Aktiver flerfaktorautentisering med Windows Hello

Mundobytes » Windows » Windows 10 » Aktivering av flerfaktorautentisering med Windows Hello: En praktisk veiledning

Windows Hello for Business lar deg kreve to faktorer ved å kombinere bevegelser og tillitssignaler.
Konfigurer leverandørlister (GUID-er) og XML-regler for Bluetooth, IP og Wi-Fi.
Distribusjon via Intune eller policy, med MFA påkrevd under registrering.
HelloForBusiness-arrangementer forenkler revisjon og hendelsesløsning.

Flerfaktorautentisering med Windows Hello lar deg ta Windows-påloggingssikkerheten til neste nivå uten at det går på bekostning av brukeropplevelsen. I stedet for å bare stole på en PIN-kode eller biometri, kan du kreve en kombinasjon av faktorer og tillitssignaler for å låse opp enheten, samtidig som du overholder interne eller bransjeforskrifter.

Hvis du administrerer et miljø med Microsoft Sign In ID (tidligere Azure AD) eller Microsoft 365, er det å aktivere flerfaktoropplåsing (MFA) med Windows Hello for Business en solid måte å forhindre nysgjerrige øyne eller deling av påloggingsinformasjon. I tillegg er bevegelser (PIN, ansikt eller fingeravtrykk) knyttet til enheten og beveger seg ikke utenfor den, noe som styrker phishing-beskyttelsen og forbedrer enkel pålogging. apps og nettlesere.

Hva løser flerfaktoropplåsing med Windows Hello for Business egentlig?

Windows Hello for bedrifter støtter én enkelt legitimasjon (PIN-kode eller biometri) for å låse opp enheten. Dette er praktisk, men hvis noen ved et uhell finner ut PIN-koden, kan de prøve å få tilgang. Ved å aktivere flerfaktoropplåsing krever du at brukeren kombinerer minst én gest (f.eks. fingeravtrykk) med et klarert signal (f.eks. bedriftsnettverk eller Bluetooth-nærhet) før de gir tilgang til skrivebordet.

Målet er å dekke scenarier der én enkelt faktor ikke er nok.: organisasjoner som ikke anser en PIN-kode alene som tilstrekkelig, enheter der de ønsker å forhindre deling av påloggingsinformasjon, miljøer med tofaktorkrav, og, aller viktigst, de som ønsker å opprettholde den innebygde Windows-påloggingsopplevelsen uten å ty til tilpassede tredjepartsløsninger.

Med MFA i Hello kan du uttrykke kontekstuelle retningslinjer (for eksempel, enheten er på bedriftens Wi-Fi eller oppdager en paret telefon i nærheten). Dette forhindrer pålogginger utenfor kontoret med mindre brukeren oppgir en gyldig andre faktor definert i policyen.

I tillegg tilbyr Windows Hello praktiske fordeler i hverdagen.Bevegelser er enhetsbundne, phishing-resistente, og når de først er inne, forenkler de SSO med nettlesere og VPN av organisasjonen, noe som reduserer friksjon og problemer med support.

Arkitektur og flyt: Første og andre legitimasjonsleverandør

Flerfaktoropplåsing støttes av to kategorier av leverandørerDen første leverandøren av opplåsingslegitimasjon og den andre leverandøren av opplåsingsfaktor. Hver leverandør identifiseres av en unik GUID, og Windows krever at brukeren tilfredsstiller minst én leverandør fra hver kategori for å fullføre påloggingen.

Oppgavebehandling åpnes ikke i Windows 11? Steg-for-steg løsning

Politikk består av tre deler1) listen over leverandører for den første faktoren, 2) listen over leverandører for den andre faktoren, og 3) tillitssignalreglene som, hvis de inkluderes, vil bli evaluert som en del av den andre faktoren for å avgjøre om miljøet er som forventet.

I praksis presenterer brukeren en gest for den første faktoren (f.eks. fingeravtrykk) og deretter den andre faktoren (f.eks. bedriftsnettverkstoken eller selve PIN-koden hvis tillatt). Windows låser bare opp skrivebordet når begge er oppfylt.

Vær oppmerksom på en viktig nyanseDen samme leverandøren kan være på begge listene, men en gitt legitimasjon kan bare dekke én av faktorene under samme opplåsing; det vil si at hver faktor bare kan brukes én gang per innloggingsforsøk.

Støttede leverandører og GUID-er: PIN, biometri og tillitstokener

Windows Hello for Business gjenkjenner flere legitimasjonsleverandører, hver representert av en GUID. Dette er de som støttes, sammen med deres identifikatorer:

Legitimasjonsleverandør	GUID
PIN	`{D6886603-9D2F-4EB2-B667-1971041FA96B}`
Fingeravtrykk	`{BEC09223-B018-416D-A0AC-523971B639F5}`
Ansiktsgjenkjenning	`{8AF662BF-65A0-4D0A-A540-A338A999D36F}`
Tillitssignal (Bluetooth-nærhet, nettverk osv.)	`{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}`

Standardverdier etter kategoriDen første faktorlisten inneholder en PIN-kode, fingeravtrykk og ansikt som standard. Den andre faktorlisten inneholder tillitstoken og PIN-kode som standard. Dette gir rom for svært typiske scenarioer som «fingeravtrykk + bedriftsnettverk» eller «ansikt + PIN».
Kommaseparert liste over GUID-erDu kan konfigurere begge listene med GUID-ene du vil aktivere. Det er ingen obligatorisk rekkefølge, og selv om en leverandør vises på begge listene, husk at bruken bare telles én gang per opplåsingsforsøk.
Relevant begrensningDen pålitelige signalleverandøren kan bare deklareres som en del av den andre faktoren; det er ikke gyldig å inkludere den som den første opplåsingsfaktoren.

Regler for klarerte signaler: Bluetooth, IPConfig og Wi-Fi

Tillitssignaler defineres ved hjelp av XML-regler som signalleverandøren evaluerer for å avgjøre om enheten oppfyller den ønskede konteksten. Hver regel er omsluttet av et element rule med attributtet schemaVersion (den nåværende versjonen er 1.0).

Grunnleggende struktur av en regel (minimum):

<rule schemaVersion=\"1.0\">
</rule>

Innenfor hver regel er det minst ett element signal med en type og en value eller underelementer avhengig av typen. De støttede typene er bluetooth, ipConfig y wifi.

Bluetooth: er definert med attributter på selve elementet signalDen krever ikke nestede elementer, og en kort avsluttende tagg kan brukes.

Egenskap	Valor	forespurte
typen	`bluetooth`	Ja
scenario	`Authentication`	Ja
klasseAvEnhet	Nummer (f.eks. 512 for telefon)	Nei
rssiMin	Tall (f.eks. -10)	Nei
rssiMaxDelta	Tall (f.eks. -10)	Nei

Slik gjenoppretter og sikkerhetskopierer du skrivebordsikonlayouten i Windows 11

Eksempel på Bluetooth-signal med nærhet til en paret telefon:

<rule schemaVersion=\"1.0\">
<signal type=\"bluetooth\" scenario=\"Authentication\" classOfDevice=\"512\" rssiMin=\"-10\" rssiMaxDelta=\"-10\"/>
</rule>

klasseAvEnhet Den har Telefon som standardverdi og er basert på denne klassetabellen:

beskrivelse	Valor
Flere	0
datamaskin	256
telefon	512
LAN/nettverkstilgangspunkt	768
Lyd/video	1024
periferiutstyr	1280
Imagery	1536
Wearable	1792
Leketøy	2048
Helse/status	2304
Ikke klassifisert	7936

rssiMin og rssiMaxDelta hjelpe med å avgjøre når enheten er «nær nok». Standardverdien for -10 lar deg bevege deg rundt på kontoret uten å blokkere utstyret, og rssiMaxDelta=-10 forteller Windows at den skal blokkere den når signalet svekkes med mer enn 10 målinger.

Husk RSSI-skalaen: Den er relativ og avtar når signalstyrken avtar. En verdi på 0 er sterkere enn -10; -10 er sterkere enn -60, noe som tyder på at enhetene beveger seg bort.

IPConfigDefinert med ett eller flere underelementer, hvert med en strengverdi. Porter og prefikser er ikke tillatt der det er aktuelt, og CIDR-notasjon brukes ofte der det er aktuelt.

<ipv4Prefix>192.168.100.0/24</ipv4Prefix>
<ipv4Gateway>192.168.100.10</ipv4Gateway>
<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>
<ipv4DnsServer>192.168.100.10</ipv4DnsServer>
<ipv6Prefix>21DA:D3::/48</ipv6Prefix>
<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>
<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer>
<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>
<dnsSuffix>corp.contoso.com</dnsSuffix>

Wi-Fi: er deklarert med underelementer som SSID (obligatorisk), BSSID (valgfritt), sikkerhetstype, klarert rotsertifikat og minimum signalkvalitet.

Felt	beskrivelse
`ssid`	Navn på trådløst nettverk (obligatorisk)
`bssid`	adresse MAC fra tilgangspunktet (valgfritt)
`security`	En av: Åpen, WEP, WPA-Personlig, WPA-Bedrift, WPA2-Personlig, WPA2-Bedrift
`trustedRootCA`	Fingeravtrykk for rotsertifikat (heksadesimalt med mellomrom)
`sig_quality`	Nødvendig signalkvalitet (0–100)

Eksempel på Wi-Fi med bedriftssikkerhet:

<rule schemaVersion=\"1.0\">
<signal type=\"wifi\">
<ssid>contoso</ssid>
<bssid>12-ab-34-ff-e5-46</bssid>
<security>WPA2-Enterprise</security>
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
<sig_quality>80</sig_quality>
</signal>
</rule>

Kombinasjoner og eksempler på reglerDu kan definere enkle regler eller sette sammen flere med logikk av typen ELLER (separate) eller OG (sammensatt element).

<!-- Ejemplo 1: IPConfig con prefijo y DNS -->
<rule schemaVersion=\"1.0\">
<signal type=\"ipConfig\">
<ipv4Prefix>10.10.10.0/24</ipv4Prefix>
<ipv4DnsServer>10.10.0.1</ipv4DnsServer>
<ipv4DnsServer>10.10.0.2</ipv4DnsServer>
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>

<!-- Ejemplo 2: OR entre IPConfig y Bluetooth para teléfonos -->
<rule schemaVersion=\"1.0\">
<signal type=\"ipConfig\">
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>\n</rule>
<rule schemaVersion=\"1.0\">
<signal type=\"bluetooth\" scenario=\"Authentication\" classOfDevice=\"512\" rssiMin=\"-10\" rssiMaxDelta=\"-10\"/>
</rule>

<!-- Ejemplo 3: AND entre IPConfig y Bluetooth -->
<rule schemaVersion=\"1.0\">
<and>
<signal type=\"ipConfig\">
<dnsSuffix>corp.microsoft.com</dnsSuffix>
</signal>
<signal type=\"bluetooth\" scenario=\"Authentication\" classOfDevice=\"512\" rssiMin=\"-10\" rssiMaxDelta=\"-10\"/>
</and>
</rule>

<!-- Ejemplo 4: Wi‑Fi como señal de confianza -->
<rule schemaVersion=\"1.0\">
<signal type=\"wifi\">
<ssid>contoso</ssid>
<bssid>12-ab-34-ff-e5-46</bssid>
<security>WPA2-Enterprise</security>
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
<sig_quality>80</sig_quality>
</signal>
</rule>

Slik distribuerer du: Intune/CSP, gruppepolicy og registreringserfaring

Du kan sette opp flerfaktoropplåsing med Det finnes to hovedtilnærminger: konfigurasjonsprofiler via Microsoft Intune (CSP) eller gruppepolicy. Velg metoden som passer best til dine behov for enhetsadministrasjon, og bruk GUID-lister for den første og andre faktoren sammen med signalregler.
Viktig: Windows Hello-klargjøring krever MFA Under registreringen må du sørge for at brukerne dine har en aktiv metode (autentiseringsapp, SMS eller FIDO2-nøkkel) for å fullføre dette trinnet før du oppretter PIN-koden og registrerer biometri.
Typisk registreringsprosess etter innlogging med passord: hvis han maskinvare Hvis det støttes, blir du bedt om å konfigurere en biometrisk gest (ansikt/fingeravtrykk). Veiviseren ber deg deretter om å bruke Windows Hello med organisasjonens konto og aktiverer MFA-utfordringen. Når den er validert, opprettes og bekreftes PIN-koden, i samsvar med kompleksitetspolicyen.
OOBE-scenario (over the top experience)Brukeren kobler enheten til Microsoft Enter-ID, blir bedt om MFA under tilkoblingen, Intune bruker Hello for Business-policyen, og Hello-registreringen er fullført før skrivebordet åpnes.
Når brukerne er registrert, bruker de bevegelsene sine (PIN, ansikt eller fingeravtrykk) for å få tilgang til enheten og ressurser som krever Hello for Business. Disse bevegelsene fungerer bare på enheten der de ble registrert, noe som styrker den lokale sikkerheten.

Slik utfører du en Scandisk i Windows 10: Komplett veiledning for harddisken din

Windows Hello og 2FA-innstillinger i webtjenester (WebAuthn)

Hvis du allerede har 2FA med SMS, mobilapp eller sikkerhetsnøkkel, kan du legge til Windows Hello-enheter som en ekstra påloggingsmetode. Støttede pålogginger lar deg bruke fingeravtrykkssensoren eller ansiktsgjenkjenning i stedet for fysiske passord eller nøkler.

Oppsettet er enkeltEtter at du har aktivert 2FA med basismetoden, går du til sikkerhetsprofilen din og legger til en «Bruk Windows Hello»-metode. Dette alternativet vises bare i nettlesere som støtter WebAuthn. Under oppsettet bør du tilordne et navn til enheten din for å identifisere den senere.

Ved neste innlogging vil du kunne velge Hallo som en annen faktor. Hvis du foretrekker det, kan du velge bort dette og bruke SMS, autentiseringsappen eller maskinvarenøkkelen din. Fleksibiliteten opprettholdes til enhver tid i henhold til retningslinjene.

Teknisk merknadWindows Hello er integrert med WebAuthn-standarden, så du trenger en moderne nettleser for at den skal fungere riktig på kompatible portaler og applikasjoner.

I universitets- eller bedriftsmiljøer Det bemerkes også at når brukeren starter med Hello, blir vedkommende automatisk autentisert i hovednettleserne og i VPN-et, noe som reduserer behovet for repeterende sekundære faktorer i interne tjenester.

Å lukke sirkelenVed å kombinere Hello for Business med veldefinerte tillitssignaler, krav om MFA ved registrering og overvåking av hendelser, får du en utmerket balanse mellom sikkerhet og bekvemmelighet, samtidig som du er i samsvar med regulatoriske krav og gir en innebygd Windows-oppstartsopplevelse som brukerne omfavner uten motstand.

Isaac

Lidenskapelig forfatter om verden av bytes og teknologi generelt. Jeg elsker å dele kunnskapen min gjennom å skrive, og det er det jeg skal gjøre i denne bloggen, vise deg alle de mest interessante tingene om dingser, programvare, maskinvare, teknologiske trender og mer. Målet mitt er å hjelpe deg med å navigere i den digitale verden på en enkel og underholdende måte.