關於 Windows Hello 企業版的常見問題

Windows Hello 代表 Windows 中提供的生物特徵辨識架構。 Windows Hello 可讓使用者使用生物特徵辨識技術來登入其裝置，方法是安全地儲存其使用者名稱和密碼，並在使用者成功使用生物特徵辨識識別自己時，將它釋出以進行驗證。 Windows Hello 企業版使用受到裝置安全性模組保護的非對稱金鑰，該模組需要使用者手勢（PIN 或生物識別技術）驗證。

三個主要原因：

1. PIN 會系結至裝置：在線密碼和 Hello PIN 之間的一個重要差異是 PIN 會系結至其設定所在的特定裝置。 在沒有該特定裝置的情況下，該 PIN 對任何人而言都毫無用處。 任何獲取您密碼的人員可以從任何位置登入您的帳戶，但是如果他們獲取的是您的 PIN 碼，則他們也必須取得您的的裝置。 除了該特定裝置以外，PIN 碼無法在其他地方使用。 如果您想要在多個裝置上登入，您必須在每個裝置上設定 Hello
2. PIN 是裝置的本機：在線密碼會傳輸至伺服器。 密碼可能在傳輸中遭到截取，或從伺服器取得。 PIN 碼會侷限於裝置本機，絕不會傳輸到任何地方，也不會儲存在伺服器上。 建立 PIN 時，它會與身分識別提供者建立受信任的關係，並建立一個用來驗證的非對稱金鑰組。 當您輸入 PIN 碼時，您會解除鎖定驗證金鑰，而該金鑰是用於簽署傳送至驗證伺服器的要求。 使用 Windows Hello 企業版，PIN 是使用者提供的熵，用來載入信賴平台模組中的私鑰 (TPM) 。 伺服器沒有 PIN 的複本。 因此，Windows 用戶端也沒有目前 PIN 的複本。 用戶必須提供熵、受 TPM 保護的金鑰，以及產生該密鑰的 TPM，才能成功存取私鑰
3. PIN 由硬體支援：Hello PIN 是由信賴平臺模組 (TPM) 晶片所支援，這是專為執行密碼編譯作業而設計的安全密碼編譯處理器。 此晶片包含多個實體安全性機制，使得它具備防竄改功能，在 TPM 安全性功能的加持下，惡意程式碼軟體便無法進行竄改。 Windows 不會將本機密碼連結至 TPM，因此 PIN 碼會被視為比本機密碼更安全。 使用者金鑰資料是在裝置 TPM 內產生和提供。 TPM 可保護金鑰資料免於遭到想要擷取和重複使用的攻擊者發現。 因為 Hello 使用非對稱式金鑰組，因此即使身分識別提供者或使用者存取的網站遭到入侵，也無法竊取使用者認證。 TPM 可抵禦各種已知及潛在的攻擊，包括 PIN 碼暴力密碼破解攻擊。 在太多不正確的猜測之後，裝置就會鎖定

語句 PIN 比密碼強 ，不會導向 PIN 所使用之熵的強度。 這是關於提供 Entropy 與繼續使用對稱金鑰 (密碼) 之間的差異。 TPM 具有反哈希功能，可抵禦暴力密碼破解 PIN 攻擊， (攻擊者持續嘗試嘗試所有 PIN) 組合。 有些組織可能會擔心一起的表面。 針對這些組織，請實作 多重要素解除鎖定 功能，而不是增加 PIN 的複雜度。

若要入侵受 TPM 保護的 Windows Hello 憑證，攻擊者必須能夠存取實體裝置。 然後，攻擊者必須尋找方法，偽造使用者的生物特徵辨識技術或猜測 PIN 碼。 必須先完成所有這些動作，TPM 防攻擊 保護才會鎖定裝置。

Windows Hello 使用指紋、鳶尾花或臉部辨識來啟用生物特徵辨識登入。 當您設定 Windows Hello 時，系統會要求您在生物特徵辨識設定之後建立 PIN。 當您因為傷害或感測器無法使用或無法正常運作而無法使用慣用的生物特徵辨識時，PIN 可讓您登入。 如果您只設定了生物特徵辨識登入，但因任何原因而無法使用該方法登入，您就必須使用您的帳戶和密碼登入，而這無法提供與 Hello 相同等級的保護。

每當產生金鑰數據時，就必須保護它免於遭受攻擊。 執行此動作最可靠的方式是透過專用硬體。 使用硬體安全性模組 (HSM) 為安全性關鍵應用程式產生、儲存和處理金鑰的歷程記錄很長。 智慧卡是一種特殊類型的 HSM，它們都是符合信賴運算群組 TPM 標準規範的裝置。 可能的話，Windows Hello 企業版 實作會利用上線 TPM 硬體來產生和保護密鑰。 系統管理員可以選擇允許軟體中的密鑰作業，但建議您使用 TPM 硬體。 TPM 會提供保護來抵禦各種已知和可能的攻擊，包括 PIN 暴力密碼破解攻擊。 TPM 也會在帳戶鎖定之後提供額外的保護層級。 當 TPM 鎖定金鑰內容時，用戶必須重設 PIN (這表示用戶必須在 IdP 允許重新註冊) 之前，使用 MFA 重新驗證 IdP。 重設 PIN 表示將移除所有使用舊的金鑰內容加密的金鑰與憑證。

Windows Hello 企業版 使用票證系統提供 PIN 快取用戶體驗。 處理程序會快取可供其用來要求私密金鑰作業的票證，而不是快取 PIN 碼。 Microsoft Entra ID 和 Active Directory 登入金鑰會在鎖定下快取。 這表示只要使用者以互動方式登入，密鑰仍可在不提示的情況下使用。 Microsoft 帳戶登入金鑰是交易式金鑰，這表示存取密鑰時一律會提示使用者。

Windows Hello 企業版 作為智慧卡 (預設啟用的智慧卡模擬) 提供預設智慧卡 PIN 快取的相同用戶體驗。 要求私鑰作業的每個程式都會在第一次使用時提示使用者輸入 PIN。 後續的私鑰作業不會提示使用者輸入 PIN。

Windows Hello 企業版的智慧卡模擬功能會驗證 PIN 碼，然後捨棄 PIN 碼以交換票證。 此程式不會收到 PIN，而是會授與他們私鑰作業的票證。 沒有原則設定可調整快取。

當您註冊 Windows Hello 時，會建立生物特徵辨識的表示法，稱為註冊配置檔，您可以在臉部驗證 Windows Hello 找到更多資訊。 此註冊配置檔生物特徵辨識數據是裝置特定的，儲存在本機裝置上，不會離開裝置或與使用者漫遊。 某些外部指紋感測器會將生物特徵辨識數據儲存在指紋模組本身，而不是 Windows 裝置上。 即使在此情況下，生物特徵辨識數據仍會儲存在這些模組本機、裝置特定、不會漫遊、永遠不會離開模組，而且永遠不會傳送至 Microsoft 雲端或外部伺服器。 如需詳細資訊，請參閱在企業中 Windows Hello 生物特徵辨識。

Windows Hello 生物特徵辨識數據會以加密範本資料庫的方式儲存在裝置上。 生物特徵辨識感測器的數據 (像是臉部相機或指紋讀取器，) 建立數據表示法或圖形，然後在儲存在裝置上之前加密。 裝置上由 Windows Hello (臉部或指紋) 使用的每個生物特徵辨識感測器，都會有自己的生物特徵辨識資料庫檔案，其中會儲存範本數據。 每個生物特徵辨識資料庫檔案都會使用唯一的隨機產生金鑰加密，該密鑰會使用產生 SHA256 哈希的 AES 加密來加密至系統。

由於 Windows Hello 生物特徵辨識數據會以加密格式儲存，因此 Windows Hello 以外的任何使用者或進程都無法存取它。

Windows Hello 只有在用戶註冊 Windows Hello 生物特徵辨識型驗證時，才會在裝置上建立生物特徵辨識範本資料庫檔案。 IT 系統管理員可以設定原則設定，但如果使用者想要使用生物特徵辨識或 PIN，則一律是用戶的選擇。 使用者可以前往其裝置上的登入選項，以將其目前的註冊簽入 Windows Hello 生物特徵辨識。 移至 [ 開始 > 設定 > 帳戶 > 登入 ] 選項。 如果您在 [登入選項] 中看不到 Windows Hello，則可能無法供您的裝置使用或由系統管理員透過原則封鎖。 系統管理員可以在 Autopilot 期間或在裝置初始設定期間要求用戶註冊 Windows Hello。 系統管理員可以禁止使用者透過 Windows Hello 企業版 原則設定註冊生物特徵辨識。 不過，透過原則設定允許時，使用者一律會選擇註冊 Windows Hello 生物特徵辨識。

若要從裝置移除 Windows Hello 和任何相關聯的生物特徵辨識識別數據，請開啟 [開始>設定>帳戶>登入] 選項。 選取您要移除的 Windows Hello 生物特徵辨識驗證方法，然後選取 [移除]。 動作會取消註冊 Windows Hello 生物特徵辨識驗證，並刪除相關聯的生物特徵辨識範本資料庫檔案。 如需詳細資訊，請參閱 Windows 登入選項和帳戶保護 (microsoft.com) 。

從 Configuration Manager 2203 版開始，不再支援使用 Configuration Manager 的 Windows Hello 企業版 部署。

您可以執行 命令certutil.exe -deleteHelloContainer來刪除 Windows Hello 企業版 容器。

如果使用者可以使用密碼登入，他們可以藉由選取 [設定] 應用程式中的 [ 我忘記 PIN ] 連結，或從鎖定畫面選取 [我忘記 PIN] 連結，在 PIN 認證提供者上選取 [我忘記 PIN] 連結來重設 PIN。

針對內部部署，裝置必須連線到其內部部署網路， (域控制器和/或證書頒發機構單位) 重設其 PIN。 混合式部署可以將其 Microsoft Entra 租用戶上線，以使用 Windows Hello 企業版 PIN 重設服務來重設其 PIN。 非破壞性 PIN 重設可在不存取公司網路的情況下運作。 破壞性 PIN 重設需要存取公司網路。 如需破壞性和非破壞性 PIN 重設的詳細資訊，請參閱 PIN 重設。

是的。 我們簡單 PIN 碼演算法會尋找並拒絕任何在其數字之間存在等差關係的 PIN 碼。 演算法會計算到達下一個數位所需的步驟數目，溢位在 10 ('zero') 。 例如：

• PIN 1111 的常數差異為 (0,0,0) ，因此不允許
• PIN 1234 的固定差異 (1,1,1) ，因此不允許
• PIN 1357 的常數差異為 (2,2,2) ，因此不允許
• PIN 9630 的固定差異 (7,7,7) ，因此不允許
• PIN 1593 的固定差異 (4,4,4) ，因此不允許
• PIN 7036 的常數差異為 (3,3,3) ，因此不允許
• PIN 1231 (1,1,2) 沒有常數差異，因此允許
• PIN 1872 沒有固定差異 (7,9,5) ，因此允許

這項檢查可防止重複數位、循序數位和簡單模式。 它一律會產生 100 個不允許的 PIN 清單， (與 PIN 長度) 無關。 此演算法不適用於英數位元 PIN。

為了協助 Microsoft 保持正常運作、協助偵測和防止詐騙，以及繼續改善 Windows Hello，會收集人員如何使用 Windows Hello 的診斷數據。 例如：

• 人員使用臉部、鳶尾花、指紋或 PIN 登入的相關數據
• 他們使用它的次數
• 不論其是否正常運作，這都是可協助 Microsoft 打造更佳產品的寶貴資訊。 數據會以假名化、不包含生物特徵辨識資訊，而且會在傳輸至 Microsoft 之前加密。 您可以選擇隨時停止將診斷數據傳送給 Microsoft。 深入瞭解 Windows 中的診斷數據。

不。 擺脫密碼是以逐漸減少使用密碼的方式來達成。 在無法使用生物特徵辨識進行驗證的情況下，您需要不是密碼的後援機制。 PIN 是後援機制。 停用或隱藏 PIN 認證提供者將會停用生物特徵辨識的使用。

未經授權的使用者將無法利用任何生物特徵辨識選項，而且將擁有唯一的輸入 PIN 選項。

如果使用者嘗試輸入隨機 PIN 來解除鎖定裝置，則在三次嘗試失敗之後，認證提供者會顯示下列訊息： 您已輸入不正確的 PIN 數次。若要再試一次，請在下方輸入 A1B2C3。 輸入挑戰片語 A1B2C3 時，用戶將獲得一個輸入 PIN 的更多機會。 如果失敗，則會停用提供者，讓用戶擁有重新啟動裝置的唯一選項。 重新啟動之後，上述模式會重複。

如果嘗試失敗，裝置會進入鎖定狀態，在第一次重新啟動后持續 1 分鐘、第四次重新啟動后 2 分鐘，以及第五次重新啟動后 10 分鐘。 每個鎖定的持續時間都會相應增加。 此行為是 TPM 2.0 反鐵製化功能的結果。 如需 TPM 反鐵擊功能的詳細資訊，請參閱 TPM 2.0 反鐵制。

是。 您可以使用內部部署 Windows Hello 企業版 部署，並將其與不需要因特網連線的非 Microsoft MFA 提供者結合，以達成無線 Windows Hello 企業版 部署。

單一裝置上支持的註冊數目上限為 10。 這可讓10位使用者各自註冊臉部，以及最多10個指紋。 針對用戶超過 10 個的裝置，或登入許多裝置的使用者 (例如，支援技術人員) ，建議使用 FIDO2 安全性密鑰。

否。 如果您的組織使用 Microsoft 雲端服務，則您必須使用混合式部署模型。 內部部署專屬於需要更多時間才能移至雲端並以獨佔方式使用Active Directory 的組織。

檢閱 Microsoft Entra 連線同步：同步處理至 Microsoft Entra ID 的屬性，以取得根據案例進行同步處理的屬性清單。 包含 Windows Hello 企業版的基底案例是 Windows 10 案例和裝置回寫案例。 您的環境可能包含其他屬性。

是，如果您使用同盟混合式部署，您可以使用任何提供AD FS MFA 配接器的非 Microsoft。 您可以 在這裡找到非 Microsoft MFA 配接器的清單。

Windows Hello 企業版 適用於支援布建體驗期間所使用通訊協定的任何非 Microsoft 同盟伺服器。

Windows Hello 企業版 不是設計來使用本機帳戶。

如需詳細資訊，請參閱 Windows Hello 生物特徵辨識需求。

因為其他使用類似遮罩的使用者可能可以解除鎖定您的裝置，所以要註冊的遮罩是安全性考慮。 如果您在使用 Windows Hello 臉部驗證註冊或解除鎖定時要戴遮罩，請移除遮罩。 如果您的工作環境不允許您暫時移除遮罩，請考慮從臉部驗證取消註冊，只使用 PIN 或指紋。

如果原則已啟用此功能，系統會提示使用者在已註冊 Microsoft Entra 裝置上設定 Windows Hello 企業版 密鑰。 如果使用者有現有的 Windows Hello 容器，Windows Hello 企業版 金鑰將會在該容器中註冊，並使用現有的手勢進行保護。

如果使用者已使用 Windows Hello 登入其 Microsoft Entra 註冊的裝置，則其 Windows Hello 企業版 金鑰會在用戶嘗試使用 Microsoft Entra 資源時用來驗證使用者的工作身分識別。 Windows Hello 企業版 金鑰符合 Microsoft Entra 多重要素驗證 (MFA) 需求，並減少使用者在存取資源時會看到的 MFA 提示數目。

您可以 Microsoft Entra 註冊已加入網域的裝置。 如果加入網域的裝置具有便利的 PIN，使用便利 PIN 登入將無法再運作。 Windows Hello 企業版 不支援此設定。

如需詳細資訊，請參閱 Microsoft Entra 註冊的裝置。

Windows Hello 企業版 是 Windows 平臺的一項功能。

否，Microsoft Entra Domain Services 是 Azure 中個別的受控環境，且無法透過 Microsoft Entra Connect 向雲端 Microsoft Entra ID 進行混合式裝置註冊。 因此，Windows Hello 企業版 不適用於 Microsoft Entra Domain Services。

Windows Hello 企業版 是以觀察到的驗證因素為基礎的雙因素驗證：您擁有的內容、您知道的內容，以及屬於您一部分的內容。 Windows Hello 企業版納入其中兩個因素：您擁有的東西（受到裝置安全性模組保護的使用者私密金鑰），以及您知道的事情 (PIN)。 有了適當的硬體，您可以引進生物識別技術來增強使用者體驗。 藉由使用生物特徵辨識，您可以將「您知道的某個項目」驗證因數取代為「屬於您的一部分」因素，並保證使用者可以切換回「您知道的因素」。

這兩種驗證類型都提供相同的安全性;一個並不比另一個更安全。 部署的信任模型會決定如何向 Active Directory 進行驗證。 密鑰信任和憑證信任都使用相同的硬體支援雙因素認證。 這兩種信任類型的差異在於發行終端實體憑證：

• 密鑰信任模型會使用原始密鑰向 Active Directory 進行驗證。 密鑰信任不需要企業發行的憑證，因此您不需要發行憑證給使用者， (仍然需要域控制器憑證)
• 憑證信任模型會使用憑證向 Active Directory 進行驗證。 因此，您必須發行憑證給使用者。 憑證信任中使用的憑證會使用受 TPM 保護的私鑰，向您企業的發行 CA 要求憑證

便利 PIN 提供比密碼更簡單的 Windows 登入方式，但仍會使用密碼進行驗證。 將正確的便利 PIN 提供給 Windows 時，會從其快取載入密碼資訊，並驗證使用者。 使用便利 PIN 的組織應該移至 Windows Hello 企業版。 新的 Windows 部署應該部署 Windows Hello 企業版，而不是便利的 PIN。

否。 雖然可以在已加入 Microsoft Entra的裝置上設定便利的 PIN，並 Microsoft Entra 混合式聯結裝置，但 Microsoft Entra 用戶帳戶不支援便利 PIN， (包括已同步處理的身分識別) 。 只有 內部部署的 Active Directory 使用者和本機帳戶使用者才支援便利 PIN。

Windows Hello 企業版 是適用于 Windows 的新式雙重要素驗證。 強烈建議使用虛擬智慧卡的客戶移至 Windows Hello 企業版。

如需必要 URL 的清單，請參閱 Microsoft 365 Common 和 Office Online。

如果您的環境使用 Microsoft Intune，請參閱適用於 Microsoft Intune 的網路端點。

是，如果裝置有內部 Windows Hello 相機，您可以使用外部 Windows Hello 相容的相機。 當兩部相機都存在時，會使用外部相機進行臉部驗證。 如需詳細資訊，請參閱支援 Windows 10 21H1 版的 IT 工具。 如果已開啟 ESS，請參閱 Windows Hello 增強式登入安全性] 。

當計算機停駐並關閉蓋子時，某些鍵盤關閉的膝上型計算機和鍵盤可能不會使用外部 Windows Hello 相容相機或其他 Windows Hello 相容的配件。 問題已在 Windows 11 22H2 版中解決。

Windows Hello 企業版 認證需要存取裝置狀態，這在私人瀏覽器模式或無痕模式中無法使用。 因此，它無法在私人瀏覽器或 Incognito 模式中使用。

您可以使用 多重要素解除鎖定 ，要求使用者提供額外的因素來解除鎖定其裝置。 驗證仍維持雙重要素，但在 Windows 允許使用者使用桌面之前需要另一個額外要素。 若要深入瞭解，請參閱 多重要素解除鎖定。

Windows Hello 企業版 雲端 Kerberos 信任是一種信任模型，可讓您使用所引進的基礎結構來啟用 Windows Hello 企業版 部署，以支援 Microsoft Entra 混合式聯結裝置上的安全性密鑰登入，以及在 Microsoft Entra 上存取內部部署資源 Microsoft Entra已加入的裝置。 如果您不需要支持憑證驗證案例，則雲端 Kerberos 信任是慣用的部署模型。 如需詳細資訊，請參閱 雲端 Kerberos 信任部署。

這項功能不適用於單純的內部部署 AD 網域服務環境。

Windows Hello 企業版 雲端 Kerberos 信任會尋找可寫入的 DC 來交換部分 TGT。 只要每個網站至少有一個可寫入的DC，使用雲端 Kerberos 信任登入即可運作。

Windows Hello 企業版 在下列狀況下，雲端 Kerberos 信任需要域控制器的視線：

• 使用者第一次登入，或在布建后使用 Windows Hello 企業版 解除鎖定
• 嘗試存取 Active Directory 所保護的內部部署資源

Windows Hello 企業版 雲端 Kerberos 信任無法作為 RDP/VDI 提供的認證。 與密鑰信任類似，如果憑證已針對此目的註冊至 Windows Hello 企業版，則雲端 Kerberos 信任可用於 RDP。 或者，請考慮使用不需要部署憑證 的遠端 Credential Guard 。

否，只有處理來自所有雲端 Kerberos 信任裝置負載所需的數目。

在混合式部署中，使用者的公鑰必須先從 Microsoft Entra ID 同步至 Active Directory，才能用來對域控制器進行驗證。 此同步處理由 Microsoft Entra Connect 處理，並且會在一般同步處理週期期間發生。

遠端桌面通訊協定 (RDP) 不支援使用金鑰型驗證作為提供的認證。 不過，您可以在金鑰信任模型中部署憑證，以啟用 RDP。 如需詳細資訊， 請參閱將憑證部署至密鑰信任使用者以啟用 RDP。 或者，請考慮使用不需要部署憑證 的遠端 Credential Guard 。