Windows Hello 企業版

概觀

Windows Hello 是一種驗證技術,可讓使用者使用生物特徵辨識數據或 PIN 登入其 Windows 裝置,而不是傳統密碼。 它透過防網路釣魚雙因素驗證和內建暴力密碼破解保護,提供增強的安全性。 使用 FIDO/WebAuthn,Windows Hello 也可以用來登入支援的網站,減少記住多個複雜密碼的需求。

Windows Hello 企業版 是 Windows Hello 的延伸模組,可提供企業級的安全性與管理功能,包括裝置證明、憑證式驗證和條件式存取原則。 原則設定可以部署到裝置,以確保其安全且符合組織需求。

下表列出商務用 Windows Hello 與 Windows Hello之間的主要驗證和安全性差異:

Windows Hello 企業版 Windows Hello
Authentication 使用者可以向下列項目進行驗證:
- Microsoft Entra ID 帳戶
- Active Directory 帳戶
- 識別提供者 (支援 Fast ID Online (FIDO) v2.0 驗證的 IdP) 或信賴憑證者 (RP) 服務。
使用者可以向下列項目進行驗證:
- Microsoft 帳戶
- 識別提供者 (支援 Fast ID Online (FIDO) v2.0 驗證的 IdP) 或信賴憑證者 (RP) 服務。
安全性 它會使用 金鑰型憑證式 驗證。 沒有對稱密碼 (密碼) 可以從伺服器竊取或從用戶網路釣魚並從遠端使用。
在具有信賴平臺模組 (TPM) 的裝置上,可以使用增強的安全性。
用戶可以在個人裝置上建立 PIN 或生物特徵辨識手勢,以方便登入。 這種使用 Windows Hello 對於其設定所在的裝置而言是唯一的,但可以根據帳戶類型使用密碼哈希。 此組態稱為 Windows Hello 便利 PIN,不支援非對稱 (公鑰/私鑰) 或憑證式驗證。

注意

FIDO2 (Fast Identity Online) 驗證是無密碼驗證的開放標準。 它可讓使用者使用生物特徵辨識驗證或實體安全性密鑰登入其裝置和應用程式,而不需要傳統密碼。 Windows Hello 企業版 中的 FIDO2 支援為使用者提供額外的安全性和便利性層級,同時也可降低密碼相關攻擊的風險。

優點

Windows Hello 企業版 提供許多優點,包括:

  • 它有助於加強防止認證竊取。 攻擊者必須同時擁有裝置和生物特徵辨識或 PIN,這樣在使用者不知情的情況下,就更難取得存取權
  • 由於未使用密碼,因此會規避網路釣魚和暴力密碼破解攻擊。 最重要的是,它會防止伺服器缺口和重新執行攻擊,因為認證是非對稱的,而且會在 TPM 的隔離環境中產生
  • 使用者會取得簡單且方便的驗證方法, (使用一律隨附的 PIN) 進行備份,因此不會遺失任何專案。 使用 PIN 並不會危害安全性,因為 Windows Hello 具有內建暴力密碼破解保護,而且 PIN 永遠不會離開裝置
  • 您可以視需要將生物特徵辨識裝置新增為協調推出或特定使用者的一部分

下列影片示範 Windows Hello 企業版 作用中,使用者使用指紋登入:

Windows Hello和雙因素驗證

Windows Hello 企業版 使用雙因素驗證方法,結合裝置特定認證與生物特徵辨識或 PIN 手勢。 此認證會系結至您的識別提供者,例如 Microsoft Entra ID 或 Active Directory,並可用來存取組織應用程式、網站和服務。

在布建期間對用戶進行初始的雙步驟驗證之後,會在使用者的裝置上設定 Windows Hello,而 Windows 會要求使用者設定手勢,這可以是生物特徵辨識和 PIN。 使用者提供手勢以驗證其身分識別。 Windows 接著會使用 Windows Hello 來驗證使用者。

Windows Hello 企業版 會根據觀察到的驗證因素來視為雙因素驗證:您擁有的內容您知道的內容,以及屬於您一部分的內容。 Windows Hello 企業版納入其中兩個因素:您擁有的東西(受到裝置安全性模組保護的使用者私密金鑰),以及您知道的事情 (PIN)。 有了適當的硬體,您可以引進生物識別技術來增強使用者體驗。 藉由使用生物特徵辨識,您可以將 您知道 的驗證因素取代為您因素 的一部分 ,並保證使用者可以切換回 您知道的因素

生物特徵辨識登入

Windows Hello 會根據臉部辨識或指紋比對來提供可靠且完全整合的生物特徵辨識驗證。 Windows Hello 會使用特殊的紅外線 (IR) 相機和軟體組合來提高準確度並防範詐騙。 主要硬體廠商會運送具有整合 Windows Hello 相容相機和指紋讀取器的裝置。

在支援 Windows Hello 的裝置上,簡單的生物特徵辨識手勢會解除鎖定使用者的認證:

  • 臉部辨識:這種類型的生物特徵辨識會使用在 IR 光線中看到的特殊相機,讓他們能夠可靠地分辨相片或掃描與生活人之間的差異。 數家廠商提供併入這項技術的外部攝影機,許多膝上型電腦製造商將其併入其裝置中
  • 指紋辨識:這種類型的生物特徵辨識會使用電容性指紋感測器來掃描指紋。 大部分現有的指紋讀取器都適用於 Windows,不論是外部或整合到膝上型電腦或 USB 鍵盤
  • 鳶尾花辨識:這種類型的生物特徵辨識會使用相機來執行鳶尾花掃描。 HoloLens 2 是第一個引進鳶尾花掃描器的 Microsoft 裝置

Windows 只會在本機裝置上安全地儲存用來實作 Windows Hello 的生物特徵辨識資料。 生物特徵辨識數據不會漫遊,而且永遠不會傳送至外部裝置或伺服器。 因為 Windows Hello 只會在裝置上儲存生物特徵辨識識別數據,所以攻擊者無法入侵任何單一收集點來竊取生物特徵辨識數據。

Windows 版本和授權需求

下表列出支援 Windows Hello 企業版 的 Windows 版本:

Windows 專業版 Windows 企業版 Windows 專業教育版/SE Windows 教育版

Windows Hello 企業版 授權權利由下列授權授與:

Windows 專業版/專業教育版/SE Windows 企業版 E3 Windows 企業版 E5 Windows 教育版 A3 Windows 教育版 A5

如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀

注意

Windows Hello 企業版 不適用於 Microsoft Entra Domain Services

硬體需求

Microsoft 會與製造商共同作業,以根據下列需求,協助確保每個感測器和裝置都符合高階的效能和保護:

  • FALSE 接受率 (FAR) : 代表生物識別識別解決方案驗證未經授權人員的實例。 這通常會以指定母體大小中的實例數目比例表示,例如 100,000 中的 1 個。 這也可以發生次數的百分比表示,例如 0.001%。 此度量在生物特徵辨識演算法的安全性方面會被視為最重要的
  • False 拒絕率 (FRR) : 代表生物識別識別解決方案無法正確驗證授權人員的實例。 以百分比表示,True Accept Rate 和 False Reject Rate 的總和為 1。 不一定可以有反詐騙或活躍度偵測

指紋感應器需求

若要允許指紋比對,裝置必須有指紋感測器和軟體。 指紋感測器可以是觸控感測器 (大型區域或小型區域) 或撥動感測器。 每種類型的感測器都有自己的一組詳細需求,必須由製造商實作,但所有感測器都必須包含反詐騙措施。

小型到大型觸控感測器可接受的效能範圍:

  • FALSE 接受率 (FAR) : <0.001 - 0.002%
  • 包含反詐騙或活性偵測的有效實務 FRR:<10%

撥動感測器可接受的效能範圍:

  • 錯誤接受率 (FAR):<0.002%
  • 包含反詐騙或活性偵測的有效實務 FRR:<10%

臉部辨識感應器

若要允許臉部辨識,您必須擁有具備整合式特殊紅外線 (IR) 感應器和軟體的裝置。 臉部辨識感測器使用可在 IR 光線中看到的特殊相機,讓他們在掃描員工的臉部特徵時,分辨相片與生活人之間的差異。 這些感應器 (例如指紋感應器) 也必須包含反詐騙措施 (必要) 和設定它們的方法 (選用) 。

  • FALSE 接受率 (FAR) : <0.001%
  • 不含反詐騙或活體偵測的錯誤拒絕率 (FRR):<5%
  • 包含反詐騙或活性偵測的有效實務 FRR:<10%

注意

Windows Hello 臉部驗證不支援在註冊或驗證期間戴遮罩。 如果您的工作環境不允許您暫時移除遮罩,請考慮使用 PIN 或指紋。

鳶尾花辨識感測器需求

若要使用鳶尾花驗證,您需要 HoloLens 2 裝置。 所有 HoloLens 2 版本都配備相同的感測器。 鳶尾花的實作方式與其他 Windows Hello 技術相同,並達到 1/100K 的生物特徵辨識安全性。

如需 Windows Hello 硬體需求的詳細資訊,請參閱 Windows Hello 生物特徵辨識需求

後續步驟