Windows Hello для бизнесаWindows Hello for Business

В Windows 10 служба Windows Hello для бизнеса позволяет заменить пароли строгой двухфакторной проверкой подлинности на компьютерах и мобильных устройствах.In Windows 10, Windows Hello for Business replaces passwords with strong two-factor authentication on PCs and mobile devices. Для проверки подлинности в этом случае используется новый тип учетных данных пользователей, привязанных к устройству и основанных на биометрических данных или PIN-коде.This authentication consists of a new type of user credential that is tied to a device and uses a biometric or PIN.
Windows Hello для бизнеса позволяет пользователям подтверждать свою подлинность относительно учетной записи Active Directory или Azure Active Directory.Windows Hello for Business lets user authenticate to an Active Directory or Azure Active Directory account.

Windows Hello решает следующие проблемы, связанные с паролями:Windows Hello addresses the following problems with passwords:

  • Надежные пароли трудно запомнить, поэтому одни и те же пароли часто используются на нескольких сайтах.Strong passwords can be difficult to remember, and users often reuse passwords on multiple sites.
  • При взломе сервера хакеры могут получить доступ к симметричным сетевым учетным данным (паролям).Server breaches can expose symmetric network credentials (passwords).
  • Пароли могут подвергаться атакам с повторением пакетов.Passwords are subject to replay attacks.
  • Пользователи могут непреднамеренно раскрыть свой пароль вследствие фишинга.Users can inadvertently expose their passwords due to phishing attacks.
Значок "Обзор"
ОбзорOverview
Значок "Почему PIN-код лучше пароля"
Почему PIN-код лучше пароляWhy PIN is better than a password
Значок "Управление Hello"
Управление Windows Hello для бизнеса в организацииManage Windows Hello in your Organization

Предварительные условияPrerequisites

Исключительно облачное развертываниеCloud Only Deployment

  • Windows10 версии1511 или более позднейWindows 10, version 1511 or later
  • Учетная запись Microsoft AzureMicrosoft Azure Account
  • Azure Active DirectoryAzure Active Directory
  • Многофакторная идентификация Azure ADAzure AD Multi-Factor Authentication
  • Современные средства управления (Intune или поддерживаемое стороннее решение MDM), необязательноModern Management (Intune or supported third-party MDM), optional
  • Подписка на Azure AD Premium — необязательно, требуется для автоматической регистрации в MDM, когда устройство присоединяется к Azure Active DirectoryAzure AD Premium subscription - optional, needed for automatic MDM enrollment when the device joins Azure Active Directory

Гибридные развертыванияHybrid Deployments

В таблице приведены минимальные требования для каждого развертывания.The table shows the minimum requirements for each deployment. Для развертывания с несколькими доменами и несколькими лесами для каждого домена или леса, в котором размещены компоненты Windows Hello для бизнеса или участвуют в процессе ссылки Kerberos, применяются следующие требования.For key trust in a multi-domain/multi-forest deployment, the following requirements are applicable for each domain/forest that hosts Windows Hello for business components or is involved in the Kerberos referral process.

Доверие на основе ключейKey trust
Управление посредством групповых политикGroup Policy managed
Доверие на основе сертификатовCertificate trust
Смешанное управлениеMixed managed
Доверие на основе ключейKey trust
Управление современными средствамиModern managed
Доверие на основе сертификатовCertificate trust
Управление современными средствамиModern managed
Windows10 версии1511 или более позднейWindows 10, version 1511 or later Гибридные устройства, присоединенные к Azure AD:Hybrid Azure AD Joined:
Минимум: Windows 10 версии 1703Minimum: Windows 10, version 1703
Лучшая производительность: Windows 10 версии 1709 или более поздней версии (поддерживается синхронная регистрация сертификатов).Best experience: Windows 10, version 1709 or later (supports synchronous certificate enrollment).
Устройства, присоединенные к Azure AD:Azure AD Joined:
Windows10 версии1511 или более позднейWindows 10, version 1511 or later
Windows10 версии1511 или более позднейWindows 10, version 1511 or later Windows10 версии1511 или более позднейWindows 10, version 1511 or later
Схема Windows Server 2016 или более поздней версииWindows Server 2016 or later Schema Схема Windows Server 2016 или более поздней версииWindows Server 2016 or later Schema Схема Windows Server 2016 или более поздней версииWindows Server 2016 or later Schema Схема Windows Server 2016 или более поздней версииWindows Server 2016 or later Schema
Режим работы домена/леса Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level Режим работы домена/леса Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level Режим работы домена/леса Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level Режим работы домена/леса Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level
Контроллеры домена Windows Server 2016 или более поздней версииWindows Server 2016 or later Domain Controllers Контроллеры домена Windows Server2008R2 или позднееWindows Server 2008 R2 or later Domain Controllers Контроллеры домена Windows Server 2016 или более поздней версииWindows Server 2016 or later Domain Controllers Контроллеры домена Windows Server2008R2 или позднееWindows Server 2008 R2 or later Domain Controllers
Центр сертификации Windows Server2012 или позднееWindows Server 2012 or later Certificate Authority Центр сертификации Windows Server2012 или позднееWindows Server 2012 or later Certificate Authority Центр сертификации Windows Server2012 или позднееWindows Server 2012 or later Certificate Authority Центр сертификации Windows Server2012 или позднееWindows Server 2012 or later Certificate Authority
N/A Windows Server 2016 AD FS с обновлением KB4088889 (гибридные клиенты, присоединенные к Azure AD)Windows Server 2016 AD FS with KB4088889 update (hybrid Azure AD joined clients),
иand
служба регистрации сертификатов для сетевых устройств Windows Server2012 или более поздней версии (присоединение к Azure AD)Windows Server 2012 or later Network Device Enrollment Service (Azure AD joined)
Н/ДN/A Служба регистрации сертификатов для сетевых устройств Windows Server2012 или более поздней версииWindows Server 2012 or later Network Device Enrollment Service
Клиент Azure MFA илиAzure MFA tenant, or
AD FS с адаптером Azure MFA илиAD FS w/Azure MFA adapter, or
AD FS с адаптером сервера Azure MFA илиAD FS w/Azure MFA Server adapter, or
AD FS со сторонним адаптером MFAAD FS w/3rd Party MFA Adapter
Клиент Azure MFA илиAzure MFA tenant, or
AD FS с адаптером Azure MFA илиAD FS w/Azure MFA adapter, or
AD FS с адаптером сервера Azure MFA илиAD FS w/Azure MFA Server adapter, or
AD FS со сторонним адаптером MFAAD FS w/3rd Party MFA Adapter
Клиент Azure MFA илиAzure MFA tenant, or
AD FS с адаптером Azure MFA илиAD FS w/Azure MFA adapter, or
AD FS с адаптером сервера Azure MFA илиAD FS w/Azure MFA Server adapter, or
AD FS со сторонним адаптером MFAAD FS w/3rd Party MFA Adapter
Клиент Azure MFA илиAzure MFA tenant, or
AD FS с адаптером Azure MFA илиAD FS w/Azure MFA adapter, or
AD FS с адаптером сервера Azure MFA илиAD FS w/Azure MFA Server adapter, or
AD FS со сторонним адаптером MFAAD FS w/3rd Party MFA Adapter
Учетная запись AzureAzure Account Учетная запись AzureAzure Account Учетная запись AzureAzure Account Учетная запись AzureAzure Account
Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory
Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect
Azure AD Premium (необязательно)Azure AD Premium, optional Azure AD Premium, необходимый для обратной записи устройстваAzure AD Premium, needed for device write-back Azure AD Premium (необязательно, для автоматической регистрации в MDM)Azure AD Premium, optional for automatic MDM enrollment Azure AD Premium (необязательно, для автоматической регистрации в MDM)Azure AD Premium, optional for automatic MDM enrollment

Важно!

  1. Гибридные развертывания поддерживают не деструктивный сброс ПИН-кодов, который работает как с доверием на сертификаты, так и с моделями доверия по ключам.Hybrid deployments support non-destructive PIN reset that works with both the certificate trust and key trust models.
    Требования:Requirements:
    Служба сброса ПИН-кодов (Майкрософт) — Windows 10 версии с 1709 по 1809, Enterprise Edition.Microsoft PIN Reset Service - Windows 10, versions 1709 to 1809, Enterprise Edition. С версии 1903 лицензионное требование для этой службы не существуетThere is no licensing requirement for this service since version 1903
    Сброс над экраном блокировки (я забыл ссылку НА ПИН-код) — Windows 10 версии 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

  2. В локальном развертывании поддерживается деструктивный сброс ПИН-кода, который работает как с доверием на основе сертификатов, так и с моделями доверия на основе ключей.On-premises deployments support destructive PIN reset that works with both the certificate trust and the key trust models.
    Требования:Requirements:
    Сброс параметров — Windows 10 версии 1703, профессиональнаяReset from settings - Windows 10, version 1703, Professional
    Сброс над экраном блокировки — Windows 10 версии 1709, профессиональнаяReset above lock screen - Windows 10, version 1709, Professional
    Сброс над экраном блокировки (я забыл ссылку НА ПИН-код) — Windows 10 версии 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

Локальные развертыванияOn-premises Deployments

В таблице приведены минимальные требования для каждого развертывания.The table shows the minimum requirements for each deployment.

Доверие на основе ключейKey trust
Управление посредством групповых политикGroup Policy managed
Доверие на основе сертификатовCertificate trust
Управление посредством групповых политикGroup Policy managed
Windows10 версии1703 или более позднейWindows 10, version 1703 or later Windows10 версии1703 или более позднейWindows 10, version 1703 or later
Схема Windows Server2016Windows Server 2016 Schema Схема Windows Server2016Windows Server 2016 Schema
Режим работы домена/леса Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level Режим работы домена/леса Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level
Контроллеры домена Windows Server 2016 или более поздней версииWindows Server 2016 or later Domain Controllers Контроллеры домена Windows Server2008R2 или позднееWindows Server 2008 R2 or later Domain Controllers
Центр сертификации Windows Server2012 или позднееWindows Server 2012 or later Certificate Authority Центр сертификации Windows Server2012 или позднееWindows Server 2012 or later Certificate Authority
AD FS Windows Server 2016 с обновлением KB4088889Windows Server 2016 AD FS with KB4088889 update AD FS Windows Server 2016 с обновлением KB4088889Windows Server 2016 AD FS with KB4088889 update
AD FS со сторонним адаптером MFAAD FS with 3rd Party MFA Adapter AD FS со сторонним адаптером MFAAD FS with 3rd Party MFA Adapter
Учетная запись Azure (необязательно, для выставления счетов за Azure MFA)Azure Account, optional for Azure MFA billing Учетная запись Azure (необязательно, для выставления счетов за Azure MFA)Azure Account, optional for Azure MFA billing

Важно!

При развертывании Windows Hello для бизнеса с доверием на ключи, если у вас несколько доменов, для каждого домена требуется по крайней мере один контроллер домена Windows Server 2016 или более новой версии.For Windows Hello for Business key trust deployments, if you have several domains, at least one Windows Server Domain Controller 2016 or newer is required for each domain. Дополнительные сведения см. в руководстве по планированию.For more information, see the planning guide.