規劃 Windows Hello 企業版部署

適用對象

  • Windows 10
  • Windows 11

恭喜! 您即將往前踏出協助貴組織擺脫密碼邁向 Windows 雙因素便捷驗證 (Windows Hello 企業版) 的第一步。 本規劃指南將協助您了解環繞 Windows Hello 企業版基礎結構的各種不同拓撲、架構及元件。

這份指南將說明 Windows Hello 企業版中的每個元件,以及特定部署決策對基礎結構其他各個層面產生的影響。 有了規劃工作表,您就會使用該資訊來選取符合您需求的正確部署指南。

注意

如果您有 Azure 租使用者,您可以使用我們的線上互動式無密碼精靈,逐步完成相同的選擇,而不是使用下方的手動指南。 在 中提供無密碼精靈Microsoft 365 系統管理中心。

使用本指南

部署 Windows Hello 企業版時,您有許多選項可以選擇。 提供多個選項可確保幾乎每個組織都可以部署 Windows Hello 企業版。 提供許多選項會使部署看起來很複雜,不過,大部分的組織都會發現,他們已實現商務用部署所Windows Hello基礎結構。 請務必了解,Windows Hello 企業版是分散式系統,確實需要在組織中的多個小組之間進行適當的規劃。

本指南可協助您針對商務用Windows Hello部署的每個層面,以及您需要考慮的選項,來移除複雜度的外觀。 使用本指南也能識別有助於做出有關最符合您環境之部署決策所需的資訊。 請從 Microsoft 下載中心下載 Windows Hello 企業規劃工作表,以協助追蹤進度並讓您規劃起來更輕鬆。

如何繼續進行

閱讀本文件,並將您的決策記錄在工作表上。 完成後,工作表就會有您的 Windows Hello 企業版部署所需的所有資訊。

您需要針對 Windows Hello 企業版部署考量的事項有六個主要類別。 這些類別包括:

  • 部署選項
  • 用戶端
  • 管理
  • Active Directory
  • 公開金鑰基礎結構
  • 雲端

基準必要條件

Windows Hello 企業版有幾個您可以開始準備的基準必要條件。 工作表中提供了這些基準必要條件。

部署選項

Windows Hello 企業版目標是要讓所有組織可以進行任何規模或案例的部署。 為了提供這種類型的細微部署,Windows Hello 企業版可讓您選擇各種不同的部署選項。

部署模型

您有三個可以選擇的部署模型:僅限雲端部署、混合式部署和內部部署。

僅限雲端部署

僅限雲端部署模型適用於只有雲端識別身分且不存取內部部署資源的組織。 這些組織通常將其裝置加入雲端,並且完全使用雲端的資源,例如 SharePoint、OneDrive 等。 此外,由於這些使用者不使用內部部署資源,也就不需要像 VPN 這些連線的憑證,因為他們所需的一切都裝載於 Azure 中。

混合式部署

適用混合式部署模型的組織:

  • 已與 Azure Active Directory 建立同盟關係
  • 已使用 Azure Active Directory Connect 將識別身分同步至 Azure Active Directory
  • 使用裝載於 Azure Active Directory 中的應用程式,並且想要在內部部署與 Azure Active Directory 資源上獲得單一登入使用者體驗

重要

混合式部署支援可同時使用憑證信任和金鑰信任模型的非破壞性 PIN 重設。

需求:

  • Microsoft PIN 重設服務 - Windows 10版本 1709 到 1809,Enterprise Edition。 自版本 1903 起,此服務沒有授權要求
  • 在鎖定畫面上方重設 (_忘記 PIN_連結) - Windows 10版本 1903
內部部署

內部部署模型適用於沒有雲端識別身分,也不使用 Azure Active Directory 所裝載之應用程式的組織。

重要

內部部署支援可同時使用憑證信任和金鑰信任模型的破壞性 PIN 重設。

需求:

  • 從設定重設 - Windows 10版本 1703,Professional
  • 重設鎖定畫面上方 - Windows 10版本 1709,Professional
  • 在鎖定畫面上方重設 (_忘記 PIN_連結) - Windows 10版本 1903

瞭解要用於成功部署的部署模型至關重要。 部署的某些層面可能已經根據您目前的基礎結構決定。

信任類型

部署信任類型定義每個 Windows Hello 企業版用戶端向內部部署 Active Directory 進行驗證的方式。 有兩種信任類型,即金鑰信任和憑證信任。

注意

Windows Hello 2022 年初推出稱為雲端信任的新信任模型。 此信任模型會啟用商務用 Windows Hello 部署,使用在混合式 Azure AD 已加入的裝置上支援安全性金鑰登錄的基礎結構,以及已加入的裝置上的內部部署Azure AD存取。 一旦商務用雲端信任Windows Hello提供詳細資訊。

金鑰信任不需要發行驗證憑證給使用者。 使用者使用在內建資源調配體驗期間建立的硬體綁定金鑰進行驗證。 這需要針對您現有的驗證Windows Server 2016或更新的網域控制站,以及包含在商務用 Windows Hello 部署中的使用者數目,進行適當的發佈。 若要深入瞭解,請參閱規劃Windows Server 2016或更新的適用于商務Windows Hello網網域控制站的足夠數量。

憑證信任會發行驗證憑證給使用者。 使用者使用在內建資源調配體驗期間所建立的硬體綁定金鑰所要求之憑證進行驗證。 與金鑰信任不同,憑證信任不需要Windows Server 2016網域控制站 (但仍需要更新Windows Server 2016 Active Directory架構) 。 使用者可以使用憑證驗證任何 Windows伺服器 2008 R2 或更新的網域控制站。

注意

RDP 不支援使用商務Windows Hello金鑰信任部署做為提供的認證進行驗證。 目前僅支援以憑證信任部署作為提供的認證來支援 RDP。 Windows Hello商務金鑰信任功能可與遠端認證防護Windows Defender一起使用

裝置註冊

所有納入 Windows Hello 企業版部署的裝置都必須完成裝置註冊。 裝置註冊可讓裝置向識別提供者進行驗證。 僅限雲端部署及混合式部署的識別提供者是 Azure Active Directory。 內部部署的識別提供者是執行 Windows Server 2016 Active Directory 同盟服務 (AD FS) 角色的內部部署伺服器。

金鑰註冊

商務用Windows Hello的內建功能會建立硬體綁定的非對稱金鑰組,做為使用者的認證。 私密金鑰受裝置的安全性模組保護;不過,認證是使用者金鑰, (不是裝置金鑰) 。 資源調配體驗會向身分識別提供者註冊使用者的公用金鑰。 僅限雲端部署和混合式部署的識別提供者為 Azure Active Directory。 內部部署的識別提供者為執行 Windows Server 2016 Active Directory 同盟服務 (AD FS) 角色的內部部署伺服器。

多重要素驗證

重要

自 2019 年 7 月 1 日起,Microsoft 將不再提供 MFA Server 進行新部署。 需要使用者多重要素驗證的新客戶應該使用雲端式Azure AD多重要素驗證。 在 2019 年 7 月 1 日之前啟用 MFA Server 的現有客戶將能夠如往常一樣下載最新版本、未來的更新並產生啟用認證。 請參閱開始使用多重要素Azure AD伺服器以取得詳細資料。

Windows Hello 企業版的目標是要讓組織使用提供簡易雙因素驗證的強式憑證,藉以擺脫其對密碼的依賴。 內建的置備體驗會接受使用者的弱認證 (使用者名稱和密碼) 做為第一要素驗證;不過,使用者必須先提供第二個驗證要素,Windows提供強認證。

雲端和混合式部署提供許多多重要素驗證選項。 內部部署必須使用多重要素驗證,提供 AD FS 多重要素介面卡,以與內部部署 Windows Server 2016 AD FS 伺服器角色一起使用。 組織可以使用內部部署Azure AD多重要素驗證服務器,或選擇數個協力廠商 (閱讀Microsoft和協力廠商的其他驗證方法,以) 。

注意

Azure AD多重要素驗證可透過:

  • Microsoft Enterprise Agreement
  • Open 大量授權方案
  • 雲端解決方案提供者計畫
  • 搭售項目為
    • Azure Active Directory Premium
    • 企業行動力套件
    • Enterprise Cloud Suite

目錄同步作業

混合式部署及內部部署會使用目錄同步作業,但是各自有不同的用途。 混合式部署使用 Azure Active Directory Connect,在其本身與 Azure Active Directory 之間同步處理 Active Directory 識別身分及認證。 這可協助支援 Azure Active Directory 及其同盟元件的單一登入功能。 內部部署使用目錄同步處理將使用者從 Active Directory 導入到 Azure MFA Server,而 Azure MFA Server 會將資料傳送至 Azure MFA 雲端服務以執行驗證。

管理

Windows Hello 企業版為組織提供一系列細微原則設定,組織可以搭配用於管理其裝置及使用者。 您有三種可以管理 Windows Hello 企業版的方式:群組原則、現代化管理和混合式管理。

群組原則

群組原則是在加入網域的裝置上管理 Windows Hello 企業版的最簡單且最常用方式。 只需使用您想要的設定建立群組原則物件即可。 在 Active Directory 的高層位置連結群組原則物件,並使用安全性群組篩選,將目標限定在特定的一組電腦或使用者。 或者,將 GPO 直接連結至組織單位。

現代化管理

現代化管理是新興的裝置管理範例,其運用雲端優勢來管理加入網域或未加入網域的裝置。 組織可以使用單一平台,將其裝置管理整合到一個平台並套用原則設定

用戶端

Windows Hello商務用應用程式是專屬Windows 10 Windows 11功能。 Microsoft 已Windows服務策略的一部分,改善了每個新版本的部署、管理和使用者體驗Windows並推出新案例的支援。

大部分的部署案例都必須至少有 Windows 10 版本 1511,也就是 11 月份更新。 依據您現有基礎結構中的不同元件,或日後規劃部署時所做的其他基礎結構選擇,戶端需求可能會改變。 這些元件和選擇可能需要至少執行 Windows 10 版本 1703 的用戶端,也就是 Creators Update。

Active Directory

混合式部署和內部部署包含 Active Directory 做為其基礎結構的一部分。 大多數 Active Directory 需求 (例如結構描述網域和樹系功能等級) 都已預先決定。 不過,您選擇的驗證信任類型會決定部署所需的網域控制站版本。

公開金鑰基礎結構

Windows Hello 企業部署依賴公開金鑰基礎結構做為驗證的信賴起點。 混合式和內部部署部署的網域控制站需要憑證,Windows裝置才能將網域控制站視為合法。 使用憑證信任類型的部署必須有企業公開金鑰基礎結構及憑證登錄授權單位,才能發行驗證憑證給使用者。 混合式部署可能需要發行 VPN 憑證給使用者,以便啟用連線性內部部署資源。

雲端

某些部署組合需要 Azure 帳戶,有些Azure Active Directory使用者身分。 這些雲端需求可能只需要 Azure 帳戶,而其他功能則需要 Azure Active Directory Premium 訂閱。 規劃程式會識別及區別所需元件與選擇性元件。

規劃部署

從選擇部署類型開始規劃您的 Windows Hello 企業版部署。 如同所有分散式系統Windows Hello,商務用軟體取決於貴組織基礎結構中的多個元件。

請利用本指南的其餘內容協助規劃您的部署。 進行決策時,請將這些決策的結果寫入您的計劃工作表。 完成後,您將擁有完成規劃程式所需的所有資訊,以及最適合您部署的適當部署指南。

部署模型

根據使用者存取的資源選擇部署模型。 請利用下列指導方針來做決定。

如果您的組織沒有內部部署資源,請在規劃工作表的 [1a] 方塊中填入僅限雲端

如果貴組織已與 Azure 進行聯合,或是使用任何服務 ,例如 AD 連線、Office365 或 OneDrive,或是您的使用者存取雲端和內部部署資源,請**** 于規劃工作表的方塊1a中撰寫混合式。

如果您的組織沒有雲端資源,請在規劃工作表的 [1a] 方塊中填入內部部署

注意

  • 內部部署的主要使用案例是「增強安全性系統管理環境」,也稱為「Red Forests」。
  • 從內部部署移向混合式部署需要重新部署。

信任類型

群組原則所管理之加入混合式 Azure AD 的裝置需要 Windows Server 2016 AD FS 角色來發行憑證。 Intune 或相容 MDM 所管理之加入混合式 Azure AD 的裝置以及加入 Azure AD 的裝置需要 Windows Server NDES 伺服器角色來發行憑證。

選擇最適合您組織的信任類型。 請記住,信任類型決定兩個事項。 是否發行驗證憑證給您的使用者,以及您的部署是否需要 Windows Server 2016 網域控制站。

其中一個信任模型並不會比另一個更安全。 主要差異在於組織部署 Windows Server 2016 網域控制站而不使用終端實體憑證註冊使用者 (金鑰信任),相對於使用現有網域控制站 (Windows Server 2008R2 或更新版本) 而需要為其所有使用者註冊憑證 (憑證信任) 的適應程度。

由於憑證信任類型會頒發憑證,因此要容納使用者憑證註冊,還需要更多組建和基礎結構,這也可能成為您決策時要考慮的因素。 憑證信任部署所需的其他基礎結構包括憑證註冊機構。 在聯盟環境中,您必須在系統管理中啟用Azure AD 連線。

如果您的組織想要使用金鑰信任類型,請在規劃工作表的 [1b] 方塊中填入金鑰信任。 在 [4d] 方塊中填入 Windows Server 2016。 在 [5b] 方塊中填入 N/A

如果您的組織想要使用憑證信任類型,請在規劃工作表的 [1b] 方塊中填入憑證信任。 在 [4d] 方塊中填入 Windows Server 2008 R2 或更新版本。 在規劃工作表的 [5c] 方塊中,於 [範本名稱] 欄下填入智慧卡登入,並於 [發行對象] 欄下填入使用者

裝置註冊

成功的 Windows Hello 企業版需要所有的裝置都已向識別提供者註冊。 識別提供者取決於部署模型。

如果規劃工作表的 [1a] 方塊寫著僅限雲端混合式,請在規劃工作表的 [1c] 方塊中填入 Azure

如果規劃工作表的 [1a] 方塊寫著內部部署,則在規劃工作表的 [1c] 方塊中填入 AD FS

金鑰註冊

所有佈建 Windows Hello 企業版的使用者都會向識別提供者註冊其公開金鑰。 識別提供者取決於部署模型。

如果規劃工作表的 [1a] 方塊寫著僅限雲端混合式,請在規劃工作表的 [1d] 方塊中填入 Azure

如果規劃工作表的 [1a] 方塊寫著內部部署,則在規劃工作表的 [1d] 方塊中填入 AD FS

目錄同步處理

Windows Hello 企業版為強式使用者驗證,這通常表示其中有識別身分 (使用者或使用者名稱) 和認證 (通常是金鑰組)。 某些作業需要進出目錄寫入或讀取使用者資料。 例如,讀取使用者的電話號碼,以在資源調配或撰寫使用者的公用金鑰期間執行多重要素驗證。

如果規劃工作表的 [1a] 方塊寫著僅限雲端,請在 [1e] 方塊中填入 N/A。 使用者資訊是直接寫入 Azure Active Directory,並沒有其他必須與之同步處理資訊的目錄。

如果規劃工作表的 [1a] 方塊寫著混合式,請在規劃工作表的 [1e] 方塊中填入 Azure AD Connect

如果規劃工作表的 [1a] 方塊寫著內部部署,則填入 Azure MFA Server。 除了多重要素驗證之外,此部署會獨佔使用 Active Directory 來提供使用者資訊。 內部部署 Azure MFA 伺服器會同步處理使用者資訊的子集 ,例如電話號碼,以提供多重要素驗證,而使用者的認證則保留在內部部署網路上。

多重要素驗證

Windows Hello 企業版的目標是要讓使用者驗證逐漸停止使用密碼,以轉變成強式金鑰型使用者驗證。 密碼為弱式認證,其本身就無法受信任,因為盜用密碼的攻擊者可能會嘗試註冊加入 Windows Hello 企業版。 若要確保從弱認證到強認證安全的轉換,Windows Hello 商務用 Windows Hello 在資源調配期間仰賴多重要素驗證,以確保提供 Windows Hello 商務用認證的使用者身分識別是適當的身分識別。

如果規劃工作表的 [1a] 方塊寫著僅限雲端,您就只能選擇使用 Azure MFA 雲端服務。 請在規劃工作表的 [1f] 方塊中填入 Azure MFA

如果規劃工作表的 [1a] 方塊寫著混合式,您會有幾個選項,而其中一些選項取決於您的目錄同步處理設定。 您可以從中選擇的選項包括:

  • 直接使用 MFA Azure 雲端服務
  • 使用 AD FS 搭配 Azure MFA 雲端服務配接器
  • 使用 AD FS 搭配 Azure MFA Server 配接器
  • 使用 AD FS 搭配協力廠商 MFA 配接器

您可以直接使用 MFA Azure 雲端服務處理第二個驗證因素。 與服務連絡的使用者在使用服務之前,必須先向 Azure 進行驗證。

如果設定 Azure AD Connect 來同步處理識別身分 (僅限使用者名稱),則會將使用者重新導向至本機內部部署同盟伺服器進行驗證,然後再重新導向回到 Azure MFA 雲端服務。 要不然,就將 Azure AD Connect 設定為同步處理認證 (使用者名稱和密碼),這可讓您的使用者向 Azure Active Directory 進行驗證,並使用 MFA Azure 雲端服務。 如果您選擇直接使用 MFA Azure 雲端服務,請在規劃工作表的 [1f] 方塊中填入 Azure MFA

您可以將 Windows Server 2016 AD FS 角色設定為使用 Azure MFA 服務配接器。 此設定中,使用者會重新導向至內部部署 AD FS 伺服器 (僅同步處理識別身分)。 AD FS 伺服器使用 MFA 配接器與 Azure MFA 服務進行通訊,以執行第二個驗證因素。 如果您選擇與 MFA Azure 雲端服務配接器搭配使用 AD FS,請在規劃工作表的 [1f] 方塊中填入 AD FS 搭配 Azure MFA 雲端服務配接器

或者,也可以使用 AD FS 搭配內部部署 Azure MFA Server 配接器。 與 AD FS 直接通訊的並不是 Azure MFA 雲端服務,而是和內部部署 Active Directory 進行使用者資訊同步處理的內部部署 Azure MFA Server。 Azure MFA Server 與 Azure MFA 雲端服務進行通訊,以執行第二個驗證因素。 如果您選擇與 Azure MFA Server 配接器搭配使用 AD FS,請在規劃工作表的 [1f] 方塊中填入 AD FS 搭配 Azure MFA Server 配接器

最後一個選項適合您與協力廠商配接器搭配使用 AD FS 做為第二個驗證因素。 如果您選擇與協力廠商 MFA 配接器搭配使用 AD FS,請在規劃工作表的 [1f] 方塊中填入 AD FS 搭配協力廠商

如果規劃工作表的 [1a] 方塊寫著內部部署,則會有兩個第二因素驗證選項。 您必須使用 Windows Server 2016 AD FS 來搭配您選擇的內部部署 Azure MFA Server 或搭配協力廠商 MFA 配接器。

如果您選擇與 Azure MFA Server 配接器搭配使用 AD FS,請在規劃工作表的 [1f] 方塊中填入 AD FS 搭配 Azure MFA Server 配接器。 如果您選擇與協力廠商 MFA 配接器搭配使用 AD FS,請在規劃工作表的 [1f] 方塊中填入 AD FS 搭配協力廠商

管理

Windows Hello 企業版為組織提供許多原則設定以及有關如何將這些設定套用至電腦與使用者的細微控制。 您可以使用的原則管理類型取決於您選取的部署和信任模型。

如果規劃工作表的 [1a] 方塊寫著僅限雲端,請在規劃工作表的 [2a] 方塊中填入 N/A。 您可以選擇管理未加入網域的裝置。 如果您選擇管理加入 Azure Active Directory 的裝置,請在規劃工作表的 [2b] 方塊中填入現代化管理。 否則,在 [2b] 方塊中填入 N/A

注意

不使用現代化管理且加入 Azure Active Directory 的裝置會自動使用預設原則設定註冊加入 Windows Hello 企業版。 請使用現代化管理調整原則設定以符合貴組織的業務需求。

如果規劃工作表的 [1a] 方塊寫著內部部署,請在規劃工作表的 [2a] 方塊中填入 GP。 在工作表的 [2b] 方塊中填入 N/A

管理混合式部署包括兩種要考慮用於 Windows Hello 企業版部署的裝置類別:加入網域和未加入網域。 所有裝置都已註冊,但並非所有的裝置都是加入網域的。 您可以選擇針對加入網域的裝置使用群組原則,以及針對未加入網域的裝置使用現代化管理。 或者,可以使用現代化管理同時管理加入網域及未加入網域的裝置。

如果您使用群組原則管理加入網域的裝置,請在規劃工作表的 [2a] 方塊中填入 GP。 如果您決定要管理未加入網域的裝置,請在 [2b] 方塊中填入 現代化管理,否則填入 N/A

如果您使用現代化管理同時管理加入網域及未加入網域的裝置,請在規劃工作表的 [2a][2b] 方塊中填入現代化管理

用戶端

Windows Hello商務用新功能是專屬於Windows 10 Windows 11。 部分部署及功能可以使用舊版 Windows 10 來提供。 其他部分則需要最新版本。

如果規劃工作表的 [1a] 方塊寫著僅限雲端,請在規劃工作表的 [3a] 方塊中填入 N/A。 此外,如果您打算管理未加入網域的裝置,也可以在規劃工作表的 [3b] 方塊中填入 1511 或更新版本

注意

不使用現代化管理且加入 Azure Active Directory 的裝置會自動使用預設原則設定註冊加入 Windows Hello 企業版。 請使用現代化管理調整原則設定以符合貴組織的業務需求。

如果下列任何條件成立,請在規劃工作表的 [3a] 方塊中填入 1511 或更新版本

  • 規劃工作表的 [2a] 方塊寫著管理現代化
    • 此外,如果您打算管理未加入網域的裝置,也可以在規劃工作表的 [3b] 方塊中填入 1511 或更新版本
  • 規劃工作表的 [1a] 方塊寫著混合式[1b] 方塊寫著金鑰信任,且 [2a] 方塊寫著 GP如果您打算管理非網域加入的裝置,您也可以在規劃工作表上的方塊3b中撰寫 ** 1511*或更新版。

如果下列任何條件成立,請在規劃工作表的 [3a] 方塊中填入 1703 或更新版本

  • 規劃工作表的 [1a] 方塊寫著內部部署
    在規劃工作表的 [3b] 方塊中填入 N/A
  • 規劃工作表的 [1a] 方塊寫著混合式[1b] 方塊寫著憑證信任,且 [2a] 方塊寫著 GP
    • 此外,如果您打算管理未加入網域的裝置,也可以在規劃工作表的 [3b] 方塊中填入 1511 或更新版本

Active Directory

規劃指南的 Active Directory 部分應該已完成。 除了網域控制站以外,大部分條件都是基準必要條件。 部署中使用的網域控制站是由選擇的信任類型所決定。

如果規劃工作表的 [4d] 方塊保持空白,請檢閱本區段的信任類型部分。

公開金鑰基礎結構

規劃工作表中已經有公開金鑰基礎結構必要條件。 這些條件是任何混合式部署或內部部署的最低需求。 根據您的信任類型,可能還需要額外的條件。

如果規劃工作表的 [1a] 方塊寫著僅限雲端,請忽略規劃工作表的公開金鑰基礎結構區段。 僅限雲端部署沒有使用公開金鑰基礎結構。

如果規劃工作表的 [1b] 方塊寫著金鑰信任,請在規劃工作表的 [5b] 方塊中填入 N/A。 金鑰信任不需要變更公用金鑰基礎結構,請略過此部分,然後前往 雲端 區段。

登錄授權單位僅與憑證信任部署以及加入網域和未加入網域的裝置所用管理有關聯。 群組原則所管理之加入混合式 Azure AD 的裝置需要 Windows Server 2016 AD FS 角色來發行憑證。 Intune 或相容 MDM 所管理之加入混合式 Azure AD 的裝置以及加入 Azure AD 的裝置需要 Windows Server NDES 伺服器角色來發行憑證。

如果 [2a] 方塊寫著 GP[2b] 方塊寫著現代化管理,請在規劃工作表的 [5b] 方塊中填入 AD FS RA 和 NDES。 在 [5c] 方塊中,填入下列憑證範本名稱及發行:

憑證範本名稱 發行對象
Exchange 註冊代理程式 AD FS RA
網頁伺服器 AD FS RA
Exchange 註冊代理程式 NDES
網頁伺服器 NDES
CEP 加密 NDES

如果方塊2a出 GP, 而方塊2b讀取N/A, 請以方塊5b撰寫AD FS RA, 然後于規劃工作表的方塊5c中撰寫下列憑證範本名稱和發行。

憑證範本名稱 發行對象
Exchange 註冊代理程式 AD FS RA
網頁伺服器 AD FS RA

如果 [2a][2b] 方塊寫著現代化管理,請在規劃工作表的 [5b] 方塊中填入 NDES,並在 [5c] 方塊中填入下列憑證範本名稱及發行。

憑證範本名稱 發行對象
Exchange 註冊代理程式 NDES
網頁伺服器 NDES
CEP 加密 NDES

雲端

幾乎所有的 Windows Hello 企業版部署都需要 Azure 帳戶。

如果規劃工作表的 [1a] 方塊寫著僅限雲端混合式,請在規劃工作表的 [6a][6b] 方塊中填入

如果規劃工作表的 [1a] 方塊寫著內部部署,且 [1f] 方塊寫著 AD FS 搭配協力廠商,請在規劃工作表的 [6a] 方塊中填入。 否則,當您需要 Azure 帳戶處理每筆消費 MFA 計費時,請在 [6a] 方塊中填入。 在規劃工作表的 [6b] 方塊中填入 (內部部署沒有使用雲端目錄)。

Windows Hello 企業版不需要 Azure AD Premium 訂閱。 不過,某些相依性 ,例如MDM 自動註冊和條件式 Access會執行。

如果規劃工作表的 [1a] 方塊寫著內部部署,請在規劃工作表的 [6c] 方塊中填入

如果規劃工作表的 [1a] 方塊寫著混合式,且 [1b] 方塊寫著金鑰信任,請在規劃工作表的 [6c] 方塊中填入。 您可以使用免費Windows Hello部署商務Azure Active Directory應用程式。 所有Azure Active Directory帳戶都可以Azure AD安全性預設值,使用多重要素驗證。 某些Azure AD多重要素驗證功能需要授權。 有關詳細資料,請參閱多重要素驗證Azure AD和授權

如果規劃工作表的 [5b] 方塊寫著 AD FS RA,請在規劃工作表的 [6c] 方塊中填入。 使用 AD FS 註冊機構註冊憑證時,需要裝置向 AD FS 伺服器進行驗證,這需要裝置回寫,Azure AD Premium功能。

現代化管理的裝置不需要 Azure AD Premium 訂閱。 但放棄訂閱,您的使用者就必須在現代化管理軟體 (例如 Intune 或支援的協力廠商 MDM) 中手動註冊裝置。

如果 [2a][2b] 方塊寫著現代化管理,而您希望裝置自動註冊加入現代化管理軟體時,請在規劃工作表的 [6c] 方塊中填入。 否則,在 [6c] 方塊中填入

恭喜您,您已完成

您的 Windows Hello 企業版規劃工作表應該已完成。 本指南已讓您了解 Windows Hello 企業版基礎結構中使用的元件,以及使用這些元件的合理化原因。 工作表為您提供繼續下一階段部署所需要求條件的概觀。 有了這個工作表,您就能識別商務用 Windows Hello部署的關鍵元素。