Windows Hello охватила все устройства — что это такое и как теперь жить? Виндовс хелло


Советы по Windows 10: как настроить Windows Hello

Skip to Content Skip to Footer This site uses cookies for analytics, personalized content and ads. By continuing to browse this site, you agree to this use. Learn more Microsoft

Windows Blogs

  • Office
  • Windows
  • Surface
  • Xbox
  • Deals
  • Support
  • More

blogs.windows.com

Windows Hello для бизнеса (Windows 10)

  • 03/26/2018
  • Время чтения: 9 мин
  • Соавторы
    • Mike Stephens
    • olprod

В этой статье

В Windows 10 служба Windows Hello для бизнеса позволяет заменить пароли строгой двухфакторной проверкой подлинности на компьютерах и мобильных устройствах. Для проверки подлинности в этом случае используется новый тип учетных данных пользователей, привязанных к устройству и основанных на биометрических данных или PIN-коде.Windows Hello для бизнеса позволяет пользователям подтверждать свою подлинность относительно учетной записи Active Directory или Azure Active Directory.

Windows Hello решает следующие проблемы, связанные с паролями:

  • Надежные пароли трудно запомнить, поэтому одни и те же пароли часто используются на нескольких сайтах.
  • При взломе сервера хакеры могут получить доступ к симметричным сетевым учетным данным (паролям).
  • Пароли могут подвергаться атакам с повторением пакетов.
  • Пользователи могут непреднамеренно раскрыть свой пароль вследствие фишинга.

Предварительные условия

Исключительно облачное развертывание

  • Windows10 версии1511 или более поздней
  • Учетная запись Microsoft Azure
  • Azure Active Directory
  • Многофакторная идентификация Azure
  • Современные средства управления (Intune или поддерживаемое стороннее решение MDM), необязательно
  • Подписка на Azure AD Premium — необязательно, требуется для автоматической регистрации в MDM, когда устройство присоединяется к Azure Active Directory

Гибридные развертывания

В таблице приведены минимальные требования для каждого развертывания.

Доверие на основе ключейУправление посредством групповых политик Доверие на основе сертификатовСмешанное управление Доверие на основе ключейУправление современными средствами Доверие на основе сертификатовУправление современными средствами
Windows10 версии1511 или более поздней Гибридные устройства, присоединенные к Azure AD:Минимум: Windows 10 версии 1703Лучшая производительность: Windows 10 версии 1709 или более поздней версии (поддерживается синхронная регистрация сертификатов).Устройства, присоединенные к Azure AD:Windows10 версии1511 или более поздней Windows10 версии1511 или более поздней Windows10 версии1511 или более поздней
Схема Windows Server2016 Схема Windows Server2016 Схема Windows Server2016 Схема Windows Server2016
Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2
Контроллеры домена Windows Server2016 Контроллеры домена Windows Server2008R2 или позднее Контроллеры домена Windows Server2016 Контроллеры домена Windows Server2008R2 или позднее
Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее
Windows Server 2016 AD FS с обновлением KB4088889 (гибридные клиенты, присоединенные к Azure AD)ислужба регистрации сертификатов для сетевых устройств Windows Server2012 или более поздней версии (присоединение к Azure AD) Н/Д Служба регистрации сертификатов для сетевых устройств Windows Server2012 или более поздней версии
Клиент Azure MFA илиAD FS с адаптером Azure MFA илиAD FS с адаптером сервера Azure MFA илиAD FS со сторонним адаптером MFA Клиент Azure MFA илиAD FS с адаптером Azure MFA илиAD FS с адаптером сервера Azure MFA илиAD FS со сторонним адаптером MFA Клиент Azure MFA илиAD FS с адаптером Azure MFA илиAD FS с адаптером сервера Azure MFA илиAD FS со сторонним адаптером MFA Клиент Azure MFA илиAD FS с адаптером Azure MFA илиAD FS с адаптером сервера Azure MFA илиAD FS со сторонним адаптером MFA
Учетная запись Azure Учетная запись Azure Учетная запись Azure Учетная запись Azure
Azure Active Directory Azure Active Directory Azure Active Directory Azure Active Directory
Azure AD Connect Azure AD Connect Azure AD Connect Azure AD Connect
Azure AD Premium (необязательно) Azure AD Premium (требуется для обратной записи устройства) Azure AD Premium (необязательно, для автоматической регистрации в MDM) Azure AD Premium (необязательно, для автоматической регистрации в MDM)

Локальные развертывания

В таблице приведены минимальные требования для каждого развертывания.

Доверие на основе ключей Управление посредством групповых политик Доверие на основе сертификатов Управление посредством групповых политик
Windows10 версии1703 или более поздней Windows10 версии1703 или более поздней
Схема Windows Server2016 Схема Windows Server2016
Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2
Контроллеры домена Windows Server2016 Контроллеры домена Windows Server2008R2 или позднее
Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее
AD FS Windows Server 2016 с обновлением KB4088889 AD FS Windows Server 2016 с обновлением KB4088889
AD FS с сервером Azure MFA илиAD FS со сторонним адаптером MFA AD FS с сервером Azure MFA илиAD FS со сторонним адаптером MFA
Учетная запись Azure (необязательно, для выставления счетов за Azure MFA) Учетная запись Azure (необязательно, для выставления счетов за Azure MFA)

Вопросы и ответы

Можно ли развернуть Windows Hello для бизнеса с помощью System Center Configuration Manager?

Развертывания Windows Hello для бизнеса с использованием System Center Configuration Manager необходимо переместить в гибридную среду, которая использует службы AD FS. После ноября 2018 г. развертывания с использованием System Center Configuration Manager не будут поддерживаться.

Что такое беспарольная стратегия?

Смотрите презентацию старшего руководителя программы Каранбира Сингха под названием Руководство корпорации Майкрософт по отказу от использования паролей на конференции Ignite 2017

Как осуществляется взаимодействие с пользователем в Windows Hello для бизнеса?

После развертывания Windows Hello для бизнеса в вашей среде взаимодействие с пользователем в Windows Hello для бизнеса осуществляется после входа пользователя в систему.

Что произойдет, если пользователь забудет свой ПИН-код?

Если пользователь может войти, используя пароль, он может сбросить свой ПИН-код, перейдя по ссылке «Я не помню свой ПИН-код» в разделе параметров. Начиная с Fall Creators Update пользователи могут сбросить свой ПИН-код в верхней части экрана блокировки, перейдя по ссылке «Я не помню свой ПИН-код» в поставщике учетных данных ПИН-кода.

Для сброса ПИН-кода при локальном развертывании устройства должны быть надежно подключены к локальной сети (контроллерам домена и центру сертификации). Клиенты с гибридным подключением могут зарегистрировать клиента Azure для использования службы сброса ПИН-кода Windows Hello для бизнеса, чтобы сбросить свой ПИН-код без доступа к корпоративной сети.

Обязательно ли иметь контроллеры домена Windows Server2016?

Существует множество вариантов развертывания на выбор. Для некоторых из этих вариантов требуется достаточное количество контроллеров домена Windows Server2016 на сайте, где вы развернули Windows Hello для бизнеса. Существуют другие варианты развертывания, предполагающие использование существующих контроллеров домена Windows Server2008R2 или более поздней версии. Выбирайте вариант развертывания, который лучше всего подходит для вашей среды.

Обеспечивает ли Windows Hello для бизнеса многофакторную идентификацию?

Windows Hello для бизнеса реализует двухфакторную проверку подлинности, основанную на следующих факторах идентификации: что-то, что у вас есть; что-то, что вы знаете; и что-то, что является частью вас. В Windows Hello для бизнеса используется два из этих факторов: что-то, что у вас есть (закрытый ключ пользователя, защищенный модулем безопасности устройства) и что-то, что вы знаете (ваш PIN-код). Имея соответствующее оборудование, вы можете повысить комфорт своих пользователей, добавив биометрические данные. При использовании биометрических данных можно заменить фактор идентификации "что-то, что вы знаете" фактором "что-то, что является частью вас", с гарантией того, что пользователи при необходимости могут вернуться к фактору "что-то, что вы знаете".

Можно ли использовать для разблокировки устройства PIN-код и биометрические данные?

Начиная с Windows 10 версии 1709 можно использовать многофакторную разблокировку, в ходе которой пользователь должен предоставить дополнительные данные для разблокировки устройства. Проверка подлинности остается двухфакторной, но прежде чем Windows предоставит пользователю доступ к рабочему столу, необходимо предоставить дополнительный фактор проверки. Дополнительные сведения о многофакторной разблокировке см. в разделе Компоненты Windows Hello для бизнеса

В чем разница между Windows Hello и Windows Hello для бизнеса?

Windows Hello представляет собой биометрическую платформу, предоставленную в Windows10. Windows Hello позволяет пользователям использовать биометрические данные для входа в свои устройства путем хранения их имени и пароля и предъявления их для проверки подлинности после того, как пользователь успешно идентифицирует себя с помощью биометрических данных. В Windows Hello для бизнеса используются асимметричные ключи, защищенные модулем безопасности устройства, которые требуют для проверки подлинности жеста пользователя (PIN-кода или биометрических данных).

Мы перешли с Active Directory на Azure Active Directory. Можно ли нам использовать локальную модель развертывания?

Нет. Если в вашей организации настроена федерация или используются веб-службы, такие как Office365 или OneDrive, необходимо использовать гибридную модель развертывания. Локальные развертывания предназначены только для организаций, которым нужно больше времени для перехода на облачные технологии и которые используют исключительно Active Directory.

Запрещает ли Windows Hello для бизнеса использование простых PIN-кодов?

Да. Наш простой алгоритм PIN-кодов находит и запрещает любой PIN-код с постоянной разностью между соседними цифрами. Это предотвращает использование повторяющихся и последовательных чисел, а также простых сочетаний. Пример:

  • 1111 имеет постоянную разность 0, поэтому запрещается
  • 1234 имеет постоянную разность 1, поэтому запрещается
  • 1357 имеет постоянную разность 2, поэтому запрещается
  • 9630 имеет постоянную разность -3, поэтому запрещается
  • 1231 не имеет постоянной разности, поэтому разрешается
  • 1593 не имеет постоянной разности, поэтому разрешается

Этот алгоритм не применяется к буквенно-цифровым PIN-кодам.

Как кэширование PIN-кода работает с Windows Hello для бизнеса?

Windows Hello для бизнеса предоставляет пользователям кэширование PIN-кода с помощью системы отслеживания технических проблем. Вместо кэширования PIN-кода процессы кэшируют запрос, который они могут использовать для запроса операций с закрытым ключом. Ключи для входа в Azure AD и Active Directory кэшируются в режиме блокировки. Это означает, что ключи остаются доступными для использования без запроса, если пользователь вошел в систему в интерактивном режиме. Ключи для входа в учетную запись Майкрософт считаются транзакционными, то есть при получении доступа к ключу пользователь всегда получает запрос.

Начиная с Windows 10 Fall Creators Update, использование Windows Hello для бизнеса в форме смарт-карты (включенная по умолчанию эмуляция смарт-карты) обеспечивает то же взаимодействие с пользователем, что и кэширование PIN-кода смарт-карт по умолчанию. При первом использовании каждый процесс, запрашивающий операцию с закрытым ключом, будет запрашивать у пользователя PIN-код. Дальнейшие операции с закрытым ключом не потребуют от пользователя ввода PIN-кода.

Функция эмуляции смарт-карт в Windows Hello для бизнеса проверяет PIN-код, а затем удаляет его в обмен на запрос. Процесс получает не PIN-код, а запрос, предоставляющий операции с закрытыми ключами. Windows 10 не предоставляет параметры групповой политики для изменения этих настроек кэширования.

Можно ли отключить PIN-код при использовании Windows Hello для бизнеса?

Нет. Отказ от паролей обеспечивается постепенным сокращением частоты использования пароля. Если вам не удастся пройти проверку подлинности с помощью биометрических данных, потребуется резервный механизм, не являющийся паролем. PIN-код и является таким механизмом. Отключение или скрытие поставщика PIN-кода привело к отключению возможности использования биометрических данных.

Работает ли Windows Hello для бизнеса со сторонними серверами федерации?

Windows Hello для бизнеса может работать с любыми сторонними серверами, которые поддерживают протоколы, используемые в процессе подготовки. Заинтересованные сторонние разработчики могут направлять свои запросы по адресу [email protected]

Протокол Описание
[MS-KPP]: протокол подготовки ключей Задает протокол подготовки ключей, который определяет механизм регистрации клиентом набора криптографических ключей для пары пользователь/устройство.
[MS-OAPX]: расширения протокола OAuth3.0 Задает расширения протокола OAuth3.0, которые используются для расширения инфраструктуры авторизации OAuth3.0. Эти расширения позволяют использовать такие функции авторизации, как спецификация ресурсов, идентификаторы запросов и подсказки для входа в систему.
[MS-OAPXBC]: расширения протокола OAuth3.0 для клиентов-брокеров Задает расширения протокола OAuth3.0 для клиентов-брокеров — расширения RFC6749 (платформа авторизации OAuth3.0), которые позволяют клиенту-брокеру получать маркеры доступа от имени вызывающих клиентов.
[MS-OIDCE]: расширения протокола OpenID Connect 1.0 Задает расширения протокола OpenID Connect 1.0. Эти расширения определяют дополнительные утверждения для передачи сведений о конечном пользователе, включая имя участника-пользователя, локальный уникальный идентификатор, время истечения срока действия пароля и URL-адрес для смены пароля. Эти расширения также определяют дополнительные метаданные поставщика, которые делают возможным обнаружение издателя маркеров доступа и предоставляют дополнительную информацию о возможностях поставщика.

Работает ли Windows Hello для бизнеса с клиентами Mac и Linux?

Windows Hello для бизнеса — это одна из возможностей, предусмотренных в Windows10. В настоящее время корпорация Майкрософт не разрабатывает клиенты для других платформ. Однако корпорация Майкрософт готова рассмотреть предложения третьих лиц, которым хотелось бы отказаться от паролей на этих платформах. Заинтересованные сторонние разработчики могут направлять свои запросы по адресу [email protected]

docs.microsoft.com

Параметры Windows Hello для бизнеса - Configuration Manager

  • 03/05/2017
  • Время чтения: 8 мин
  • Соавторы

В этой статье

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

System Center Configuration Manager можно интегрировать с Windows Hello для бизнеса (прежнее название — Microsoft Passport для Windows) — альтернативным методом входа на устройства Windows 10.System Center Configuration Manager lets you integrate with Windows Hello for Business (formerly Microsoft Passport for Windows), which is an alternative sign-in method for Windows 10 devices. Hello для бизнеса использует учетную запись Active Directory или Azure Active Directory для замены пароля, смарт-карты или виртуальной смарт-карты.Hello for Business uses Active Directory, or an Azure Active Directory account to replace a password, smart card, or virtual smart card.

Hello для бизнеса позволяет использовать для входа жест пользователя , а не пароль.Hello for Business lets you use a user gesture to login, instead of a password. Жестом пользователя может быть простой ПИН-код, биометрическая проверка подлинности или внешнее устройство, например считыватель отпечатков пальцев.A user gesture might be a simple PIN, biometric authentication, or an external device such as a fingerprint reader.

Configuration Manager интегрируется с Windows Hello для бизнеса двумя способами.Configuration Manager integrates with Windows Hello for Business in two ways:

  • Вы можете использовать Configuration Manager для управления тем, какие жесты пользователи могут и не могут использовать для входа.You can use Configuration Manager to control which gestures users can and cannot use to sign in.

  • Хранение сертификатов проверки подлинности в поставщике хранилища ключей (KSP) Windows Hello для бизнеса.You can store authentication certificates in the Windows Hello for Business key storage provider (KSP). Дополнительные сведения см. в разделе Профили сертификатов.For more information, see Certificate profiles.

  • Вы можете развернуть политики Windows Hello для бизнеса на присоединенных к домену устройствах Windows 10, на которых выполняется клиент Configuration Manager.You can deploy Windows Hello for Business policies to domain-joined Windows 10 devices that run the Configuration Manager client. Эта конфигурация описывается в разделе Настройка Windows Hello для бизнеса на присоединенных к домену устройствах Windows 10.This configuration is described in Configure Windows Hello for Business on domain-joined Windows 10 devices. Если вы используете Configuration Manager с Intune (гибридная среда), то можете настроить эти параметры на устройствах Windows 10 и Windows 10 Mobile, но не на присоединенных к домену устройствах, на которых выполняется клиент Configuration Manager.When you are using Configuration Manager with Intune (hybrid), you can configure these settings on Windows 10, and Windows 10 Mobile devices, but not on domain-joined devices that run the Configuration Manager client.

Общие сведения о конфигурации параметров Windows Hello для бизнеса см. в статье Параметры Windows Hello для бизнеса в System Center Configuration Manager.For general information about configuring Windows Hello for Business settings, see Windows Hello for Business settings in System Center Configuration Manager.

Настройка параметров Windows Hello для бизнеса (гибридное управление)Configure Windows Hello for Business settings (hybrid)

  1. В консоли Configuration Manager последовательно выберите Администрирование > Облачные службы > Подписки Microsoft Intune.In the Configuration Manager console, click Administration > Cloud Services > Microsoft Intune Subscriptions.

  2. В списке выберите подписку Microsoft Intune и затем на вкладке Главная в группе Подписки щелкните Настройка платформ > Windows (MDM).From the list, select your Microsoft Intune subscription and then, in the Home tab, in the Subscription group, click Configure Platforms > Windows (MDM).

  3. На вкладке Windows Hello для бизнеса в диалоговом окне Свойства подписки Microsoft Intune выберите следующие значения, которые повлияют на все зарегистрированные устройства Windows 10 и Windows 10 Mobile.On the Windows Hello for Business tab of the Microsoft Intune Subscription Properties dialog box, choose from the following values that will affect all enrolled Windows 10 and Windows 10 Mobile devices:

    • Отключить Windows Hello для бизнеса на зарегистрированных устройствах или Включить Windows Hello для бизнеса на зарегистрированных устройствах . Этот флажок включает или отключает использование Windows Hello для бизнеса на всех зарегистрированных устройствах Windows 10 и Windows 10 Mobile.Disable Windows Hello for Business on enrolled devices or Enable Windows Hello for Business on enrolled devices - Enables or disables the use of Windows Hello for Business on all enrolled Windows 10 and Windows 10 Mobile devices.

    • Использовать доверенный платформенный модуль (TPM) . Микросхема доверенного платформенного модуля (TPM) обеспечивает дополнительный уровень защиты данных.Use a Trusted Platform Module (TPM) - A Trusted Platform Module (TPM) chip provides an additional layer of data security. Выберите одно из следующих значений:Choose one of the following values:

      • Обязательный (по умолчанию) — предоставлять Windows Hello для бизнеса могут только устройства с доступным модулем TPM.Required (default) - Only devices with an accessible TPM can provision Windows Hello for Business.

      • Предпочитаемый — устройства сначала пытаются использовать модуль TPM.Preferred - Devices first attempt to use a TPM. Если оно недоступно, они могут использовать шифрование программного обеспеченияIf this is not available, they can use software encryption

    • Требовать минимальную длину ПИН-кода . Укажите минимальное количество знаков, необходимых для ПИН-кода Windows Hello для бизнеса.Require minimum PIN length - Specify the minimum number of characters required for the Windows Hello for Business PIN. Необходимо использовать по меньшей мере 4 знака (значение по умолчанию — 6 знаков).You must use at least 4 characters (the default value is 6 characters).

    • Требовать максимальную длину ПИН-кода . Укажите максимальное количество знаков, разрешенных для ПИН-кода Windows Hello для бизнеса.Require maximum PIN length - Specify the maximum number of characters allowed for the Windows Hello for Business PIN. Можно использовать не более 127 символов.You can use up to 127 characters.

    • Требовать строчные буквы в ПИН-коде . Указывает, обязательно ли использовать строчные буквы в ПИН-коде Windows Hello для бизнеса.Require lowercase letters in PIN - Specifies whether lowercase letters must be used in the Windows Hello for Business PIN. Выберите один из следующих типов.Choose from:

      • Разрешено — пользователи могут использовать строчные буквы в своих ПИН-кодах.Allowed - Users can use lowercase characters in their PIN.

      • Обязательно — пользователи должны включить по меньшей мере одну строчную букву в свои ПИН-коды.Required - Users must include at least one lowercase character in their PIN.

      • Запрещено (по умолчанию) — пользователи не должны использовать строчные буквы в своих ПИН-кодах.Not allowed (default) - Users must not use lowercase characters in their PIN.

    • Требовать прописные буквы в ПИН-коде . Указывает, обязательно ли использовать прописные буквы в ПИН-коде Windows Hello для бизнеса.Require uppercase letters in PIN - Specifies whether uppercase letters must be used in the Windows Hello for Business PIN. Выберите один из следующих типов.Choose from:

      • Разрешено — пользователи могут использовать прописные буквы в своих ПИН-кодах.Allowed - Users can use uppercase characters in their PIN.

      • Обязательно — пользователи должны включить по меньшей мере одну прописную букву в свои ПИН-коды.Required - Users must include at least one uppercase character in their PIN.

      • Запрещено (по умолчанию) — пользователи не должны использовать прописные буквы в своих ПИН-кодах.Not allowed (default) - Users must not use uppercase characters in their PIN.

    • Требовать наличия специальных символов . Указывает, обязательно ли использовать специальные знаки в ПИН-коде.Require special characters - Specifies the use of special characters in the PIN. Выберите один из следующих типов.Choose from:

      • Разрешено — пользователи могут использовать специальные символы в своих ПИН-кодах.Allowed - Users can use special characters in their PIN.

      • Обязательно — пользователи должны включить по меньшей мере один специальный символ в свои ПИН-коды.Required - Users must include at least one special character in their PIN.

      • Запрещено (по умолчанию) — пользователи не должны использовать специальные символы в своих ПИН-кодах (это поведение, используемое, если параметр не задан).Not allowed (default) - Users must not use special characters in their PIN (this is also the behavior if the setting is not configured).

        В число специальных символов входят следующие: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.Special characters include: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.

    • Требовать указание срока действия ПИН-кода (в днях). Указывает число дней до смены ПИН-кода устройства.Require PIN expiration (days) - Specifies the number of days before the device PIN must be changed. Значение по умолчанию — 41 день.The default is 41 days.

    • Запрещать повторное использование ПИН-кодов . Этот параметр используется для запрета повторного использования ранее использовавшихся ПИН-кодов.Prevent reuse of previous PINS - Use this setting to restrict the re-use of previously used PINS. Значение по умолчанию — последние 5 использовавшихся ПИН-кодов нельзя использовать повторно.The default is the last 5 PINS used cannot be reused.

    • Включить биометрические жесты . Включает биометрическую проверку подлинности, например распознавание лиц или отпечатков пальцев, в качестве альтернативы ПИН-кода для Windows Hello для бизнеса.Enable biometric gestures - Enables biometric authentication such as facial recognition or fingerprint as an alternative to a PIN for Windows Hello for Business. В случае сбоя биометрической проверки подлинности пользователи по-прежнему должны будут настраивать рабочий ПИН-код.Users must still configure a work PIN in case biometric authentication fails.

      Если задано значение Включено, Windows Hello для бизнеса допускает биометрическую проверку подлинности.If set to Enabled, Windows Hello for Business allows biometric authentication. Если задано значение Отключено, Windows Hello для бизнеса запрещает биометрическую проверку подлинности (для всех типов учетных записей).If set to Disabled, Windows Hello for Business prevents biometric authentication (for all account types).

    • Использовать расширенную защиту от спуфинга (при наличии) . Этот параметр настраивает возможность использования расширенной функции защиты от спуфинга на устройствах, поддерживающих эту функцию.Use enhanced anti-spoofing, when available - Configures whether enhanced anti-spoofing is used on devices that support it.

      Если задано значение Включено, Windows требует, чтобы все пользователи прибегали к функции защиты от подмены в случае применения возможностей распознавания лиц (если поддерживается).If set to Enabled, Windows requires all users to use anti-spoofing for facial features when supported.

    • Использовать удаленный Passport . Если для этого параметра задано значение Включено, пользователи могут использовать удаленную службу Hello для бизнеса в качестве переносимого устройства-компаньона для проверки подлинности настольного компьютера.Use Remote Passport - If this option is set to Enabled, users can use a remote Hello for Business to serve as a portable companion device for desktop computer authentication. Настольный компьютер должен входить в состав Azure Active Directory, а устройство-компаньон должно быть настроено для использования ПИН-кода Windows Hello для бизнеса.The desktop computer must be Azure Active Directory joined, and the companion device must be configured with a Windows Hello for Business PIN.

  4. Завершив настройку, нажмите кнопку ОК.When you are finished, click OK.

См. такжеSee also

Защита данных и инфраструктуры сайтов с помощью System Center Configuration ManagerProtect data and site infrastructure with System Center Configuration Manager

Управление проверкой личности с помощью Windows Hello для бизнеса.Manage identity verification using Windows Hello for Business.

docs.microsoft.com

Windows Hello и конфиденциальность - WindowsInsider.ru

Функция Windows Hello — это новый способ входа на ваши устройства, в приложения, веб-службы и сети. Этот способ безопаснее применения пароля, так как в этом случае используется «биометрическая проверка подлинности», то есть вы входите через распознавание лица, радужной оболочки глаз или отпечатка пальца (либо с помощью PIN-кода).

Несмотря на то, что ваше устройство с Windows 10 поддерживает функцию Windows Hello, вам необязательно ее использовать. Если вы решите этого не делать, вы можете быть уверены, что информация, позволяющая идентифицировать ваше лицо, радужную оболочку или отпечаток пальца останется только на вашем устройстве. Windows никогда не хранит изображения или фотографии вашего лица, радужной оболочки глаз и отпечатков пальцев на телефоне или где-либо еще.

Какие данные собираются и почему

При настройке Windows Hello эта служба получает данные лица, радужной оболочки или отпечатка пальца и создает представление данных. Это не изображение, а скорее график, который зашифровывается перед сохранением на устройстве.

Для того, чтобы обеспечить правильную работу, определение и предотвращение мошенничества и продолжить улучшать Windows Hello, мы собираем информацию о том, как люди используют эту функцию. Например, сведения о том, осуществляют ли пользователи проверку подлинности с помощью лица, радужной оболочки, отпечатка пальца или ПИН-кода и количестве успешных и неудачных попыток проверки подлинности, представляют собой ценную информацию, которая помогает нам улучшить продукт. Эти данные не содержат информации, которую можно использовать для установления вашей личности, и зашифровываются перед отправкой корпорации Майкрософт.

Управление функцией Windows Hello

Чтобы включить функцию Windows Hello, откройте Параметры  > Учетные записи > Параметры входа и выберите Windows Hello. Если вы не видите пункт Windows Hello в параметрах входа, эта функция может быть недоступна на вашем устройстве.

Чтобы отключить эту функцию, откройте Параметры  > Учетные записи > Параметры входа и выключите параметр Автоматическая разблокировка экрана при распознавании пользователя.

Для удаления идентификационных данных откройте Параметры  > Учетные записи > Параметры входа. В разделе Windows Hello выберите Удалить.

Источник — https://privacy.microsoft.com

Похожее

windowsinsider.ru

Биометрия Windows Hello на предприятии (Windows 10)

  • 07/27/2017
  • Время чтения: 4 мин
  • Соавторы
    • Dani Halfin
    • olprod

В этой статье

Относится к:

Windows Hello — это функция биометрической проверки подлинности, повышающая ее надежность и обеспечивающая защиту от возможного спуфинга благодаря сопоставлению отпечатков пальцев и распознаванию лиц.

Примечание

В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Для тех клиентов, которым еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

В связи с предсказуемой востребованностью этой новой технологии предприятиями Microsoft активно сотрудничала с производителями устройств с целью получения конкретных рекомендаций относительно дизайна и производительности, чтобы внедрение Windows Hello в организациях проходило максимально гладко.

В чем состоит принцип работы Windows Hello?

Windows Hello позволяет сотрудникам использовать в качестве альтернативного способа разблокировки устройства отпечатки пальцев или распознавание лиц. В случае использования Windows Hello проверка подлинности выполняется при вводе сотрудником его/ее уникального биометрического идентификатора во время получения доступа к учетным данным Windows Hello конкретного устройства.

Функция проверки Windows Hello используется для проверки подлинности и подтверждения доступа сотрудников к корпоративной сети. Эта функция не дает возможности перемещения между устройствами, не предполагает передачу данных на сервер и не может быть легко удалена с устройства. Если одно устройство используют несколько сотрудников, то каждый из них будет получать доступ с помощью своих собственных биометрических данных.

Почему сотрудникам следует разрешить использовать Windows Hello?

Windows Hello имеет множество преимуществ, в том числе следующие:

  • Эта функция повышает уровень защиты учетных данных от кражи. Поскольку злоумышленнику необходимо получить одновременно устройство и биометрические данные или ПИН-код, сделать это незаметно для пользователя значительно сложнее.

  • Сотрудники получают возможность простой проверки подлинности (с альтернативным способом доступа с помощью ПИН-кода), которая всегда доступна для них. Проблема забытых паролей теперь не актуальна!

  • Поддержка Windows Hello встроена в операционную систему, поэтому добавлять дополнительные биометрические устройства и политики в рамках скоординированного выпуска или для отдельных сотрудников или групп можно с использованием групповой политики или поставщика служб конфигурации (CSP) управления мобильными устройствами (MDM).Дополнительные сведения о доступных групповых политиках и поставщиках служб конфигурации MDM см. в разделе Развертывание Windows Hello для бизнеса в организации.

Где хранятся данные Microsoft Hello?

Биометрические данные, используемые функцией Windows Hello, хранятся только на локальном устройстве. Они не перемещаются и никогда не передаются на внешние устройства или серверы. Такое разделение обеспечивает защиту от возможных атак за счет отсутствия единственной точки сбора, которая может быть скомпрометирована, в результате чего злоумышленник получит доступ к биометрическим данным. Кроме того, даже если злоумышленник получит доступ к биометрическим данным, их будет крайне сложно преобразовать в форму, распознаваемую биометрическим датчиком.

Установила ли корпорация Майкрософт какие-либо требования к устройствам для использования Windows Hello?

Мы тесно сотрудничали с производителями устройств, чтобы добиться высокого уровня производительности и защиты для каждого датчика и устройства на основе следующих требований:

  • Коэффициент ложного пропуска (FAR). Показатель, определяющий частоту предоставления решением для биометрической идентификации доступа лицам, не имеющим соответствующих полномочий. Как правило, это количество случаев на заданный объем выборки, например 1 к 100 000. Этот показатель также можно представить в виде процентного значения, например 0,001%. Он считается наиболее важным с точки зрения безопасности биометрического алгоритма.

  • Коэффициент ложного отказа в доступе (FRR). Показатель, определяющий частоту некорректных отказов в предоставлении решением для биометрической идентификации доступа лицам, имеющим соответствующие полномочия. Обычно выражен процентным значением; сумма коэффициентов ложного пропуска и ложного отказа в допуске равна 1. Может иметь или не иметь защиту от подделывания или функцию определения живучести.

Требования датчику для сканирования отпечатков пальцев

Чтобы разрешить сопоставление отпечатков пальцев, необходимо использовать устройства с датчиками для сканирования отпечатков и соответствующее программное обеспечение. Датчики для сканирования отпечатков пальцев или датчики, использующие уникальные отпечатки пальцев сотрудника как дополнительный способ входа в систему, могут быть сенсорными датчиками (с большой или малой областью сканирования) или датчиками с поддержкой движения пальцем. Для каждого типа датчика применим собственный набор подробных требований, которые должны быть реализованы производителями; при этом все датчики должны обладать свойствами защиты от подделывания (обязательное требование).

Допустимый диапазон производительности для сенсорных датчиков с любым размером области сканирования

  • Коэффициент ложного пропуска (FAR): <0,001–0,002 %

  • Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %

Допустимый диапазон производительности для датчиков с поддержкой движения пальцем

  • Коэффициент ложного пропуска (FAR): <0,002 %

  • Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %

Датчики распознавания лиц

Чтобы разрешить распознавание лиц, необходимо использовать устройства со специальными встроенными особенными инфракрасными датчиками (IR) и соответствующим программным обеспечением. Датчики распознавания лиц используют специальные камеры, работающие в инфракрасном свете, что позволяет при сканировании черт лица сотрудника выявлять разницу между фотографией и живым человеком. Такие датчики, как и датчики для сканирования отпечатков пальцев, должны обладать свойствами защиты от подделывания (обязательное требование) и предоставлять возможность настройки (дополнительно).

  • Коэффициент ложного пропуска (FAR): <0,001 %

  • Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: <5 %

  • Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %

Статьи по теме

docs.microsoft.com

Принципы работы Windows Hello для бизнеса (Windows 10)

  • 10/16/2017
  • Время чтения: 11 мин
  • Соавторы
    • Dani Halfin
    • olprod

В этой статье

Относится к:

  • Windows10
  • Windows10 Mobile

Windows Hello для бизнеса работает только на зарегистрированных устройствах. После настройки устройства пользователь может проходить проверку подлинности в службах. В этом разделе описывается регистрация устройств: что происходит, когда пользователь запрашивает проверку подлинности, как хранится и обрабатывается материал ключа, какие серверы и компоненты инфраструктуры задействуются на различных этапах этого процесса.

Регистрация нового пользователя или устройства

Регистрация устройства позволяет расширить его функциональность. После регистрации пользователь может безопасно подключаться к сети организации, скачивать данные, управлять ими и создавать новые жесты Windows Hello для защиты устройства. В терминологии Майкрософт процесс настройки устройства для использования Windows Hello называется регистрацией.

Примечание

Помимо настройки устройств необходимо настроить инфраструктуру Active Directory или Azure Active Directory (Azure AD) для работы с Windows Hello. Информацию о настройке см. в статье Управление функцией Windows Hello для бизнеса в организации. Инфраструктуру организации необходимо настроить перед регистрацией пользователей.

Процесс регистрации происходит следующим образом.

  1. Пользователь настраивает учетную запись на устройстве. Это может быть локальная учетная запись на устройстве, доменная учетная запись, хранящаяся в локальном домене Active Directory, учетная запись Майкрософт или учетная запись Azure AD. На новом устройстве регистрация выполняется так же просто, как вход под учетной записью Майкрософт. При входе под учетной записью Майкрософт на устройстве с Windows 10 функция Windows Hello настраивается автоматически. Никаких дополнительных действий не требуется.
  2. Чтобы войти под этой учетной записью, нужно ввести имеющиеся учетные данные. Поставщик удостоверений (IDP), "владеющий" учетной записью, получает учетные данные и проверяет подлинность пользователя. Эта проверка подлинности IDP может использовать имеющийся второй фактор проверки подлинности или подтверждение. Например, пользователь, который регистрирует новое устройство с использованием учетной записи Azure AD, должен предоставить подтверждение по SMS, отправляемое Azure AD.
  3. Когда пользователь предоставит поставщику удостоверений подтверждение, включится проверка подлинности, при которой используется ПИН-код. ПИН-код будет связан с предоставленными учетными данными. Пользователь может использовать ПИН-код сразу после его настройки.

Выбранный ПИН-код связан с комбинацией активной учетной записи и конкретного устройства. Длина и сложность ПИН-кода должны соответствовать политике, настроенной администратором и применяемой на стороне устройства. Ниже перечислены другие поддерживаемые сценарии интеграции Windows Hello.

  • При переходе с операционной системы Windows 8.1 пользователь входит с использованием имеющегося корпоративного пароля. В результате включается дополнительный фактор проверки подлинности на стороне IDP (при необходимости). После получения и возврата подтверждения (например, сообщения SMS или голосового кода) IDP проверяет подлинность пользователя на устройстве, обновленном до Windows 10, и пользователь может настроить ПИН-код.
  • Если для входа в систему используется смарт-карта, пользователю будет предложено настроить ПИН-код при первом входе на новое устройство с Windows 10.
  • Если для входа в систему используется виртуальная смарт-карта, пользователю также будет предложено настроить ПИН-код при первом входе на новое устройство с Windows 10.

После завершения регистрации Windows Hello создает на устройстве новую пару из открытого и закрытого ключа. Доверенный платформенный модуль создает закрытый ключ и обеспечивает его защиту. Если на устройстве нет этого модуля, закрытый ключ шифруется и сохраняется программно. Этот начальный ключ называется защитным ключом. Он связан только с одним жестом. Другими словами, если пользователь зарегистрирует PIN-код, отпечаток пальца и лицо на одном устройстве, каждый из этих жестов будет связан со своим уникальным защитным ключом. Для каждого отдельного жеста создается уникальный защитный ключ. Защитный ключ представляет собой надежную оболочку для ключа проверки подлинности. Для контейнера создается только один ключ проверки подлинности, но может существовать несколько копий этого ключа, помещенных в оболочку разных уникальных защитных ключей. Кроме того, Windows Hello создает административный ключ, с помощью которого пользователь или администратор может при необходимости сбросить учетные данные. В дополнение к защитному ключу на устройствах с поддержкой TPM создается блок данных, содержащих аттестации из TPM.

На данном этапе у пользователя есть созданный на устройстве PIN-жест и связанный с этим PIN-жестом защитный ключ. Это означает, что пользователь может безопасно войти на это устройство с использованием ПИН-кода, установить доверенный сеанс и добавить биометрический жест в качестве альтернативы ПИН-коду. При добавлении биометрического жеста выполняются аналогичные действия: пользователь проходит проверку подлинности по PIN-коду и регистрирует новый биометрический жест ("улыбнитесь в камеру!"), а Windows формирует уникальную пару ключей и надежно сохраняет ее. В будущем при входе в систему можно либо вводить ПИН-код, либо использовать зарегистрированные биометрические жесты.

Что такое контейнер?

Термин контейнер часто употребляется в связи с решениями для управления мобильными устройствами (MDM). Этот термин также применяется в отношении Windows Hello, но его значение немного отличается. Контейнер в данном контексте — это краткое название логически сгруппированного материала ключа или данных. Windows Hello в операционной системе Windows 10 использует один контейнер, в котором хранится материал ключа пользователя для личных учетных записей, в том числе материал ключа, связанный с пользовательской учетной записью Майкрософт или другими клиентскими поставщиками удостоверений. Этот контейнер также содержит учетные данные, связанные с рабочей или учебной учетной записью.

Контейнер с корпоративными учетными данными есть только на устройствах, зарегистрированных в организации. Он содержит материал ключа корпоративных IDP, таких как локальная инфраструктура Active Directory или Azure AD.

Важно помнить, что ни на диске, ни в реестре, ни где-либо еще не создается никаких физических контейнеров. Контейнеры являются логическими единицами, где группируются связанные элементы. Защита ключей, сертификатов и учетных данных, хранящихся в Windows Hello, обеспечивается без создания реальных контейнеров или папок.

Контейнер фактически содержит набор ключей, и некоторые из них используются для защиты других ключей. На приведенном ниже рисунке показан пример: защитный ключ используется для шифрования ключа проверки подлинности, а ключ проверки подлинности используется для шифрования отдельных ключей, хранящихся в контейнере.

Каждый логический контейнер содержит один или несколько наборов ключей

Контейнеры могут содержать несколько типов материала ключей.

  • Ключ проверки подлинности, который всегда является асимметричной парой «открытый/закрытый ключ». Эта пара ключей генерируется при регистрации. Ее необходимо разблокировать при каждом обращении к ней, используя любой PIN-код или сформированный ранее биометрический жест. Ключ проверки подлинности существует до тех пор, пока пользователь не сбросит PIN-код. При этом будет сформирован новый ключ. Когда создается новый ключ, весь материал ключа, ранее защищенный старым ключом, необходимо расшифровать и заново зашифровать с использованием нового ключа.
  • Виртуальные ключи смарт-карты создаются при формировании виртуальной смарт-карты и безопасно хранятся в контейнере. Они доступны всегда, если контейнер пользователя не заблокирован.
  • Ключ IDP. В зависимости от используемого IDP эти ключи могут быть симметричными или асимметричными. Один контейнер может не содержать ни одного ключа или содержать несколько ключей IDP с некоторыми ограничениями (например, контейнер предприятия может не содержать ни одного ключа или содержать один ключ IDP). Ключи IDP хранятся в контейнере. Если используется Windows Hello for Work на основе сертификата и контейнер не заблокирован, то приложения, которым требуется доступ к ключу IDP или паре ключей, могут запрашивать доступ. Ключи IDP используются для входа или шифрования запросов или маркеров проверки подлинности, отправляемых с данного устройства поставщику удостоверений. Как правило, ключи IDP используются в течение длительного времени, однако срок их службы может быть меньше, чем у ключа проверки подлинности. Для учетных записей Майкрософт, Active Directory и Azure AD требуется использовать пары асимметричных ключей. Устройство создает открытый и закрытый ключи, регистрирует открытый ключ на IDP (где он сохраняется для проверки в дальнейшем) и безопасно сохраняет закрытый ключ. В организации ключи IDP могут создаваться двумя способами.
    • Пару ключей IDP можно связать с центром сертификации предприятия (ЦС) посредством службы регистрации сертификатов для сетевых устройств (NDES), которая подробно описана в Руководстве по службе регистрации сертификатов для сетевых устройств. В этом случае Windows Hello запрашивает новый сертификат с тем же ключом, что и у сертификата из существующей инфраструктуры PKI. Этот параметр позволяет организациям, у которых уже есть PKI, продолжать при необходимости использовать его. С учетом того, что многие приложения (например, популярные системы виртуальной частной сети) требуют использования сертификатов, развертывание Windows Hello в этом режиме позволяет быстрее отказаться от паролей, сохранив при этом функциональность на основе сертификатов. Этот параметр также дает предприятию возможность хранить в защищенном контейнере дополнительные сертификаты.
    • IDP может сформировать пару ключей IDP напрямую, что позволяет быстро и без лишних затрат развертывать Windows Hello в средах, где нет инфраструктуры PKI или она не требуется.

Принципы защиты ключей

Каждый раз при формировании материала ключа его необходимо защищать от атак. Самым надежным способом обеспечения такой защиты является использование специализированного оборудования. У использования аппаратных модулей безопасности для создания, хранения и обработки ключей для приложений, безопасность которых имеет важнейшее значение, длительная история. Смарт-карты представляют собой особый тип аппаратных модулей безопасности, как и устройства, совместимые со стандартом TPM организации TCG. Как правило, реализация Windows Hello for Work обеспечивает создание и защиту ключей с использованием имеющегося оборудования доверенного платформенного модуля. Тем не менее функции Windows Hello и Windows Hello for Work не требуют наличия оборудования TPM. Администраторы могут разрешить операции с ключами в программном обеспечении. В этом случае любой пользователь, обладающий правами администратора на устройстве (или получивший эти права), может использовать ключи IDP для подписания запросов. В качестве альтернативы в некоторых случаях проверку подлинности устройств, не имеющих TPM, можно выполнять удаленно с помощью устройства, на котором есть TPM. В этом случае все конфиденциальные операции выполняются с помощью TPM, и доступ к материалу ключа не предоставляется.

Майкрософт рекомендует всегда использовать оборудование TPM. TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. Кроме того, TPM обеспечивает дополнительный уровень защиты после блокировки учетной записи. Когда TPM заблокировал материала ключа, пользователю необходимо сбросить PIN-код (а это значит, что ему придется повторно пройти проверку подлинности в IDP с использованием MFA, и только после этого IDP позволит ему повторно зарегистрироваться). Сброс PIN-кода означает, что все ключи и сертификаты, зашифрованные с использованием материала старого ключа, будут удалены.

Проверка подлинности

Если пользователь хочет получить доступ к материалу защищенного ключа, запускается процесс проверки подлинности, в ходе которого пользователь разблокирует устройство с помощью PIN-кода или биометрического жеста. Этот процесс иногда называют освобождением ключа. Представьте себе обычный ключ от входной двери: прежде чем отпереть дверь, ключ нужно достать из кармана или сумки. ПИН-код пользователя разблокирует защитный ключ для контейнера на устройстве. Когда контейнер разблокирован, приложения (а следовательно и пользователь) могут использовать все ключи IDP, находящиеся внутри контейнера.

Эти ключи используются для подписания запросов, отправляемых IDP для получения доступа к определенным ресурсам. Важно понимать, что, хотя ключи и разблокированы, приложения не могут использовать их по своему усмотрению. Приложения могут использовать определенные API-интерфейсы для запроса операций, которым для выполнения определенных действий требуется материал ключа (например, для расшифровки почты или входа на веб-сайт). Для доступа с использованием этих API-интерфейсов не требуется явная проверка по жесту пользователя, а материал ключа не предоставляется запрашивающему приложению. Вместо этого приложение запрашивает проверку подлинности, шифрование и расшифровку, а на уровне Windows Hello выполняются фактические операции и возвращаются результаты. Если это целесообразно, приложение может запрашивать принудительную проверку подлинности даже на разблокированном устройстве. Windows предлагает пользователю повторно ввести PIN-код или произвести жест проверки подлинности, что добавляет дополнительный уровень защиты для конфиденциальных данных или действий. Например, в Microsoft Store можно настроить запрос повторной проверки подлинности. Проверка подлинности будет запрашиваться каждый раз, когда пользователь покупает приложение, даже если для разблокирования устройства использовалась та же учетная запись и PIN-код или тот же жест.

Например, проверка подлинности в Azure Active Directory осуществляется следующим образом.

  1. Клиент отправляет поставщику удостоверений пустой запрос на проверку подлинности. (Делается это только для подтверждения установления связи.)
  2. IDP возвращает задачу, которая называется nonce.
  3. Устройство подписывает элемент nonce соответствующим закрытым ключом.
  4. Устройство возвращает исходный элемент nonce, подписанный элемент nonce и идентификатор ключа, который использовался для подписания элемента nonce.
  5. IDP получает открытый ключ, указанный идентификатором ключа, проверяет с его помощью подпись на элементе nonce, а также проверяет соответствие элемента nonce, возвращенного устройством, первоначальному элементу nonce.
  6. Если все проверки, выполняемые на шаге 5, проходят успешно, IDP возвращает два элемента данных: симметричный ключ, который зашифрован с помощью открытого ключа устройства, и маркер безопасности, зашифрованный с помощью симметричного ключа.
  7. Устройство расшифровывает симметричный ключ с помощью своего закрытого ключа, а затем расшифровывает маркер с помощью этого симметричного ключа.
  8. Устройство выполняет обычный запрос проверки подлинности для первоначального ресурса, передавая маркер, полученный от IDP, в качестве подтверждения проверки подлинности.

При проверке подписи IDP удостоверяет, что запрос поступил от указанного пользователя и устройства. Закрытый ключ устройства подписывает элемент nonce, что позволяет IDP определить удостоверение запрашивающих пользователя и устройства с тем, чтобы можно было применить политики для доступа к содержимому с учетом пользователя, типа устройств или и того и другого. Например, IDP может разрешить доступ к одному набору ресурсов только с мобильных устройств, а к другому набору — только с настольных компьютеров.

Инфраструктура

Для работы Windows Hello требуются совместимые IDP. На момент написания этой статьи существует четыре варианта развертывания.

  • Использование существующей PKI на базе Windows, сосредоточенной вокруг служб сертификации Active Directory. Для реализации этого варианта потребуется дополнительная инфраструктура, включая средства выдачи сертификатов пользователям. Можно использовать службу NDES для прямой регистрации устройств либо службу Microsoft Intune, позволяющую управлять мобильными устройствами, зарегистрированными в Windows Hello.
  • Обычный механизм обнаружения, используемый клиентами для поиска контроллеров домена и глобальных каталогов, основан на записях SRV DNS, однако в этих записях отсутствует информация о версии. Компьютеры с Windows 10 запрашивают записи SRV в DNS, чтобы найти все доступные серверы Active Directory, а затем опрашивают каждый сервер, чтобы определить, какой из них можно использовать в качестве IDP для Windows Hello. Количество запросов на проверку подлинности, формируемых пользователями, местонахождение пользователей и структура сети — от этих параметров зависит необходимое количество контроллеров домена с Windows Server 2016.
  • Azure AD может функционировать в качестве IDP самостоятельно или совместно с локальным лесом AD DS. Организации, использующие Azure AD, могут регистрировать устройства напрямую, не присоединяя их к локальному домену. Для этого используется функциональность службы регистрации устройств Azure AD. Помимо IDP для Windows Hello требуется система MDM. В качестве этой системы может выступать облачная служба Intune (если используется Azure AD) или локально развернутый экземпляр System Center Configuration Manager, отвечающий требованиям к системе, описанным в разделе "Требования к развертыванию" этого документа.

Статьи по теме

docs.microsoft.com

Windows Hello охватила все устройства — что это такое и как теперь жить?

Когда вокруг миллионы гаджетов, сервисов и программных средств улучшения нашей с вами жизни, процедура авторизации начинает занимать всё больше времени.

Здесь такой код, там другой. Когда-то был маленький листочек с записями аккаунтов, а теперь он превратился в толстенькую книжечку. Либо, что того хуже, пользователь начинает везде применять одни и те же пароли.

Microsoft с релизом Windows 10 пообещала перевернуть наше представление об использовании компьютеров. И сдержала его, когда в планшетах, ноутбуках и настольных системах появился одинаково удобный интерфейс с набором давным-давно востребованных современных функций.

Видное место среди них заняла биометрическая служба Windows для аутентификации пользователя. Она способна автоматизировать процесс введения логина и пароля путём простого приложения пальца к дактилоскопическому считывателю отпечатков. А ещё глубинным (трёхмерным) сканированием лица.

Эта идея в совокупности с сервисом Microsoft Passport со временем образовала Windows Hello.

Microsoft даёт такое определение Windows Hello в Windows 10 — это двухфакторная проверка операционной системой личности пользователя, как на компьютерах, так и на мобильных устройствах. Уникальная система организации учётных записей нового поколения с применением PIN-кода и биометрических данных (сканирование отпечатков пальцев и распознавание лица).

Для обычного человека, который совершает покупки в Интернете, проводит время в социальных сетях, работает с документами и ведёт корпоративную переписку Windows Hello в Windows 10 решает следующие проблемы:

• избавляет от необходимости запоминать пароли и логины;

• ускоряет процесс авторизации в различных программах и сервисах до 2 секунд;

• исключает мошеннический доступ к пользовательским данным;

• устраняет опасность зловредного кода различных «троянов»;

• в случае утечек из-за сетевых проблем сохраняет конфиденциальность.

Повышенный уровень защиты личных данных — основное предназначение Windows Hello. Вход в Windows 10 по отпечатку пальцев в особенности будет эффективен в организациях, дорожащих корпоративными сведениями и коммерческой информацией.

Для этих целей Microsoft разработала усиленный инструмент «Windows Hello для бизнеса» с проверкой подлинности на основе сертификата. Настройка системы производится через групповые политики (или MDM при объединении десктопной Windows 10 и смартфонной Windows 10 Mobile) и Active Directory (в семействе Windows Server).

Активировать и настроить Windows Hello можно в разделе настроек Windows 10 «Учётные записи -> Параметры входа». Убедитесь, что функция вам доступна.

Необходимо ввести PIN-код, на который будет откликаться система. Камере достаточно одного взгляда на ваше лицо, чтобы запомнить его уникальные черты.

При таком способе авторизации не срабатывает распознавание по фото — нужны объёмные формы.

Для расширения доступа к компьютеру есть опция «Семья и другие люди», где вы можете «Добавить пользователя». Единственное требование — наличие электронной почты аккаунта Microsoft.

Что делать, если у вас компьютер или ноутбук с Windows 10, но Windows Hello недоступна на этом устройстве и не работает? То есть появляется соответствующая ошибка и функция не активируется. В такой ситуации нужно убедиться в наличии сканера отпечатков пальцев, инфракрасного датчика с подсветкой или других источников получения биометрических данных. Проверьте, установлены ли на них драйвера.

Для связки с Windows Hello лучше всего воспользоваться самыми современными биометрическими устройствами. Microsoft поддерживает свыше сотни разновидностей датчиков считывания в уникальных форм-факторах.

Одним из самых инновационных из них является Microsoft Kinect — известный на весь мир игровой «контроллер без контроллера» с веб-камерой, захватывающей все ваши движения и поддерживающий Windows 10. На прошлогодней конференции Build 2016 было объявлено, что любые гаджеты смогут подключаться к системе авторизации Windows Hello.

Свыше 20 производителей создают фитнес-трекеры (Nymi Band, например), устройства преобразования данных с любых окружающих гаджетов в биометрические (RSA SecurID), специальные аппаратные ключи верификации (YubiKey) и NFC-компаньоны (Seos HID Global). Они недорого стоят и легко подключаются к различным системам на Windows 10.

hitech.buyon.ru


Смотрите также