Windows Hello uzņēmumiem, aparatūras atslēgas un SSO

Ja pārvaldāt identitātes Microsoft vidēs, iespējams, esat dzirdējuši par Windows Hello, Windows Hello uzņēmumiem, taustiņi detaļas un vienreizēja ieslēgšana/izslēgšanaTaču ir viegli apmaldīties starp tik daudziem akronīmiem, uzticamības veidiem un prasībām. Turklāt hibrīdajās izvietošanās sistēmās ar mantotu Active Directory izpratne par to, ko WHfB patiesībā piedāvā salīdzinājumā ar vienkāršu PIN vai biometrisko pieteikšanos, var būt atšķirība starp raitu projektu… un pastāvīgām galvassāpēm.

Šajā rakstā mēs detalizēti aprakstīsim, kā tas darbojas Windows Hello darbam (WHfB), kāda loma ir aparatūras atslēgām, kā tiek panākta vienreizējā pierakstīšanās (SSO)? un kā tas atšķiras no “parastā” Windows Hello mājas lietotājiem. Mēs aplūkosim iekšējās fāzes (ierīces reģistrēšana, nodrošināšana, atslēgu sinhronizācija, sertifikāti un autentifikācija), izvietošanas modeļus (tikai mākonī, hibrīdajā un lokālajā vidē), uzticamības veidus, PKI prasības, licencēšanu, reālās izvietošanas izaicinājumus un to, kā tas viss atbilst mūsdienu pieejām, piemēram, FIDO2 un drošībai bez paroles.

Windows Hello salīdzinājumā ar Windows Hello uzņēmumiem: kas īsti mainās

Windows Hello (vienkārši un saprotami) ir lietotāja pieredze, piesakoties ar PIN kodu vai biometriju. Windows ierīcē, kas paredzēta gan mājas, gan profesionālai videi. Savukārt Windows Hello for Business (WHfB) ir uzņēmuma paplašinājums, kas pievieno spēcīgas identitātes iespējas, kas integrētas ar Active Directory un Microsoft Entra ID.

Ar abām metodēm jūs varat izmantot PIN, pirkstu nospiedumu vai sejas atpazīšanu atbalsta ierīce TPM lai pieteiktos datorā. Varat pat autentificēties, izmantojot klasisku lokālo domēnu. Lielākā atšķirība ir tā, ka WHfB izveido un pārvalda uzņēmuma līmeņa kriptogrāfiskie akreditācijas datiAtslēgu pāri vai sertifikāti, kas saistīti ar lietotāju un ierīci, kurus pārvalda politikas un kurus var izmantot vienreizējai ielogošanai (SSO) lokālos un mākoņresursos.

Lai gan "parastais" Windows Hello būtībā aprobežojas ar nomainiet paroli ar ērtu žestu šajā ierīcēWHfB ģenerē spēcīgu akreditācijas informāciju, ko identitātes nodrošinātājs (AD, Microsoft Entra ID vai AD FS) atpazīst, saglabā un izmanto piekļuves žetonu izsniegšanai un drošības nodrošināšanai. Nosacīta piekļuve, stingra KDC validācija, PRT, Kerberos mākonī un citas papildu vadības ierīces.

Loģisks jautājums ir šāds: ja man jau ir domēnam pievienotas ierīces, kuras tiek pārvaldītas ar Intune, ar TPM un biometriju, kā arī SSO ar mākoni, izmantojot paroles jaucējkoda sinhronizāciju, Ko tieši es iegūstu, pievienojot WHfB? Atbilde slēpjas tajā, kā atslēgas tiek veidotas un apstiprinātas, kā ierīce ir savienota, un spējā paplašināt šo drošību uz visu ekosistēmu, ne tikai lokālo pieteikšanos.

Pamatarhitektūra: Windows Hello for Business fāzes

WHfB ir izkliedēta sistēma, kas balstās uz vairākām sastāvdaļām: ierīce, TPM, identitātes nodrošinātājs, PKI, direktoriju sinhronizācija un SSO mehānismiLai to saprastu, neapmaldoties, ir lietderīgi sadalīt tā darbību piecās hronoloģiskās ieviešanas fāzēs.

1. Ierīces reģistrācija

Pirmais puzles gabaliņš ir ierīces reģistrācija pie identitātes pakalpojumu sniedzēja (IdP)Šis solis ļauj saistīt ierīci ar identitāti direktorijā un iespējot tai automātisku autentifikāciju, kad lietotājs piesakās.

Tikai mākoņa vai hibrīdvidē IdP ir Microsoft Enter ID. un ierīce reģistrējas savā ierīces reģistrācijas pakalpojumā (pievienota Microsoft Entra, hibrīdpievienota vai reģistrēta). Tīri lokālos scenārijos IdP parasti ir AD FS ar savu uzņēmuma ierīču reģistrācijas pakalpojumu.

Pēc šīs reģistrācijas pabeigšanas IdP piešķir komandai unikāla identitāte, kas tiks izmantota, lai izveidotu ierīču direktoriju uzticamību secīgās autentifikācijās. Šis ieraksts tiek klasificēts pēc “ierīces pievienošanās veida”, kas nosaka, vai ierīce ir pievienota lokālam domēnam, Entra ID, hibrīdai vai vienkārši reģistrēta kā personiska.

2. Nodrošināšana: Windows Hello konteinera izveide

Kad ierīce ir reģistrēta, sākas fāze Windows Hello akreditācijas datu nodrošināšana uzņēmumiemŠeit tiek izveidots tā sauktais Windows Hello konteiners, kas loģiski grupē visu lietotāja kriptogrāfisko materiālu šajā datorā.

Tipiskā iepirkumu plūsma notiek saskaņā ar šiem galvenajiem soļiem, vienmēr ievērojot sākotnējā autentifikācija ar vājiem akreditācijas datiem (lietotājvārds un parole):

• Lietotājs autentificējas ar MFA IdP. (Microsoft Enter MFA vai cita saderīga metode vai MFA adapteris AD FS lokālajā vidē).
• Pēc otrā faktora pārvarēšanas jums tiek lūgts konfigurēt PIN kods un, ja ir pieejama saderīga aparatūra, biometriskais žests (pēdas nospiedums, seja, varavīksnene).
• Pēc PIN apstiprināšanas Windows ģenerē Windows Hello konteiners šim kontam šajā komandā.
• Tajā konteinerā ir kriptogrāfisko atslēgu pāris (publiskais un privātais), saistīts ar TPM, ja tāds pastāv, vai, ja tāda nav, aizsargāts ar programmatūru.
• La Privātā atslēga paliek ierīcē un to nevar eksportēt., joprojām aizsargājot to ar TPM un PIN/biometriskajiem aizsargiem.
• La publiskā atslēga ir reģistrēta IdP un tas ir saistīts ar lietotāja objektu: Microsoft pieteikšanās ID tas tiek ierakstīts lietotājam, un federatīvos lokālos scenārijos AD FS to pārsūta uz Active Directory.

Tvertnē ir iekļauts arī administratīvā atslēgaTas ir noderīgi tādos scenārijos kā PIN atiestatīšana; ierīcēs ar TPM tiek saglabāts arī datu bloks, kas satur TPM sertifikātus. Viss materiāls tiek atbloķēts tikai tad, kad lietotājs veic žestu (PIN vai biometrija), un šī sākotnējā MFA kombinācija izveido uzticību starp lietotāju, ierīci un IdP.

3. Konteinera atslēgas: autentifikācija un lietotāja identifikators

Windows Hello konteinerā atrodami vairāki atslēgu veidi ar dažādām lomām šifrēta ar PIN kodu vai biometrisko aizsardzību:

• Autentifikācijas atslēgaReģistrācijas laikā ģenerēts asimetrisku atslēgu pāris, kas vienmēr jāatbloķē ar PIN kodu vai biometrisko žestu. Tas ir pamats, uz kura pamata tiek pārstrādāti citi materiāli, mainot PIN kodu.
• Lietotāja identifikatora atslēgasIdentitātes atslēgas var būt simetriskas vai asimetriskas atkarībā no identitātes pakalpojumu sniedzēja (IdP) un modeļa (atslēga vai sertifikāts). Tās tiek izmantotas, lai parakstītu vai šifrētu pieprasījumus un žetonus, kas adresēti identitātes pakalpojumu sniedzējam. Uzņēmumu vidē tās parasti tiek ģenerētas kā asimetriskas atslēgu pāri, un publiskā atslēga ir reģistrēta IdP.

Šīs lietotāja identifikatora atslēgas var iegūt divos galvenajos veidos: saistīts ar korporatīvo PKI sertifikātu izsniegšanai (piemēram, priekš VPN, RDP vai uz sertifikātiem balstīta Kerberos autentifikācija) vai tieši ģenerēts IdP scenārijos bez PKI (tīras atslēgas modelis).

Tā pati infrastruktūra ļauj izmantot Windows Hello kā FIDO2/WebAuthn autentifikators saderīgās lietojumprogrammās un tīmekļa vietnēs. Vietnes var izveidot FIDO akreditācijas datus Windows Hello konteinerā; nākamajās apmeklējuma reizēs lietotājs autentificējas ar savu PIN vai biometriju, neatklājot paroles.

4. Atslēgu sinhronizācija hibrīdvidē

Hibrīda arhitektūrās, kur pastāv līdzāspastāvēšana Microsoft pieteikšanās ID un Active DirectoryVienkārši reģistrēt atslēgu mākonī nav pietiekami. Pēc nodrošināšanas WHfB publiskā atslēga ir jāsinhronizē ar lokālo direktoriju, lai iespējotu autentifikācija un SSO lokālajos resursos.

Šādos gadījumos par to rūpējas Microsoft Entra Connect Sync kopējiet publisko atslēgu uz msDS-KeyCredentialLink atribūtu lietotāja objekta Active Directory. Šī sinhronizācija ir svarīga, lai domēna kontrolleris varētu validēt ierīces ģenerētos parakstus ar TPM saglabāto privāto atslēgu.

5. Sertifikātu reģistrēšana (tikai nepieciešamības gadījumā)

Dažos modeļos (piemēram, sertifikāta uzticamībaPapildus atslēgām organizācijai ir jāizsniedz lietotājiem autentifikācijas sertifikāti. Šādā gadījumā tiek aktivizēta papildu fāze. sertifikātu reģistrācija.

Pēc publiskās atslēgas reģistrēšanas klients ģenerē sertifikāta pieprasījums kas nosūta pieprasījumu sertifikātu reģistra iestādei, kas parasti ir integrēta AD FS federatīvās izvietošanās reizēs. Šī CRA validē pieprasījumu, izmantojot korporatīvo PKI, un Tas izsniedz sertifikātu, kas tiek glabāts Hello konteinerā., atkārtoti izmantojams autentifikācijai lokālos resursos, kas joprojām ir atkarīgi no sertifikātiem.

Autentifikācija, privātā atslēga un SSO: kā tas viss sader kopā

Kad reģistrācijas un nodrošināšanas fāzes ir pabeigtas, lietotāja ikdienas dzīve ir ļoti vienkārša: žests (PIN vai biometrija), kas “atbrīvo” privāto atslēgu ierīcēInteresanti ir tas, kas notiek aizkulisēs.

Kad lietotājs atbloķē datoru, Windows izmanto WHfB akreditācijas datu privāto daļu, lai kriptogrāfiski parakstīt datus, kas nosūtīti IdPTas pārbauda parakstu, izmantojot lietotāja objektā saglabāto publisko atslēgu. Tā kā PIN kods un privātā atslēga nekad nepamet ierīci, process ir izturīgs pret pikšķerēšanu un tradicionālo akreditācijas datu zādzību.

Microsoft Enter ID scenārijos šīs autentifikācijas pabeigšana rada Primārā atsvaidzināšanas pilnvara (PRT)JSON tīmekļa marķieris, kas satur lietotāja un ierīces informāciju. Tas ir pamats vienotai pierakstīšanās (SSO) izveidei mākoņa lietojumprogrammās un, kombinācijā ar Microsoft Kerberos vai atslēgu sinhronizāciju, arī lokālajos resursos.

Bez PRT, pat ja lietotājam ir derīgi WHfB akreditācijas dati, Es pazaudētu vienreizējo pierakstīšanos. un būtu spiesta nepārtraukti autentificēties katrā lietotnē. Tāpēc nosacītās piekļuves politikas, neatkarīgi no tā, vai tās ir balstītas uz ierīci vai risku, parasti ņem vērā attiecīgā PRT esamību un derīgumu.

Izmantojot atslēgas vai sertifikāta uzticamību Active Directory, WHfB darbojas kā virtuālā viedkarteLietotājs paraksta vienreizēju pieprasījumu vai izaicinājumu no KDC, domēna kontrolleris validē sertifikātu vai atslēgu un izsniedz Kerberos TGT biļeti, tādējādi iespējojot vienotu pierakstīšanos lokālajiem pakalpojumiem, kas integrēti ar Kerberos.

Iekšējā drošība: biometrija, TPM un aizsardzība pret uzbrukumiem

Viens no WhfB pamatprincipiem ir tāds, ka Biometriskie dati nekad neatstāj ierīciSensoru ģenerētās veidnes tiek glabātas lokāli datu bāzes šifrēta (piemēram, ceļā C:\WINDOWS\System32\WinBioDatabase), izmantojot unikālas atslēgas katrai datubāzei, aizsargāta ar AES CBC režīmā un SHA-256 kā jaucējfunkciju.

Tas nozīmē, ka pat ja uzbrucējs iegūtu piekļuvi šiem failiem, Man neizdevās rekonstruēt lietotāja sejas vai pirkstu nospieduma attēlu.tos nevar izmantot arī citā ierīcē. Turklāt katrs sensors uztur savu atmiņu, tādējādi samazinot biometrisko veidņu zādzības iespējamību no viena centrālā punkta.

Windows Hello darbam PIN kods ir arī labāk aizsargāts nekā tradicionālā parole. Tas netiek pārsūtīts pa tīklu, tiek validēts lokāli, un TPM nodrošina drošības pasākumu ievērošanu. bloķē pārāk daudzu nepareizu mēģinājumu dēļTas padara brutāla spēka vai vārdnīcas uzbrukumus bezjēdzīgus. Un, ja kāds nozog PIN kodu, tas darbosies tikai šajā konkrētajā ierīcē, jo akreditācijas dati ir piesaistīti aparatūrai.

Saskaroties ar mūsdienu draudiem (Kā noteikt, vai e-pasts ir pikšķerēšanas e-pasts(paroles atkārtota izmantošana, masveida akreditācijas datu zādzība), WHfB paļaujas uz Ar ierīci saistīta publiskās atslēgas kriptogrāfijaTas pēc būtības novērš koplietotu noslēpumu izpaušanu. Tas lieliski atbilst tādu noteikumu standartiem un ieteikumiem kā NIST 800-63B un nulles uzticēšanās drošības modeļiem.

Izvietošanas modeļi: mākonis, hibrīds un lokāls

WHfB ir elastīgs topoloģijas ziņā, taču šī elastība rada zināmu sarežģītību. Vispārīgi runājot, mēs varam runāt par trim izvietošanas modeļiem, kas apvienojas dažādos veidos. Microsoft Entra ID, Active Directory, PKI un federācija.

Tikai mākonī balstīts modelis

Organizācijās, kas gandrīz 100% dzīvo Microsoft 365 un citiem SaaS pakalpojumiem bez atbilstošas ​​lokālas infrastruktūras vienkāršākais modelis ir Tikai mākonī ar ierīcēm, kas ir savienotas ar Microsoft. PierakstītiesŠajā scenārijā:

• Visi lietotāji un ierīces atrodas Microsoft pieteikšanās ID.
• Ierīces un atslēgas reģistrācija tiek veikta tieši mākonī.
• Nav nepieciešama uzņēmuma PKI ne domēna kontrollera sertifikātus.
• SSO pamatā ir PRT un Microsoft Entra žetoni lietojumprogrammām.

Tā ir tiešākā iespēja mākoņpakalpojumu uzņēmumiem, zemas infrastruktūras izmaksas un relatīvi vienkārša izvietošana, ideāli piemērots, ja lokālie resursi nav pieejami vai ir minimāli.

Hibrīda modelis: visizplatītākais gadījums

Lielākā daļa uzņēmumu atrodas kaut kur pa vidu: Vēsturiskais Active Directory apvienojumā ar sinhronizēto Microsoft pieteikšanās IDWHfB šeit izceļas, taču tieši tur visbiežāk rodas konfigurācijas problēmas, ja tās nav labi plānotas.

Hibrīda vidē identitātes tiek sinhronizētas ar Microsoft Entra Connect Sync, un ir vairākas iespējamās kombinācijas. izvietošanas modelis (hibrīds) un uzticēšanās veids (mākoņa Kerberos, atslēga vai sertifikāts)Mērķis parasti ir piedāvāt:

• SSO uz mākoņpakalpojumiem (SharePoint Tiešsaistē, Teams, OIDC/SAML lietojumprogrammās).
• Caurspīdīga piekļuve vietējiem resursiem (akcijas, progr Kerberos, VPN, RDP).
• Pakāpeniska paroļu izejas maršrutēšana, vienlaikus saglabājot mantotās lietojumprogrammas.

Galvenie uzticēšanās veidi hibrīdajos scenārijos ir:

• Kerberos mākonīMicrosoft Entra Kerberos izsniedz TGT pakalpojumam Active Directory, neprasot papildu publiskās atslēgas infrastruktūru (PKI). Šis ir modernākais un vienkāršākais hibrīdmodelis, jo tas izmanto esošo FIDO2 infrastruktūru un neprasa publisko atslēgu sinhronizāciju ar Active Directory.
• Galvenā uzticēšanāsLietotāji autentificējas pakalpojumā Active Directory, izmantojot ierīcei piesaistītu atslēgu; domēna kontrolleriem ir nepieciešami īpaši sertifikāti. PKI ir nepieciešams domēna kontrolleriem, bet ne lietotāju sertifikātiem.
• Sertifikāta uzticamībaLietotāja autentifikācijas sertifikāti tiek izsniegti un izmantoti, lai iegūtu Kerberos TGT. Tam nepieciešama pilna PKI, AD FS kā CRA un intensīvāka konfigurācija.

Pareiza uzticības veida izvēle ir ļoti svarīga: neviens pēc būtības nav “drošāks”Tomēr tie atšķiras pēc izmaksām, sarežģītības un infrastruktūras prasībām. Kerberos izmantošana mākonī bieži vien ir labākā izvēle jaunām izvietošanas sistēmām, ja vien klienta un servera Windows versijas atbilst minimālajām prasībām.

Tīrs lokāls modelis

Organizācijas ar stingriem normatīvajiem ierobežojumiem vai ar nelielu vai nemaz neieviešot mākoņpakalpojumus, var izvēlēties mājas mājas biznesa (WhfB) ieviešanu. 100% lokāls, atbalsta Active Directory un AD FSŠajā modelī:

• Ierīces reģistrācija tiek pārvaldīta AD FS.
• Autentifikācija var būt balstīta uz atslēgu vai sertifikātu, taču to vienmēr atbalsta uzņēmuma PKI.
• MFA iespējas ietver AD FS adapterus vai tādus risinājumus kā Azure MFA Server (jau mantotu), kas integrēts lokāli.

Šī pieeja sniedz pilnīga kontrole pār autentifikācijas datiemTomēr tas prasa ievērojamas uzturēšanas pūles (PKI, AD FS, CRL publicēšana, kuriem var piekļūt datori, kas nav pievienoti domēnam, utt.), ko ne visas organizācijas ir gatavas uzņemties ilgtermiņā.

Pieejami PKI, domēna kontrollera sertifikāti un CRL

Modeļos, kas balstās uz sertifikātiem (lietotājiem, domēna kontrolleriem vai abiem), PKI kļūst par uzticības pamatu. WHfB ir nepieciešams stingra KDC validācija kad ierīce, kas pievienota Microsoft Enter, autentificējas lokālajā domēnā.

Praksē tas nozīmē, ka domēna kontrollera sertifikātam jāatbilst vairākiem tehniskiem nosacījumiem: izdevusi uzticama ierīces saknes sertificēšanas iestāde, pamatojoties uz Kerberos autentifikācijas veidni, ar "KDC autentifikācijas" EKU, pareizu DNS nosaukumu, RSA 2048 un SHA-256 kā paraksta algoritmucita starpā.

Turklāt ir svarīgi, lai ierīce varētu pārbaudiet sertifikātu atsaukšanuŠeit slēpjas klasiskā problēma ar CRL: ierīce, kas pievienota tikai Microsoft Entra, nevar nolasīt LDAP ceļus Active Directory, ja tā vēl nav autentificēta, tāpēc ir nepieciešams publicēt CRL izplatīšanas punktu. HTTP URL, kas pieejams bez autentifikācijas.

Tas ietver tīmekļa servera (piemēram, IIS) sagatavošanu, virtuālā direktorija (cdp) izveidi un atļauju pielāgošanu. NTFS un no koplietotajiem resursiem atspējojiet glabāšana Bezsaistes kešatmiņā konfigurējiet sertificēšanas iestādi (CA), lai tā publicētu CRL šajā koplietotajā resursā un atklātu to, izmantojot HTTP. Kad tas ir izdarīts, jums ir nepieciešams Atjaunot domēna kontrollera sertifikātus lai iekļautu jauno CDP un nodrošinātu, ka uzņēmuma saknes sertifikāts tiek izvietots ierīcēs, kas pievienotas Microsoft Entra (piemēram, izmantojot Intune un "uzticama sertifikāta" profilu).

Direktoriju sinhronizācija, daudzfaktoru autentifikācija un ierīču konfigurācija

Galalietotāja pieredze ar Windows Hello darbam lielā mērā ir atkarīga no Kā tiek integrēta direktoriju sinhronizācija, daudzfaktoru autentifikācija un politikas konfigurācija.

Hibrīda izvietojumos Microsoft Entra Connect Sync ne tikai sinhronizē kontus; tā var sinhronizēt arī kritiski atribūti, piemēram, msDS-KeyCredentialLinkkas satur WHfB publisko atslēgu, kas nepieciešama autentifikācijai AD. Lokālās vidēs ar Azure MFA serveri sinhronizācija tiek izmantota, lai importētu lietotājus MFA serverī, kas pēc tam veic vaicājumu mākoņpakalpojumam verifikācijai.

Attiecībā uz daudzfaktoru autentifikāciju organizācijām ir vairākas iespējas: Microsoft Entra MFA mākoņa vai hibrīdajiem scenārijiemĀrējās metodes, kas integrētas, izmantojot ārējo autentifikāciju Entra ID vai federāciju, un trešo pušu MFA adapteri AD FS lokālajā vidē. FederatedIdpMfaBehavior karodziņš federatīvajos domēnos nosaka, vai Entra ID akceptē, pieprasa vai ignorē federatīvā IdP veikto MFA, kas var būt kritiski svarīgi WHfB nodrošināšanas pareizai darbībai.

WHfB konfigurāciju iekārtā var veikt ar grupas politika (GPO) vai CSP, izmantojot MDM (piemēram, Intune). Mūsdienu organizācijās ir ierasts iespējot automātisku WHfB reģistrāciju, piespiest MFA pirmajā pieteikšanās reizē, definēt PIN sarežģītības politikas un kontrolēt, kuras biometriskās metodes tiek pieņemtas (tikai sertificēti sensori, IR kameras utt.).

Paralēli ir svarīgi ņemt vērā atveseļošanās pieredzi: pašapkalpošanās PIN atiestatīšana, alternatīvas metodes, piemēram, FIDO2 atslēgas, un BitLocker šifrēšana lai aizsargātu miera stāvoklī esošos datus ierīces nozaudēšanas vai nozagšanas gadījumā.

Licences, sistēmas prasības un praktiski ierobežojumi

Viens no izplatītākajiem mītiem ir tāds, ka vienmēr ir jāizmanto WhfB. Microsoft Ievadiet ID P1 vai P2Patiesībā WHfB pamatfunkcijas ir pieejamas ar bezmaksas Entra ID līmeni, un daudzfaktoru autentifikāciju, kas nepieciešama nodrošināšanai bez paroles, var iespējot arī bez premium licencēm, lai gan tādām funkcijām kā automātiska MDM reģistrācija, uzlabota nosacīta piekļuve vai atlikta ierīces ierakstīšana prasa augstākus līmeņus.

Runājot par operētājsistēmu, praktiski visas mūsdienu Windows klientu versijas atbalsta WHfB, bet Uzticēšanās Kerberos mākonī prasa konkrētus minimumus (piemēram, Windows 10 21H2 ar noteiktiem ielāpiem vai noteiktām versijām Windows 11Servera pusē jebkura atbalstīta Windows Server versija parasti var darboties kā DC, lai gan Kerberos daļai mākonī ir nepieciešamas noteiktas versijas un atjauninājumi domēna kontrolleros.

Papildus tehniskajiem aspektiem pastāv arī ļoti praktiski izaicinājumi: koplietots aprīkojums, kur WHfB, kas ir specifisks ierīcei un lietotājam, parasti der.aparatūra bez TPM 2.0 vai biometriskajiem sensoriem; vai vides, kurās veco iekārtu parku atjaunošanas, PKI ieviešanas un 2012. gada domēnu vadības centru jaunināšanas izmaksas īstermiņā padara pilnīgu mājas mājas bāzes ieviešanu nepievilcīgu.

Gadījumos, kad saprātīgais ceļš ietver apvienojiet WHfB ar citiem paroles nesaturošiem faktoriem (FIDO2 atslēgas, viedkartes, tālruņa autentifikācija), lai aptvertu koplietotas darbstacijas, platformas, kas nav Windows, vai lietotājus, kuriem ir liela mobilitāte, atstājot WHfB kā galveno autentifikatoru pārnēsājamas ar Entra saistīti uzņēmumi vai hibrīdi.

Raugoties kopumā, Windows Hello uzņēmumiem piedāvā daudz vairāk nekā tikai "jauku PIN kodu": tas ievieš ar aparatūru saistītas asimetriskas akreditācijas dati, stingra KDC verifikācija, dziļa integrācija ar Microsoft Entra ID un Active Directory, kā arī stabila sistēma drošai SSO gan mākonī, gan lokāli. Tomēr tā reālā vērtība salīdzinājumā ar pamata Windows Hello ir atkarīga no jūsu sākuma punkta: modernās mākoņvides vai hibrīdvidēs ar atjauninātu PKI un DC drošības un pārvaldības lēciens nepārprotami atsver pūles; ļoti vecās jomās, kur infrastruktūra ir maz sagatavota un nav modernizācijas plānu, pirms pilnīgas WHfB potenciāla izmantošanas varētu būt saprātīgāk vispirms uzlabot aparatūru, PKI un piekļuves kontroli.

saistīto rakstu:

Kā uzzināt, kurām lietotnēm ir piekļuve jūsu kamerai, mikrofonam vai atrašanās vietai operētājsistēmā Windows 11

Isaac

Kaislīgs rakstnieks par baitu pasauli un tehnoloģiju kopumā. Man patīk dalīties savās zināšanās rakstot, un tieši to es darīšu šajā emuārā, parādot visu interesantāko informāciju par sīkrīkiem, programmatūru, aparatūru, tehnoloģiju tendencēm un daudz ko citu. Mans mērķis ir palīdzēt jums vienkāršā un izklaidējošā veidā orientēties digitālajā pasaulē.