有关Windows Hello 企业版的常见问题

Windows Hello表示 Windows 中提供的生物识别框架。 Windows Hello允许用户使用生物识别技术登录到其设备，方法是安全地存储用户名和密码，并在用户使用生物识别技术成功标识自己时将其释放用于身份验证。 Windows Hello 企业版使用受设备安全模块保护的非对称密钥进行身份验证，这需要用户手势（PIN 或生物识别）。

三main原因：

1. PIN 绑定到设备：联机密码和 Hello PIN 之间的一个重要区别是，PIN 绑定到设置它的特定设备。 如果没有该特定硬件，此 PIN 对任何人都无用。 获取你的在线密码的人可以从任何位置登录到你的帐户，但如果他们获得了你的 PIN，他们也必须访问你的设备。 PIN 不能用于除特定设备以外的任何位置。 如果要在多台设备上登录，必须在每台设备上设置 Hello
2. PIN 是设备的本地 PIN：联机密码将传输到服务器。 密码可以在传输中截获或从服务器获取。 PIN 是设备的本地 PIN，从不在任何地方传输，也不会存储在服务器上。 创建 PIN 时，它与标识提供者建立受信任的关系，并且创建用于身份验证的非对称密钥对。 输入 PIN 时，将解锁身份验证密钥，该密钥用于对发送到身份验证服务器的请求进行签名。 使用 Windows Hello 企业版，PIN 是用户提供的用于在受信任的平台模块 (TPM) 加载私钥的枚举。 服务器没有 PIN 的副本。 为此，Windows 客户端也没有当前 PIN 的副本。 用户必须提供 entropy、受 TPM 保护的密钥以及生成该密钥的 TPM 才能成功访问私钥
3. PIN 由硬件支持：Hello PIN 由受信任的平台模块 (TPM) 芯片提供支持，该芯片是一种安全加密处理器，旨在执行加密操作。 该芯片包含多个物理安全机制以使其防篡改，并且恶意软件无法篡改 TPM 的安全功能。 Windows 不会将本地密码链接到 TPM，因此 PIN 被认为比本地密码更安全。 用户密钥材料在设备的 TPM 中生成并可用。 TPM 可保护密钥材料免受想要捕获和重用密钥材料的攻击者的侵害。 由于 Hello 使用非对称密钥对，因此在用户访问的标识提供者或网站遭到入侵的情况下，用户凭据不会被盗。 TPM 可防范各种已知和潜在攻击，包括 PIN 暴力攻击。 经过太多错误的猜测，设备被锁定

“ PIN 比密码强 ”语句不针对 PIN 使用的 entropy 强度。 这是关于提供 entropy 与继续使用对称密钥 (密码) 之间的差异。 TPM 具有防锤功能，可阻止暴力破解 PIN 攻击， (攻击者持续尝试尝试所有 PIN 组合) 。 一些组织可能会担心肩膀冲浪。 对于这些组织，实现 多重解锁 功能，而不是增加 PIN 的复杂性。

若要泄露 TPM 保护的Windows Hello凭据，攻击者必须有权访问物理设备。 然后，攻击者必须找到欺骗用户生物识别或猜测 PIN 的方法。 在 TPM 防锤 保护锁定设备之前，必须执行所有这些操作。

Windows Hello支持使用指纹、虹膜或面部识别进行生物识别登录。 设置Windows Hello时，系统会要求你在生物识别设置后创建 PIN。 当由于受伤或传感器不可用或无法正常工作而无法使用首选生物识别时，可以使用 PIN 登录。 如果只配置了生物识别登录，并且出于任何原因无法使用该方法登录，则必须使用帐户和密码登录，这不会为你提供与 Hello 相同的保护级别。

每当生成密钥材料时，都必须保护它免受攻击。 执行此操作的最可靠方法是通过专门的硬件。 使用硬件安全模块 (HSM) 生成、存储和处理安全关键型应用程序的密钥有着悠久的历史。 智能卡是一种特殊类型的 HSM，符合受信任的计算组 TPM 标准的设备也是如此。 Windows Hello 企业版实现尽可能利用载入 TPM 硬件来生成和保护密钥。 管理员可以选择允许软件中的密钥操作，但建议使用 TPM 硬件。 TPM 可抵御各种已知和潜在的攻击，包括 PIN 强力攻击。 TPM 在帐户锁定后还提供一层额外的保护。 当 TPM 锁定密钥材料时，用户必须重置 PIN (这意味着，在 IdP 允许重新注册) 之前，用户必须使用 MFA 重新对 IdP 进行身份验证。 重置 PIN 意味着使用旧密钥材料加密的所有密钥和证书都将删除。

Windows Hello 企业版使用票证系统提供 PIN 缓存用户体验。 不是缓存 PIN，进程缓存它们可以用于请求私钥操作的票证。 Microsoft Entra ID和 Active Directory 登录密钥在锁定下缓存。 这意味着，只要用户以交互方式登录，密钥就一直可供使用，无需提示。 Microsoft 帐户登录密钥是事务性密钥，这意味着在访问密钥时始终提示用户。

Windows Hello 企业版用作默认启用的智能卡 (智能卡仿真，) 提供默认智能卡 PIN 缓存的相同用户体验。 请求私钥操作的每个进程都会提示用户在首次使用时输入 PIN。 后续的私钥操作不会提示用户输入 PIN。

Windows Hello 企业版的智能卡仿真功能验证 PIN，然后丢弃 PIN 交换票证。 该过程不会收到 PIN，而是收到向其授予私钥操作的票证。 没有用于调整缓存的策略设置。

注册Windows Hello时，会创建生物识别表示形式（称为注册配置文件），可在Windows Hello人脸身份验证中找到更多信息。 此注册配置文件生物识别数据特定于设备，存储在本地设备上，不会离开设备或与用户一起漫游。 某些外部指纹传感器将生物识别数据存储在指纹模块本身而不是 Windows 设备上。 即使在这种情况下，生物识别数据也存储在这些模块本地，特定于设备，不会漫游，永远不会离开模块，并且永远不会发送到 Microsoft 云或外部服务器。 有关详细信息，请参阅企业中的Windows Hello生物识别。

Windows Hello生物识别数据作为加密模板数据库存储在设备上。 来自生物识别传感器的数据 (人脸相机或指纹读取器) 创建数据表示形式或图形，然后在存储在设备上之前对其进行加密。 设备上Windows Hello (人脸或指纹) 使用的每个生物识别传感器都将有自己的生物识别数据库文件，用于存储模板数据。 每个生物识别数据库文件都使用唯一的随机生成的密钥进行加密，该密钥使用 AES 加密对系统进行加密，生成 SHA256 哈希。

由于Windows Hello生物识别数据以加密格式存储，因此除了Windows Hello之外，任何用户或任何进程都无法访问它。

仅当用户注册Windows Hello基于生物识别的身份验证时，才会在设备上创建Windows Hello生物识别模板数据库文件。 IT 管理员可以配置策略设置，但如果用户想要使用生物识别或 PIN，则始终是用户选择的。 用户可以转到其设备上的登录选项，检查其当前注册到Windows Hello生物识别。 转到“开始>设置帐户>>登录选项”。 如果在“登录选项”中看不到Windows Hello，则它可能不适用于你的设备或管理员通过策略阻止。 管理员可以在 Autopilot 期间或设备的初始设置期间请求用户注册到 Windows Hello。 管理员可以禁止用户通过Windows Hello 企业版策略配置注册生物识别。 但是，如果通过策略配置允许，则用户始终可以选择注册Windows Hello生物识别。

若要从设备中删除Windows Hello和任何关联的生物识别数据，请打开“开始>设置帐户>登录”>选项。 选择要删除Windows Hello生物识别身份验证方法，然后选择“删除”。 该操作取消注册Windows Hello生物识别身份验证，并删除关联的生物识别模板数据库文件。 有关详细信息，请参阅 Windows 登录选项和帐户保护 (microsoft.com) 。

从 Configuration Manager 版本 2203 开始，不再支持使用 Configuration Manager 的Windows Hello 企业版部署。

可以通过执行 命令 certutil.exe -deleteHelloContainer来删除Windows Hello 企业版容器。

如果用户可以使用密码登录，则可以通过在“设置”应用中或从锁屏界面中选择“ 我忘记了 PIN ”链接，在 PIN 凭据提供程序上选择“ 我忘记了 PIN” 链接来重置其 PIN。

对于本地部署，设备必须连接到其本地网络 (域控制器和/或证书颁发机构) 才能重置其 PIN。 混合部署可以加入其Microsoft Entra租户，以使用Windows Hello 企业版 PIN 重置服务来重置其 PIN。 非破坏性 PIN 重置无需访问公司网络即可工作。 破坏性 PIN 重置需要访问公司网络。 有关破坏性和非破坏性 PIN 重置的更多详细信息，请参阅 PIN 重置。

是。 我们的简单 PIN 算法查找并禁用任何包含连续数字常量增量的 PIN。 该算法计算达到下一位数字所需的步骤数，在 10 (“零”) 溢出。 例如：

• PIN 1111 的固定增量为 (0,0,0) ，因此不允许使用
• PIN 1234 的固定增量为 (1,1,1) ，因此不允许使用
• PIN 1357 的固定增量为 (2,2,2) ，因此不允许使用
• PIN 9630 的固定增量为 (7,7,7) ，因此不允许使用
• PIN 1593 的固定增量为 (4,4,4) ，因此不允许使用
• PIN 7036 的固定增量为 (3,3,3) ，因此不允许使用
• PIN 1231 没有固定增量 (1,1,2) ，因此允许它
• PIN 1872 没有固定增量 (7,9,5) ，因此允许它

此检查可防止重复数字、顺序数字和简单模式。 它始终导致 100 个不允许的 PIN 列表， (独立于 PIN 长度) 。 此算法不适用于字母数字 PIN。

为了帮助 Microsoft 保持工作正常，帮助检测和防止欺诈，并继续改进Windows Hello，将收集有关人们如何使用Windows Hello的诊断数据。 例如：

• 有关用户是否使用面部、虹膜、指纹或 PIN 登录的数据
• 他们使用它的次数
• 这一切是否有效，都是帮助 Microsoft 构建更好的产品的宝贵信息。 数据是假名化的，不包括生物识别信息，并在传输到 Microsoft 之前加密。 可以随时选择停止向 Microsoft 发送诊断数据。 详细了解 Windows 中的诊断数据。

不可以。 抛弃密码通过逐渐减少对密码的使用完成。 在无法使用生物识别进行身份验证的情况下，需要一个不是密码的回退机制。 PIN 是回退机制。 禁用或隐藏 PIN 凭据提供程序将禁用生物识别的使用。

未经授权的用户将无法使用任何生物识别选项，并且只能输入 PIN。

如果用户尝试通过输入随机 PIN 来解锁设备，则三次尝试失败后，凭据提供程序将显示以下消息： 你输入了多次不正确的 PIN。若要重试，请在下方输入 A1B2C3。 输入质询短语 A1B2C3 后，用户将再获得一次输入 PIN 的机会。 如果不成功，将禁用提供程序，使用户只能选择重新启动设备。 重新启动后，上述模式将重复。

如果尝试失败，设备将进入锁定状态，在第一次重新启动后持续 1 分钟，在第四次重新启动后持续 2 分钟，在第五次重新启动后持续 10 分钟。 每个锁定的持续时间相应地增加。 此行为是 TPM 2.0 防锤功能的结果。 有关 TPM 反锤击功能的详细信息，请参阅 TPM 2.0 反锤击。

是。 可以使用本地Windows Hello 企业版部署，并将其与不需要 Internet 连接的非 Microsoft MFA 提供程序组合在一起即可实现空隙Windows Hello 企业版部署。

单个设备上支持的最大注册数为 10。 这允许 10 个用户每人注册其面部和最多 10 个指纹。 对于超过 10 个用户的设备，或者对于登录到许多设备 (（例如，支持技术人员) ）的用户，建议使用 FIDO2 安全密钥。

否。 如果你的组织正在使用 Microsoft 云服务，则必须使用混合部署模型。 本地部署仅适用于在迁移到云之前需要更多时间并专门使用 Active Directory 的组织。

查看Microsoft Entra Connect Sync：同步到Microsoft Entra ID的属性，了解基于方案同步的属性列表。 包含Windows Hello 企业版的基本方案是Windows 10方案和设备写回方案。 你的环境可能包含其他属性。

是的，如果你使用的是联合混合部署，则可以使用提供 AD FS MFA 适配器的任何非 Microsoft。 可 在此处找到非 Microsoft MFA 适配器列表。

Windows Hello 企业版适用于支持预配体验期间使用的协议的任何非 Microsoft 联合服务器。

Windows Hello 企业版不适用于本地帐户。

有关详细信息，请阅读Windows Hello生物识别要求。

佩戴掩码进行注册是一个安全问题，因为戴着类似掩码的其他用户可能能够解锁你的设备。 如果在使用Windows Hello人脸身份验证进行注册或解锁时戴着掩码，请删除掩码。 如果工作环境不允许暂时删除掩码，请考虑从人脸身份验证中取消注册，并且仅使用 PIN 或指纹。

如果策略启用了该功能，系统会提示用户在已注册Microsoft Entra设备上设置Windows Hello 企业版密钥。 如果用户具有现有的Windows Hello容器，Windows Hello 企业版密钥将注册到该容器中，并使用现有手势进行保护。

如果用户已使用 Windows Hello 登录到其Microsoft Entra注册的设备，则当用户尝试使用Microsoft Entra资源时，将使用其Windows Hello 企业版密钥对用户的工作标识进行身份验证。 Windows Hello 企业版密钥满足Microsoft Entra多重身份验证 (MFA) 要求，并减少用户在访问资源时看到的 MFA 提示数。

可以Microsoft Entra注册已加入域的设备。 如果已加入域的设备具有便捷 PIN，则使用便利 PIN 登录将不再有效。 Windows Hello 企业版不支持此配置。

有关详细信息，请参阅Microsoft Entra已注册的设备。

Windows Hello 企业版是 Windows 平台的一项功能。

否，Microsoft Entra 域服务是 Azure 中单独托管的环境，无法通过 Microsoft Entra Connect 使用云Microsoft Entra ID进行混合设备注册。 因此，Windows Hello 企业版不适用于Microsoft Entra 域服务。

Windows Hello 企业版是基于观察到的身份验证因素的双重身份验证：你拥有的、你知道的，以及属于你的一部分的东西。 Windows Hello 企业版包含两个这样的因素：你有的（受设备安全模块保护的用户的私钥）和你知道的（你的 PIN）信息。 搭配适当的硬件，你可以通过引入生物识别来增强用户体验。 通过使用生物识别，可以将“你知道的东西”身份验证因素替换为“属于你的一部分”因素，并保证用户可以回退到“你了解的内容”。

这两种类型的身份验证提供相同的安全性;一个并不比另一个更安全。 部署的信任模型决定了如何向 Active Directory 进行身份验证。 密钥信任和证书信任都使用相同的硬件支持的双因素凭据。 这两种信任类型的区别在于最终实体证书的颁发：

• 密钥信任模型使用原始密钥向 Active Directory 进行身份验证。 密钥信任不需要企业颁发的证书，因此无需向用户颁发证书， (域控制器证书仍需要)
• 证书信任模型使用证书向 Active Directory 进行身份验证。 因此，需要向用户颁发证书。 证书信任中使用的证书使用受 TPM 保护的私钥从企业的颁发 CA 请求证书

与密码相比，便捷 PIN 提供了一种更简单的登录 Windows 的方法，但它仍使用密码进行身份验证。 向 Windows 提供正确的便利 PIN 后，将从其缓存加载密码信息并验证用户身份。 使用便捷 PIN 的组织应迁移到Windows Hello 企业版。 新的 Windows 部署应部署Windows Hello 企业版，而不是方便 PIN。

否。 虽然可以在已加入Microsoft Entra和Microsoft Entra混合加入的设备上设置便捷 PIN，但Microsoft Entra用户帐户不支持便捷 PIN， (包括同步标识) 。 仅本地 Active Directory用户和本地帐户用户支持便捷 PIN。

Windows Hello 企业版是适用于 Windows 的新式双因素身份验证。 强烈建议使用虚拟智能卡的客户迁移到 Windows Hello 企业版。

有关所需 URL 的列表，请参阅 Microsoft 365 Common 和 Office Online。

如果环境使用Microsoft Intune，请参阅用于Microsoft Intune的网络终结点。

可以，如果设备具有内部Windows Hello相机，则可以使用外部Windows Hello兼容的相机。 当两个相机都存在时，外部摄像头用于人脸身份验证。 有关详细信息，请参阅 支持 Windows 10 21H1 的 IT 工具。 如果启用了 ESS，请参阅Windows Hello增强的登录安全性。

当计算机与盖子合上时，某些带有键盘关闭的笔记本电脑和平板电脑可能无法使用外部Windows Hello兼容的相机或其他Windows Hello兼容的附件。 此问题已在 Windows 11 版本 22H2 中得到解决。

Windows Hello 企业版凭据需要访问设备状态，这在专用浏览器模式或隐身模式下不可用。 因此，它不能在专用浏览器或 Incognito 模式下使用。

可以使用 多重解锁 来要求用户提供额外的因素来解锁其设备。 身份验证保留使用双因素，但在 Windows 允许用户访问桌面之前，需要提供其他因素。 若要了解详细信息，请参阅 多重解锁。

Windows Hello 企业版云 Kerberos 信任是一种信任模型，它使用为支持Microsoft Entra混合联接设备上的安全密钥登录和Microsoft Entra上的本地资源访问而引入的基础结构实现Windows Hello 企业版部署已联接的设备。 如果不需要支持证书身份验证方案，则云 Kerberos 信任是首选部署模型。 有关详细信息，请参阅 云 Kerberos 信任部署。

此功能在纯本地 AD 域服务环境中不起作用。

Windows Hello 企业版云 Kerberos 信任查找可写 DC 以交换部分 TGT。 只要每个站点至少有一个可写 DC，使用云 Kerberos 信任登录将有效。

在以下情况下，Windows Hello 企业版云 Kerberos 信任需要域控制器的视线：

• 用户首次登录或在预配后使用Windows Hello 企业版解锁
• 尝试访问受 Active Directory 保护的本地资源

Windows Hello 企业版云 Kerberos 信任不能用作 RDP/VDI 提供的凭据。 与密钥信任类似，如果出于此目的将证书注册到 Windows Hello 企业版，则可以将云 Kerberos 信任用于 RDP。 作为替代方法，请考虑使用不需要部署证书的 远程凭据防护 。

否，仅处理来自所有云 Kerberos 信任设备的负载所需的数字。

在混合部署中，用户的公钥必须从 Microsoft Entra ID 同步到 Active Directory，然后才能使用它对域控制器进行身份验证。 此同步由 Microsoft Entra Connect 处理，将在正常同步周期期间发生。

远程桌面协议 (RDP) 不支持使用基于密钥的身份验证作为提供的凭据。 但是，可以在密钥信任模型中部署证书以启用 RDP。 有关详细信息，请参阅 将证书部署到密钥信任用户以启用 RDP。 作为替代方法，请考虑使用不需要部署证书的 远程凭据防护 。