Windows Hello 企业版部署概述

适用范围

  • Windows 10 版本 1703 或更高版本
  • Windows 11

Windows Hello 企业版是不使用密码进入一个世界的跳板 它将用户名和密码登录 Windows 替换为基于非对称密钥对的强大用户身份验证。

此部署概述将指导你完成部署 Windows Hello for Business。 第一步是使用 Microsoft 365 管理中心 中的无密码向导或规划 Windows Hello for Business 部署指南来确定适合组织的部署模型。

选择部署模型后,该模型的部署指南将向您提供在环境中成功部署 Windows Hello for Business 所需的信息。

备注

阅读Windows Hello for Business 部署先决条件概述,了解适用于 Business 的每个不同部署Windows Hello的先决条件的摘要。

假设

本指南假定基准基础结构存在并符合你的部署要求。 不论是混合部署还是本地部署,你都应该有:

  • 连接良好、正常工作的网络
  • Internet 访问权限
  • 在针对业务预配Windows Hello需要多重身份验证
  • 正确的名称解析,内部和外部名称
  • Active Directory 以及每个站点足够数量的域控制器,以支持身份验证
  • Active Directory 证书服务 2012 或更高版本
  • 运行 Windows 10 版本 1703 或更高版本的一个或多个工作站计算机

如果你是首次安装服务器角色,请确保安装了适当的服务器操作系统,并已使用最新的修补程序更新且已加入域。 本文提供在该服务器上安装和配置特定角色的指南。

请在必备条件工作表中确定的宿主服务器和基础结构(而不是角色)已全部配置并正常工作后再开始你的部署。

部署和信任模型

Windows Hello For Business 有三种部署模型:Azure AD云、混合和本地部署。 混合和本地部署模型有两个信任模型:密钥信任和**证书信任

备注

Windows Hello在 2022 年初引入了名为云信任的新信任模型。 此信任模型支持使用引入的基础结构部署 Windows Hello for Business,以支持已加入混合 Azure AD 的设备的安全密钥登录和已加入 Azure AD 的设备上的本地资源访问。 有关详细信息,请参阅 Windows Hello for Business 云信任,一旦它通常可用。

混合部署适合使用 Azure Active Directory 的企业。 本地部署适合只使用本地 Active Directory 的企业。 请记住,使用 Azure Active Directory 的环境必须为该林中的所有域使用混合部署模型。

信任模型确定你希望用户如何对本地 Active Directory 进行身份验证:

  • 密钥信任模型适合不希望向用户颁发最终实体证书的企业,他们在每个站点有足够数量的 2016 域控制器来支持身份验证。
  • 证书信任模型适合确实希望向用户颁发最终实体证书且拥有证书过期和续订权益的企业,类似于今天的智能卡的工作原理。
  • 证书信任模型还为尚未准备好部署 Windows Server 2016 域控制器的企业提供支持。

备注

RDP 不支持将 Windows Hello for Business 密钥信任部署作为提供的凭据进行身份验证。 目前,仅支持将证书信任部署作为提供的凭据部署 RDP。 Windows Hello远程 Credential Guard 中可以使用 Windows Defender For Business 密钥信任

以下是本主题中包括的各种部署指南和模型:

备注

For Windows Hello for Business hybrid certificate trust prerequisites and key trust prerequisites deployments, you will need Azure Active Directory 连接 to synchronize user accounts in the on-premises Active Directory with Azure Active Directory. 对于本地部署(密钥和证书信任),请使用 Azure MFA 服务器,其中凭据不会同步到Azure Active Directory。 了解如何为 密钥信任和 证书 (MFA) 多重 身份验证 服务。

预配

当用户登录且用户配置文件加载后(但用户还未收到其桌面前),Windows Hello 企业版预配会立即开始。 如果所有必备条件都通过了检查,Windows 将仅启动预配体验。 你可以通过在 Applications and Services Logs\Microsoft\Windows 下的事件查看器中查看用户设备注册来确定必备条件检查的状态。

备注

你需要允许访问 URL account.microsoft.com 以Windows Hello Business 预配。 此 URL 将启动设置过程中的后续步骤,并且需要此 URL 才能成功完成 Windows Hello Business 预配。 此 URL 不需要任何身份验证,因此不会收集任何用户数据。