Windows Hello для бизнеса

В Windows10 Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Для проверки подлинности в этом случае используется новый тип учетных данных пользователей, привязанных к устройству и основанных на биометрических данных или PIN-коде.
Windows Hello для бизнеса позволяет пользователям подтверждать свою подлинность относительно учетной записи Active Directory или Azure Active Directory.

Windows Hello решает следующие проблемы, связанные с паролями:

  • Надежные пароли трудно запомнить, поэтому одни и те же пароли часто используются на нескольких сайтах.
  • При взломе сервера хакеры могут получить доступ к симметричным сетевым учетным данным (паролям).
  • Пароли могут подвергаться атакам с повторением пакетов.
  • Пользователи могут непреднамеренно раскрыть свой пароль вследствие фишинга.

Предварительные условия

Исключительно облачное развертывание

  • Windows10 версии1511 или более поздней
  • Учетная запись Microsoft Azure
  • Azure Active Directory
  • Многофакторная Идентификация Azure
  • Современные средства управления (Intune или поддерживаемое стороннее решение MDM), необязательно
  • Подписка на Azure AD Premium — необязательно, требуется для автоматической регистрации в MDM, когда устройство присоединяется к Azure Active Directory

Гибридные развертывания

В таблице приведены минимальные требования для каждого развертывания. Для ключей доверия в развертывании нескольких domain/нескольких forest следующие требования применимы для каждого домена или леса, размещаются Windows Hello для бизнеса компонентов или участвует в процессе отсылки Kerberos.

Доверие на основе ключей
Управление посредством групповых политик
Доверие на основе сертификатов
Смешанное управление
Доверие на основе ключей
Управление современными средствами
Доверие на основе сертификатов
Управление современными средствами
Windows10 версии1511 или более поздней Гибридные устройства, присоединенные к Azure AD:
Минимум: Windows 10 версии 1703
Лучшая производительность: Windows 10 версии 1709 или более поздней версии (поддерживается синхронная регистрация сертификатов).
Устройства, присоединенные к Azure AD:
Windows10 версии1511 или более поздней
Windows10 версии1511 или более поздней Windows10 версии1511 или более поздней
Схема Windows Server2016 Схема Windows Server2016 Схема Windows Server2016 Схема Windows Server2016
Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2
Windows Server 2016 или более поздней версии контроллеров домена Контроллеры домена Windows Server2008R2 или позднее Windows Server 2016 или более поздней версии контроллеров домена Контроллеры домена Windows Server2008R2 или позднее
Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее
Windows Server 2016 AD FS с обновлением KB4088889 (гибридные клиенты, присоединенные к Azure AD)
и
служба регистрации сертификатов для сетевых устройств Windows Server2012 или более поздней версии (присоединение к Azure AD)
Н/Д Служба регистрации сертификатов для сетевых устройств Windows Server2012 или более поздней версии
Клиент Azure MFA или
AD FS с адаптером Azure MFA или
AD FS с адаптером сервера Azure MFA или
AD FS со сторонним адаптером MFA
Клиент Azure MFA или
AD FS с адаптером Azure MFA или
AD FS с адаптером сервера Azure MFA или
AD FS со сторонним адаптером MFA
Клиент Azure MFA или
AD FS с адаптером Azure MFA или
AD FS с адаптером сервера Azure MFA или
AD FS со сторонним адаптером MFA
Клиент Azure MFA или
AD FS с адаптером Azure MFA или
AD FS с адаптером сервера Azure MFA или
AD FS со сторонним адаптером MFA
Учетная запись Azure Учетная запись Azure Учетная запись Azure Учетная запись Azure
Azure Active Directory Azure Active Directory Azure Active Directory Azure Active Directory
Azure AD Connect Azure AD Connect Azure AD Connect Azure AD Connect
Azure AD Premium (необязательно) Azure AD Premium, необходимых для обратной записи устройств Azure AD Premium (необязательно, для автоматической регистрации в MDM) Azure AD Premium (необязательно, для автоматической регистрации в MDM)

Локальные развертывания

В таблице приведены минимальные требования для каждого развертывания.

Доверие на основе ключей
Управление посредством групповых политик
Доверие на основе сертификатов
Управление посредством групповых политик
Windows10 версии1703 или более поздней Windows10 версии1703 или более поздней
Схема Windows Server2016 Схема Windows Server2016
Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2
Windows Server 2016 или более поздней версии контроллеров домена Контроллеры домена Windows Server2008R2 или позднее
Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее
AD FS Windows Server 2016 с обновлением KB4088889 AD FS Windows Server 2016 с обновлением KB4088889
AD FS с сервером Azure MFA или
AD FS со сторонним адаптером MFA
AD FS с сервером Azure MFA или
AD FS со сторонним адаптером MFA
Учетная запись Azure (необязательно, для выставления счетов за Azure MFA) Учетная запись Azure (необязательно, для выставления счетов за Azure MFA)