规划Windows Hello 企业版部署

本规划指南将帮助你了解不同的拓扑、体系结构,以及包含 Windows Hello 企业版基础结构的组件。

本指南将介绍 Windows Hello 企业版内每个组件的角色,以及某些部署决策将如何影响基础结构的其他方面。

提示

如果你有Microsoft Entra ID租户,则可以使用在线交互式无密码向导,它演练相同的选项,而不是使用以下手动指南。 Microsoft 365 管理中心中提供了无密码向导。

使用本指南

有许多选项可用于部署Windows Hello 企业版,确保与各种组织基础结构的兼容性。 虽然部署过程看起来可能比较复杂,但大多数组织会发现他们已经实现了必要的基础结构。 请务必注意,Windows Hello 企业版是一种分布式系统,需要跨组织内的多个团队进行适当的规划。

本指南旨在通过帮助你就Windows Hello 企业版部署的每个方面做出明智的决策来简化部署过程。 它提供有关可用选项的信息,并有助于选择最适合你的环境的部署方法。

如何继续

阅读此文档并记录你的决策。 完成后,应具有所有必要的信息来评估可用选项并确定Windows Hello 企业版部署的要求。

规划Windows Hello 企业版部署时,需要考虑七个main方面:

部署选项

Windows Hello 企业版的目标是让任何规模或场景的所有组织都能够实现部署。 为了提供这种细化部署,Windows Hello 企业版提供了各种不同的部署选项。

部署模型

了解使用哪种部署模型才能成功部署,这一点至关重要。 部署的某些方面可能已根据当前基础结构决定。

有三种部署模型可供选择:

部署模型 描述
🔲 仅限云 适用于仅具有云标识且不访问本地资源的组织。 这些组织通常将其设备加入云,并专门使用云中的资源,例如 SharePoint Online、OneDrive 等。 此外,由于用户不使用本地资源,因此他们不需要 VPN 等内容的证书,因为他们需要的所有内容都托管在云服务中。
🔲 混合 适用于标识已从 Active Directory 同步到Microsoft Entra ID的组织。 这些组织使用在 Microsoft Entra ID 中注册的应用程序,并希望在本地和Microsoft Entra资源) 单一登录 (SSO 体验。
🔲 本地 对于没有云标识或使用托管在 Microsoft Entra ID 中的应用程序的组织。 这些组织使用集成在 Active Directory 中的本地应用程序,并希望在访问它们时获得 SSO 用户体验。

注意

  • 本地部署的主要用例是“增强的安全管理环境”,也称为“Red Forests”
  • 从本地部署迁移到混合部署需要重新部署

信任类型

部署的信任类型定义Windows Hello 企业版客户端如何向 Active Directory 进行身份验证。 信任类型不会影响对Microsoft Entra ID的身份验证。 因此,信任类型不适用于仅限云的部署模型。

Windows Hello 企业版身份验证Microsoft Entra ID始终使用密钥,而不是证书 (排除联合环境中的智能卡身份验证) 。

信任类型确定是否向用户颁发身份验证证书。 一个信任模型并不比另一个信任模型更安全。

将证书部署到用户和域控制器需要更多的配置和基础结构,这也可能是决策中需要考虑的一个因素。 证书信任部署所需的更多基础结构包括证书注册机构。 在联合环境中,必须在 Microsoft Entra Connect 中激活“设备写回”选项。

有三种信任类型可供选择:

信任类型 描述
🔲 Cloud Kerberos 用户使用 Microsoft Entra Kerberos 从 Microsoft Entra ID 请求 TGT,从而向 Active Directory 进行身份验证。 本地域控制器仍负责 Kerberos 服务票证和授权。 云 Kerberos 信任使用 FIDO2 安全密钥登录所需的相同基础结构,并且可用于新的或现有的Windows Hello 企业版部署。
🔲 关键 用户在Windows Hello预配体验期间使用设备绑定密钥 (硬件或软件) 向本地 Active Directory进行身份验证。 它需要将证书分发到域控制器。
🔲 证书 证书信任类型向用户颁发身份验证证书。 用户在Windows Hello预配体验期间使用设备绑定密钥 (硬件或软件) 请求的证书进行身份验证。

密钥信任证书信任 在请求 kerberos 票证授予票证时使用基于证书身份验证的 Kerberos, (TGT) 进行本地身份验证。 这种类型的身份验证需要用于 DC 证书的 PKI,并且需要最终用户证书来信任证书。

与其他信任类型相比,Windows Hello 企业版云 Kerberos 信任的目标是提供更简单的部署体验:

  • 无需 (PKI) 部署公钥基础结构或更改现有 PKI
  • 用户无需在 Microsoft Entra ID 和 Active Directory 之间同步公钥即可访问本地资源。 用户的Windows Hello 企业版预配与能够向 Active Directory 进行身份验证之间没有任何延迟
  • 只需极少的额外设置即可部署 FIDO2 安全密钥登录

提示

与关键信任模型相比,建议使用Windows Hello 企业版云 Kerberos 信任部署模型。 如果不需要支持证书身份验证方案,它也是首选的部署模型。

云 Kerberos 信任需要部署 Microsoft Entra Kerberos。 有关 Microsoft Entra Kerberos 如何允许访问本地资源的详细信息,请参阅启用对本地资源的无密码安全密钥登录

PKI 要求

云 Kerberos 信任是唯一不需要部署任何证书的混合部署选项。 其他混合模型和本地模型依赖于企业 PKI 作为身份验证的信任定位点:

  • 混合部署和本地部署的域控制器需要 Windows 设备的证书,才能将域控制器信任为合法
  • 使用证书信任类型的部署需要企业 PKI 和证书注册机构 (CRA) 向用户颁发身份验证证书。 AD FS 用作 CRA
  • 混合部署可能需要向用户颁发 VPN 证书才能启用本地资源连接
部署模型 信任类型 需要 PKI?
🔲 仅限云 不适用
🔲 混合 Cloud Kerberos
🔲 混合 密钥
🔲 混合 证书
🔲 本地 密钥
🔲 本地 证书

向Microsoft Entra ID进行身份验证

用户可以使用联合身份验证或云 (非) 身份验证向Microsoft Entra ID进行身份验证。 要求因信任类型而异:

部署模型 信任类型 向Microsoft Entra ID进行身份验证 要求
🔲 仅限云 不适用 云身份验证 不适用
🔲 仅限云 不适用 联合身份验证 非 Microsoft 联合身份验证服务
🔲 混合 云 Kerberos 信任 云身份验证 密码哈希同步 (PHS) 或直通身份验证 (PTA)
🔲 混合 云 Kerberos 信任 联合身份验证 AD FS 或非 Microsoft 联合身份验证服务
🔲 混合 密钥信任 云身份验证 密码哈希同步 (PHS) 或直通身份验证 (PTA)
🔲 混合 密钥信任 联合身份验证 AD FS 或非 Microsoft 联合身份验证服务
🔲 混合 证书信任 联合身份验证 此部署模型不支持 PTA 或 PHS。 Active Directory 必须与使用 AD FS 的Microsoft Entra ID联合

若要了解详细信息,请:

设备注册

对于本地部署,运行 Active Directory 联合身份验证服务 (AD FS) 角色的服务器负责设备注册。 对于仅限云部署和混合部署,设备必须在 Microsoft Entra ID 中注册。

部署模型 支持的联接类型 设备注册服务提供商
仅限云 已加入Microsoft Entra
已注册Microsoft Entra
Microsoft Entra ID
混合 已加入Microsoft Entra
Microsoft Entra混合联接
已注册Microsoft Entra
Microsoft Entra ID
本地 Active Directory 域已加入 AD FS

重要提示

有关Microsoft Entra混合联接指南,请参阅规划Microsoft Entra混合联接实现

多重身份验证

Windows Hello 企业版的目标是通过为组织提供可实现轻松双重身份验证的强凭据,使组织远离密码。 内置预配体验接受用户的弱凭据 (用户名和密码) 作为第一因素身份验证。 但是,在 Windows 预配强凭据之前,用户必须提供第二个身份验证因素:

  • 对于仅限云部署和混合部署,多重身份验证有不同的选择,包括Microsoft Entra MFA
  • 本地部署必须使用可以集成为 AD FS 多重适配器的多重选项。 组织可以从提供 AD FS MFA 适配器的非 Microsoft 选项中进行选择。 有关详细信息,请参阅 Microsoft 和非 Microsoft 附加身份验证方法

重要提示

从 2019 年 7 月 1 日起,Microsoft 不会为新部署提供 MFA 服务器。 需要多重身份验证的新部署应使用基于云的Microsoft Entra多重身份验证。 在 2019 年 7 月 1 日之前激活 MFA 服务器的现有部署可以下载最新版本、将来的更新并生成激活凭据。 有关详细信息,请参阅 Azure 多重身份验证服务器入门

部署模型 MFA 选项
🔲 仅限云 Microsoft Entra MFA
🔲 仅限云 通过Microsoft Entra ID自定义控件或联合身份验证进行非 Microsoft MFA
🔲 混合 Microsoft Entra MFA
🔲 混合 通过Microsoft Entra ID自定义控件或联合身份验证进行非 Microsoft MFA
🔲 本地 AD FS MFA 适配器

有关如何配置Microsoft Entra多重身份验证的详细信息,请参阅配置Microsoft Entra多重身份验证设置

有关如何配置 AD FS 以提供多重身份验证的详细信息,请参阅 使用 AD FS 将 Azure MFA 配置为身份验证提供程序

MFA 和联合身份验证

联合域可以配置 FederatedIdpMfaBehavior 标志。 标志指示Microsoft Entra ID接受、强制或拒绝来自联合 IdP 的 MFA 质询。 有关详细信息,请参阅 federatedIdpMfaBehavior 值。 若要检查此设置,请使用以下 PowerShell 命令:

Connect-MgGraph
$DomainId = "<your federated domain name>"
Get-MgDomainFederationConfiguration -DomainId $DomainId |fl

若要拒绝来自联合 IdP 的 MFA 声明,请使用以下命令。 此更改会影响联合域的所有 MFA 方案:

Update-MgDomainFederationConfiguration -DomainId $DomainId -FederatedIdpMfaBehavior rejectMfaByFederatedIdp

如果将标志配置为值 acceptIfMfaDoneByFederatedIdp (默认) 或 enforceMfaByFederatedIdp,则必须验证联合 IDP 是否正确配置,并使用 IdP 使用的 MFA 适配器和提供程序。

密钥注册

内置的Windows Hello 企业版预配体验创建一个设备绑定的非对称密钥对作为用户的凭据。 私钥受设备安全模块的保护。 凭据是 用户密钥,而不是 设备密钥。 预配体验向标识提供者注册用户的公钥:

部署模型 密钥注册服务提供程序
仅限云 Microsoft Entra ID
混合 Microsoft Entra ID
本地 AD FS

目录同步

混合部署和本地部署使用目录同步,但每个部署都用于不同的目的:

  • 混合部署使用 Microsoft Entra Connect Sync 来同步 Active Directory 标识 (用户和设备,) 或凭据Microsoft Entra ID。 在 Window Hello 企业版预配过程中,用户向 Microsoft Entra ID 注册其Windows Hello 企业版凭据的公共部分。 Microsoft Entra Connect Sync 会将Windows Hello 企业版公钥同步到 Active Directory。 此同步使 SSO 能够Microsoft Entra ID及其联合组件。

    重要提示

    Windows Hello 企业版在用户和设备之间绑定。 用户和设备对象必须在 Microsoft Entra ID 和 Active Directory 之间同步。

  • 本地部署使用目录同步将用户从 Active Directory 导入到 Azure MFA 服务器,后者将数据发送到 MFA 云服务以执行验证
部署模型 目录同步选项
仅限云 不适用
混合 Microsoft Entra Connect Sync
本地 Azure MFA 服务器

设备配置选项

Windows Hello 企业版提供了一组丰富的精细策略设置。 配置Windows Hello 企业版有两个main选项:配置服务提供程序 (CSP) 和组策略 (GPO) 。

  • CSP 选项非常适合通过移动设备管理 (MDM) 解决方案(例如Microsoft Intune)管理的设备。 还可以使用预配包配置 CSP
  • GPO 可用于配置已加入域的设备,以及未通过 MDM 管理设备的情况
部署模型 设备配置选项
🔲 仅限云 CSP
🔲 仅限云 GPO (本地)
🔲 混合 CSP
🔲 混合 GPO (Active Directory 或本地)
🔲 本地 CSP
🔲 本地 GPO (Active Directory 或本地)

云服务要求的许可

下面是有关云服务许可要求的一些注意事项:

  • Windows Hello 企业版不需要Microsoft Entra ID P1 或 P2 订阅。 但是,某些依赖项(例如 MDM 自动注册条件访问 )会
    • 通过 MDM 管理的设备不需要Microsoft Entra ID P1 或 P2 订阅。 通过放弃订阅,用户必须在 MDM 解决方案中手动注册设备,例如Microsoft Intune或受支持的非 Microsoft MDM
  • 可以使用“Microsoft Entra ID免费”层部署Windows Hello 企业版。 所有Microsoft Entra ID免费帐户都可以对 Windows 无密码功能使用Microsoft Entra多重身份验证
  • 使用 AD FS 注册机构注册证书需要设备向 AD FS 服务器进行身份验证,这需要设备写回、Microsoft Entra ID P1 或 P2 功能
部署模型 信任类型 云服务许可证 (最低)
🔲 仅限云 不适用 不是必需的
🔲 混合 Cloud Kerberos 不是必需的
🔲 混合 密钥 不是必需的
🔲 混合 证书 Microsoft Entra ID P1
🔲 本地 密钥 Azure MFA(如果用作 MFA 解决方案)
🔲 本地 证书 Azure MFA(如果用作 MFA 解决方案)

操作系统要求

Windows 要求

所有受支持的 Windows 版本都可以与 Windows Hello 企业版 一起使用。 但是,云 Kerberos 信任需要最低版本:

部署模型 信任类型 Windows 版本
🔲 仅限云 不适用 所有受支持的版本
🔲 混合 Cloud Kerberos - Windows 10 21H2,KB5010415及更高版本
- Windows 11 21H2,KB5010414更高版本
🔲 混合 密钥 所有受支持的版本
🔲 混合 证书 所有受支持的版本
🔲 本地 密钥 所有受支持的版本
🔲 本地 证书 所有受支持的版本

Windows Server 要求

所有受支持的 Windows Server 版本都可以与Windows Hello 企业版一起使用作为域控制器。 但是,云 Kerberos 信任需要最低版本:

部署模型 信任类型 域控制器 OS 版本
🔲 仅限云 不适用 所有受支持的版本
🔲 混合 Cloud Kerberos - Windows Server 2016,KB3534307及更高版本
- Windows Server 2019,KB4534321及更高版本
- Windows Server 2022
🔲 混合 密钥 所有受支持的版本
🔲 混合 证书 所有受支持的版本
🔲 本地 密钥 所有受支持的版本
🔲 本地 证书 所有受支持的版本

准备用户

准备好在组织中启用Windows Hello 企业版时,请确保通过说明如何预配和使用Windows Hello来准备用户。

若要了解详细信息,请参阅 准备用户

后续步骤

了解了不同的部署选项和要求后,可以选择最适合组织的实现。

若要了解有关部署过程的详细信息,请从以下下拉列表中选择部署模型和信任类型: