sie ruft den öffentlichen Schlüssel und den UPN aus dem Zertifikat ab, das in der KERB_AS_REQ enthalten ist, und sucht nach dem UPN in Active Directory.It retrieves the public key and UPN from the certificate included in the KERB_AS_REQ and searches for the UPN in Active Directory. Sie überprüft die signierten Vorauthentifizierungsdaten mit dem öffentlichen Schlüssel des Zertifikats.It validates the signed pre-authentication data using the public key from the certificate. Beim Erfolg gibt das KDC eine TGT an den Client zurück, deren Zertifikat in einem KERB_AS_REP ist.On success, the KDC returns a TGT to the client with its certificate in a KERB_AS_REP.
CC Der Kerberos-Anbieter stellt sicher, dass er der Antwort vom Domänencontroller Vertrauen kann.The Kerberos provider ensures it can trust the response from the domain controller. Zunächst werden die KDC-Zertifikatketten für ein Stammzertifikat sichergestellt, das vom Gerät als vertrauenswürdig eingestuft wird.First, it ensures the KDC certificate chains to a root certificate that is trusted by the device. Als nächstes wird sichergestellt, dass das Zertifikat innerhalb seines Gültigkeitszeitraums liegt und nicht widerrufen wurde.Next, it ensures the certificate is within its validity period and that it has not be revoked. Der Kerberos-Anbieter überprüft dann, ob das Zertifikat über die KDC-Authentifizierung verfügt und dass der im KDC-Zertifikat aufgelistete Subjekt Alternative Name mit dem Domänennamen übereinstimmt, in dem sich der Benutzer authentifiziert.The Kerberos provider then verifies the certificate has the KDC Authentication present and that the subject alternate name listed in the KDC's certificate matches the domain name to which the user is authenticating. Nach der Übergabe dieser Kriterien gibt Kerberos den TGT an LSASS zurück, wo er zwischengespeichert und für nachfolgende Service Ticket-Anforderungen verwendet wird.After passing this criteria, Kerberos returns the TGT to lsass, where it is cached and used for subsequent service ticket requests.

Hybrid Azure AD Join-Authentifizierung mit einem SchlüsselHybrid Azure AD join authentication using a Key

Hybrid Azure AD Join-Authentifizierung mit einem Schlüssel

PhasePhase BeschreibungDescription
AA Die Authentifizierung beginnt, wenn die Benutzer den Sperrbildschirm sperren, wodurch Winlogon ausgelöst wird, um den Windows Hello for Business-Anmeldeinformationsanbieter anzuzeigen.Authentication begins when the users dismisses the lock screen, which triggers winlogon to show the Windows Hello for Business credential provider. Der Benutzer stellt seine Windows Hello-Geste (PIN oder Biometrie) zur Verfügung.The user provides their Windows Hello gesture (PIN or biometrics). Der Anmeldeinformationsanbieter Pakete diese Anmeldeinformationen und gibt Sie an Winlogon zurück.The credential provider packages these credentials and returns them to winlogon. Winlogon übergibt die gesammelten Anmeldeinformationen an Lsass.Winlogon passes the collected credentials to lsass. LSASS übergibt die gesammelten Anmeldeinformationen an den Kerberos-Sicherheitsdienst Anbieter.Lsass passes the collected credentials to the Kerberos security support provider. Der Kerberos-Anbieter ruft Domänen Hinweise von der Domäne an, die an Workstation angeschlossen ist, um einen Domänencontroller für den Benutzer zu finden.The Kerberos provider gets domain hints from the domain joined workstation to locate a domain controller for the user.
BB Der Kerberos-Anbieter sendet die signierten Vorauthentifizierungsdaten und den öffentlichen Schlüssel des Benutzers (in Form eines selbstsignierten Zertifikats) an den KDC-Dienst (Key Distribution Center), der auf dem 2016-Domänencontroller in Form eines KERB_AS_REQ ausgeführt wird.The Kerberos provider sends the signed pre-authentication data and the user's public key (in the form of a self-signed certificate) to the Key Distribution Center (KDC) service running on the 2016 domain controller in the form of a KERB_AS_REQ.
Der 2016-Domänencontroller bestimmt, dass es sich um ein selbstsigniertes Zertifikat handelt.The 2016 domain controller determines the certificate is a self-signed certificate. Sie ruft den öffentlichen Schlüssel aus dem Zertifikat ab, das in der KERB_AS_REQ enthalten ist, und sucht nach dem öffentlichen Schlüssel in Active Directory.It retrieves the public key from the certificate included in the KERB_AS_REQ and searches for the public key in Active Directory. Er überprüft, ob der UPN für die Authentifizierungsanforderung mit dem in Active Directory registrierten UPN übereinstimmt, und überprüft die signierten Vorauthentifizierungsdaten mit dem öffentlichen Schlüssel aus Active Directory.It validates the UPN for authentication request matches the UPN registered in Active Directory and validates the signed pre-authentication data using the public key from Active Directory. Beim Erfolg gibt das KDC eine TGT an den Client zurück, deren Zertifikat in einem KERB_AS_REP ist.On success, the KDC returns a TGT to the client with its certificate in a KERB_AS_REP.
CC Der Kerberos-Anbieter stellt sicher, dass er der Antwort vom Domänencontroller Vertrauen kann.The Kerberos provider ensures it can trust the response from the domain controller. Zunächst werden die KDC-Zertifikatketten für ein Stammzertifikat sichergestellt, das vom Gerät als vertrauenswürdig eingestuft wird.First, it ensures the KDC certificate chains to a root certificate that is trusted by the device. Als nächstes wird sichergestellt, dass das Zertifikat innerhalb seines Gültigkeitszeitraums liegt und nicht widerrufen wurde.Next, it ensures the certificate is within its validity period and that it has not be revoked. Der Kerberos-Anbieter überprüft dann, ob das Zertifikat über die KDC-Authentifizierung verfügt und dass der im KDC-Zertifikat aufgelistete Subjekt Alternative Name mit dem Domänennamen übereinstimmt, in dem sich der Benutzer authentifiziert.The Kerberos provider then verifies the certificate has the KDC Authentication present and that the subject alternate name listed in the KDC's certificate matches the domain name to which the user is authenticating.
DD Nach der Übergabe dieser Kriterien gibt Kerberos den TGT an LSASS zurück, wo er zwischengespeichert und für nachfolgende Service Ticket-Anforderungen verwendet wird.After passing this criteria, Kerberos returns the TGT to lsass, where it is cached and used for subsequent service ticket requests.
EE LSASS informiert Winlogon über die Erfolgs Authentifizierung.Lsass informs winlogon of the success authentication. Winlogon erstellt eine Anmeldesitzung, lädt das Profil des Benutzers und startet explorer.exe.Winlogon creates a logon session, loads the user's profile, and starts explorer.exe.
FF Während Windows den Desktop des Benutzers lädt, übergibt LSASS die gesammelten Anmeldeinformationen an den Cloud Authentication Security Support-Anbieter, der als Cloud-AP-Anbieter bezeichnet wird.While Windows loads the user's desktop, lsass passes the collected credentials to the Cloud Authentication security support provider, referred to as the Cloud AP provider. Der Anbieter von Cloud-AP fordert einen aus Azure Active Directory aus.The Cloud AP provider requests a nonce from Azure Active Directory. Azure AD gibt einen Kurzwert zurück.Azure AD returns a nonce.
GG Der Anbieter der Cloud-AP unterzeichnet den augenstern mit dem privaten Schlüssel des Benutzers und gibt den signierten Augen in das Azure Active Directory zurück.The Cloud AP provider signs the nonce using the user's private key and returns the signed nonce to the Azure Active Directory. Azure Active Directory überprüft den signierten Aussichtspunkt unter Verwendung des sicher registrierten öffentlichen Schlüssels des Benutzers gegen die Signatur des Unternehmens.Azure Active Directory validates the signed nonce using the user's securely registered public key against the nonce signature. Nach dem Überprüfen der Signatur überprüft Azure AD dann den zurückgegebenen signierten Kurzwert.After validating the signature, Azure AD then validates the returned signed nonce. Nach der Überprüfung des Anblicks erstellt Azure AD ein FHM mit Sitzungsschlüssel, das mit dem Transportschlüssel des Geräts verschlüsselt ist, und gibt es an den Anbieter für Cloud-AP zurück.After validating the nonce, Azure AD creates a PRT with session key that is encrypted to the device's transport key and returns it to the Cloud AP provider.
Der Cloud-AP-Anbieter erhält das verschlüsselte FHM mit Sitzungsschlüssel.The Cloud AP provider receives the encrypted PRT with session key. Mit dem privaten Transportschlüssel des Geräts entschlüsselt der Cloud-AP-Anbieter den Sitzungsschlüssel und schützt den Sitzungsschlüssel mit dem TPM des Geräts.Using the device's private transport key, the Cloud AP provider decrypt the session key and protects the session key using the device's TPM.
Der Cloud-AP-Anbieter gibt eine erfolgreiche Authentifizierungsantwort auf LSASS zurück.The Cloud AP provider returns a successful authentication response to lsass. LSASS speichert das FHM zwischen.Lsass caches the PRT.

Wichtig

Im obigen Bereitstellungsmodell kann ein neu bereitgestellter Benutzer sich nicht mit Windows Hello for Business anmelden, bis (a) Azure AD Connect den öffentlichen Schlüssel erfolgreich mit dem lokalen Active Directory synchronisiert und (b) die Sichtlinie zum ersten Mal mit dem Domänencontroller verbunden ist.In the above deployment model, a newly provisioned user will not be able to sign in using Windows Hello for Business until (a) Azure AD Connect successfully synchronizes the public key to the on-premises Active Directory and (b) device has line of sight to the domain controller for the first time.

Hybrid Azure AD Join-Authentifizierung mit einem ZertifikatHybrid Azure AD join authentication using a Certificate

Hybrid Azure AD Join-Authentifizierung mit einem Zertifikat

PhasePhase BeschreibungDescription
AA Die Authentifizierung beginnt, wenn die Benutzer den Sperrbildschirm sperren, wodurch Winlogon ausgelöst wird, um den Windows Hello for Business-Anmeldeinformationsanbieter anzuzeigen.Authentication begins when the users dismisses the lock screen, which triggers winlogon to show the Windows Hello for Business credential provider. Der Benutzer stellt seine Windows Hello-Geste (PIN oder Biometrie) zur Verfügung.The user provides their Windows Hello gesture (PIN or biometrics). Der Anmeldeinformationsanbieter Pakete diese Anmeldeinformationen und gibt Sie an Winlogon zurück.The credential provider packages these credentials and returns them to winlogon. Winlogon übergibt die gesammelten Anmeldeinformationen an Lsass.Winlogon passes the collected credentials to lsass. LSASS übergibt die gesammelten Anmeldeinformationen an den Kerberos-Sicherheitsdienst Anbieter.Lsass passes the collected credentials to the Kerberos security support provider. Der Kerberos-Anbieter ruft Domänen Hinweise von der Domäne an, die an Workstation angeschlossen ist, um einen Domänencontroller für den Benutzer zu finden.The Kerberos provider gets domain hints from the domain joined workstation to locate a domain controller for the user.
BB Der Kerberos-Anbieter sendet die signierten Vorauthentifizierungsdaten und das Zertifikat des Benutzers, der den öffentlichen Schlüssel enthält, an den KDC-Dienst (Key Distribution Center), der auf dem Domänencontroller in Form eines KERB_AS_REQ ausgeführt wird.The Kerberos provider sends the signed pre-authentication data and user's certificate, which includes the public key, to the Key Distribution Center (KDC) service running on the domain controller in the form of a KERB_AS_REQ.
Der Domänencontroller bestimmt, dass das Zertifikat kein selbstsigniertes Zertifikat ist.The domain controller determines the certificate is not self-signed certificate. Der Domänencontroller stellt sicher, dass die Zertifikatketten zu einem vertrauenswürdigen Stammzertifikat innerhalb seines Gültigkeitszeitraums sind, für die Authentifizierung verwendet werden können und nicht widerrufen wurden.The domain controller ensures the certificate chains to trusted root certificate, is within its validity period, can be used for authentication, and has not been revoked. Sie ruft den öffentlichen Schlüssel und den UPN aus dem Zertifikat ab, das in der KERB_AS_REQ enthalten ist, und sucht nach dem UPN in Active Directory.It retrieves the public key and UPN from the certificate included in the KERB_AS_REQ and searches for the UPN in Active Directory. Sie überprüft die signierten Vorauthentifizierungsdaten mit dem öffentlichen Schlüssel des Zertifikats.It validates the signed pre-authentication data using the public key from the certificate. Beim Erfolg gibt das KDC eine TGT an den Client zurück, deren Zertifikat in einem KERB_AS_REP ist.On success, the KDC returns a TGT to the client with its certificate in a KERB_AS_REP.
CC Der Kerberos-Anbieter stellt sicher, dass er der Antwort vom Domänencontroller Vertrauen kann.The Kerberos provider ensures it can trust the response from the domain controller. Zunächst werden die KDC-Zertifikatketten für ein Stammzertifikat sichergestellt, das vom Gerät als vertrauenswürdig eingestuft wird.First, it ensures the KDC certificate chains to a root certificate that is trusted by the device. Als nächstes wird sichergestellt, dass das Zertifikat innerhalb seines Gültigkeitszeitraums liegt und nicht widerrufen wurde.Next, it ensures the certificate is within its validity period and that it has not be revoked. Der Kerberos-Anbieter überprüft dann, ob das Zertifikat über die KDC-Authentifizierung verfügt und dass der im KDC-Zertifikat aufgelistete Subjekt Alternative Name mit dem Domänennamen übereinstimmt, in dem sich der Benutzer authentifiziert.The Kerberos provider then verifies the certificate has the KDC Authentication present and that the subject alternate name listed in the KDC's certificate matches the domain name to which the user is authenticating.
DD Nach der Übergabe dieser Kriterien gibt Kerberos den TGT an LSASS zurück, wo er zwischengespeichert und für nachfolgende Service Ticket-Anforderungen verwendet wird.After passing this criteria, Kerberos returns the TGT to lsass, where it is cached and used for subsequent service ticket requests.
EE LSASS informiert Winlogon über die Erfolgs Authentifizierung.Lsass informs winlogon of the success authentication. Winlogon erstellt eine Anmeldesitzung, lädt das Profil des Benutzers und startet explorer.exe.Winlogon creates a logon session, loads the user's profile, and starts explorer.exe.
FF Während Windows den Desktop des Benutzers lädt, übergibt LSASS die gesammelten Anmeldeinformationen an den Cloud Authentication Security Support-Anbieter, der als Cloud-AP-Anbieter bezeichnet wird.While Windows loads the user's desktop, lsass passes the collected credentials to the Cloud Authentication security support provider, referred to as the Cloud AP provider. Der Anbieter von Cloud-AP fordert einen aus Azure Active Directory aus.The Cloud AP provider requests a nonce from Azure Active Directory. Azure AD gibt einen Kurzwert zurück.Azure AD returns a nonce.
GG Der Anbieter der Cloud-AP unterzeichnet den augenstern mit dem privaten Schlüssel des Benutzers und gibt den signierten Augen in das Azure Active Directory zurück.The Cloud AP provider signs the nonce using the user's private key and returns the signed nonce to the Azure Active Directory. Azure Active Directory überprüft den signierten Aussichtspunkt unter Verwendung des sicher registrierten öffentlichen Schlüssels des Benutzers gegen die Signatur des Unternehmens.Azure Active Directory validates the signed nonce using the user's securely registered public key against the nonce signature. Nach dem Überprüfen der Signatur überprüft Azure AD dann den zurückgegebenen signierten Kurzwert.After validating the signature, Azure AD then validates the returned signed nonce. Nach der Überprüfung des Anblicks erstellt Azure AD ein FHM mit Sitzungsschlüssel, das mit dem Transportschlüssel des Geräts verschlüsselt ist, und gibt es an den Anbieter für Cloud-AP zurück.After validating the nonce, Azure AD creates a PRT with session key that is encrypted to the device's transport key and returns it to the Cloud AP provider.
Der Cloud-AP-Anbieter erhält das verschlüsselte FHM mit Sitzungsschlüssel.The Cloud AP provider receives the encrypted PRT with session key. Mit dem privaten Transportschlüssel des Geräts entschlüsselt der Cloud-AP-Anbieter den Sitzungsschlüssel und schützt den Sitzungsschlüssel mit dem TPM des Geräts.Using the device's private transport key, the Cloud AP provider decrypt the session key and protects the session key using the device's TPM.
Der Cloud-AP-Anbieter gibt eine erfolgreiche Authentifizierungsantwort auf LSASS zurück.The Cloud AP provider returns a successful authentication response to lsass. LSASS speichert das FHM zwischen.Lsass caches the PRT.

Wichtig

Im obigen Bereitstellungsmodell kann ein neu bereitgestellter Benutzer sich nicht mit Windows Hello for Business anmelden, es sei denn, das Gerät hat zum ersten Mal eine Sichtlinie zum Domänencontroller.In the above deployment model, a newly provisioned user will not be able to sign in using Windows Hello for Business unless the device has line of sight to the domain controller for the first time.