Windows Hello для бізнесу (Windows 10), Microsoft Docs

В цій статті

У Windows 10 служба Windows Hello для бізнесу дозволяє замінити паролі суворою двофакторною автентифікацією на комп'ютерах і мобільних пристроях. Для перевірки автентичності в цьому випадку використовується новий тип облікових даних користувачів, прив'язаних до пристрою і заснованих на біометричних даних або PIN-коді.

Windows Hello вирішує такі проблеми, пов'язані з паролями:

  • Надійні паролі важко запам'ятати, тому одні й самі паролі часто використовуються на декількох сайтах.
  • При зломі сервера хакери можуть отримати доступ до симетричних облікових даних (паролей).
  • Паролі можуть атакуватися з повторенням пакетів.
  • Користувачі можуть ненавмисно розкрити свій пароль внаслідок фішингу.

Попередні умови

Винятково хмарне розгортання

  • Windows10 версії1511 або пізнішої
  • Обліковий запис Microsoft Azure
  • Azure Active Directory
  • Багатофакторна ідентифікація Azure
  • Сучасні засоби управління (Intune або підтримуване стороннє рішення MDM), необов'язково
  • Передплата Azure AD Premium — необов'язково, потрібна для автоматичної реєстрації в MDM, коли пристрій приєднується до Azure Active Directory

Гібридні розгортання

У таблиці наведено мінімальні вимоги для кожного розгортання.

Локальні розгортання

У таблиці наведено мінімальні вимоги для кожного розгортання.

Питання та відповіді

Чи можна розгорнути Windows Hello длябізнесу за допомогою System Center Configuration Manager?

Що таке безпарольна стратегія?

Дивіться презентацію старшого керівника програми Каранбіра Сінгха під назвоюПосібник корпорації Майкрософт щодо відмови від використання паролів на конференції Ignite 2017

Як здійснюється взаємодія з користувачем у Windows Hello для бізнесу?

Після розгортання Windows Hello для бізнесу у середовищі взаємодія з користувачем у Windows Hello для бізнесу здійснюється після входу користувача в систему.

Що станеться, якщо користувач забуде свій PIN-код?

Якщо користувач може увійти, використовуючи пароль, він може скинути свій PIN-код, перейшовши за посиланням «Я не пам'ятаю свій PIN-код» у розділі параметрів. Починаючи з Fall Creators Update, користувачі можуть скинути свій ПІН-код у верхній частині екрана блокування, перейшовши за посиланням «Я не пам'ятаю свій ПІН-код» у постачальнику облікових даних ПІН-коду.

Для скидання ПІН-коду при локальному розгортанні пристрою повинні бути надійно підключені до локальної мережі (контролерів домену та центру сертифікації). Клієнти з гібридним підключенням можуть зареєструвати клієнта Azure для використання служби скидання ПІН-коду Windows Hello для бізнесу, щоб скинути свій ПІН-код без доступу до корпоративної мережі.

Чи обов'язково мати контролери домену Windows Server2016?

Існує безліч варіантів розгортання на вибір. Деякі з цих варіантів потребують достатньої кількості контролерів домену Windows Server2016 на сайті, де ви розгорнули Windows Hello для бізнесу. Існують інші варіанти розгортання, що передбачають використання існуючих контролерів домену Windows Server2008R2 або пізнішої версії. Вибирайте варіант розгортання,який найкраще підходить для вашого середовища.

Чи забезпечує Windows Hello для бізнесу багатофакторну ідентифікацію?

Windows Hello для бізнесу реалізує двофакторну автентифікацію, засновану на наступних факторах ідентифікації: щось, що у вас є; щось, що ви знаєте; і щось, що є частиною вас. У Windows Hello для бізнесу використовується два з цих факторів: те, що у вас є (закритий ключ користувача, захищений модулем безпеки пристрою) і щось, що ви знаєте (ваш PIN-код). Маючи відповідне обладнання, ви можете підвищити комфорт своїх користувачів, додавши біометричні дані. При використанні біометричних даних можна замінити фактор ідентифікації "щось, що ви знаєте", фактором "щось, що є частиною вас", з гарантією того, що користувачі при необхідності можуть повернутися до фактора "щось, що ви знаєте" .

Чи можна використовувати для розблокування пристрою PIN-код та біометричні дані?

Починаючи з Windows 10 версії 1709, можна використовувати багатофакторне розблокування, в ході якого користувач повинен надати додаткові дані для розблокування пристрою. Перевірка автентичності залишається двофакторною, але перш ніж Windows надасть користувачеві доступ до робочого столу, необхідно надати додатковий фактор перевірки. Щоб отримати додаткові відомості про багатофакторне розблокування, див. Компоненти Windows Hello для бізнесу

У чому різниця між Windows Hello та Windows Hello для бізнесу?

Windows Hello є біометричною платформою, наданою в Windows10. Windows Hello дозволяє користувачам використовувати біометричні дані для входу в свої пристрої шляхом зберігання їх імені та пароля та пред'явлення їх для автентифікаціїпісля того, як користувач успішно ідентифікує себе за допомогою біометричних даних. У Windows Hello для бізнесу використовуються асиметричні ключі, захищені модулем безпеки пристрою, які вимагають перевірки автентичності жесту користувача (PIN-коду або біометричних даних).

Ми перейшли з Active Directory до Azure Active Directory. Чи можна використовувати локальну модель розгортання?

Ні. Якщо у вашій організації настроєно федерацію або використовуються веб-служби, такі як Office365 або OneDrive, необхідно використовувати гібридну модель розгортання. Локальні розгортання призначені лише для організацій, які потребують більше часу для переходу на хмарні технології та які використовують виключно Active Directory.

Чи забороняє Windows Hello для бізнесу використання простих PIN-кодів?

Так. Наш простий алгоритм PIN-кодів знаходить та забороняє будь-який PIN-код із постійною різницею між сусідніми цифрами. Це запобігає використанню повторюваних і послідовних чисел, а також простих поєднань. Приклад:

  • 1111 має постійну різницю 0, тому забороняється
  • 1234 має постійну різницю 1, тому забороняється
  • 1357 має постійну різницю 2, тому забороняється
  • 9630 має постійну різницю -3 тому забороняється
  • 1231 не має постійної різниці, тому дозволяється
  • 1593 немає постійної різниці, тому дозволяється

Цей алгоритм не застосовується до літерно-цифрових PIN-кодів.

Як кешування PIN-коду працює з Windows Hello для бізнесу?

Windows Hello для бізнесу надає користувачам кешування PIN-коду за допомогою системи відстеження технічних проблем. Замість кешування PIN-коду процеси кешуютьзапит, який вони можуть використовувати для запиту операцій із закритим ключем. Ключі для входу в Azure AD та Active Directory кешуються в режимі блокування. Це означає, що ключі залишаються доступними для використання без запиту, якщо користувач увійшов до системи в режимі онлайн. Ключі для входу в обліковий запис Майкрософт вважаються транзакційними, тобто при отриманні доступу до ключа користувач завжди отримує запит.

Чи можна вимкнути PIN-код під час використання Windows Hello для бізнесу?

Ні. Відмова від паролів забезпечується поступовим скороченням частоти використання пароля. Якщо вам не вдасться пройти автентифікацію за допомогою біометричних даних, буде потрібно резервний механізм, що не є паролем. PIN-код є таким механізмом. Відключення або приховування постачальника PIN-коду призвело до вимкнення можливості використання біометричних даних.