Андрей Смирнов
Время чтения: ~22 мин.
Просмотров: 2

Компоненты windows hello для бизнесаwindows hello for business features

Конфликты политики с несколькими источниками политикPolicy conflicts from multiple policy sources

Управление Windows Hello для бизнеса разработано с помощью групповой политики или MDM, но не их комбинации.Windows Hello for Business is designed to be managed by Group Policy or MDM but not a combination of both. Если политики установлены из обоих источников, это может привести к получению результатов, которые действительно применяются для пользователя или устройства.If policies are set from both sources it can result in a mixed result of what is actually enforced for a user or device.

Политики для Windows Hello для бизнеса принудительно применяются с помощью следующей иерархии: групповая политика пользователей > групповой политики компьютера > > MDM для устройства > блокировки устройств.Policies for Windows Hello for Business are enforced using the following hierarchy: User Group Policy > Computer Group Policy > User MDM > Device MDM > Device Lock policy. Все политики с повышенной сложностью сгруппированы и принудительно применяются из единственного источника политики.All PIN complexity policies are grouped together and enforced from a single policy source.

Использование аппаратного обеспечения безопасности и принудительного применения RequireSecurityDevice также группируются с помощью политики сложности контактов.Use a hardware security device and RequireSecurityDevice enforcement are also grouped together with PIN complexity policy. Разрешение конфликтов для других политик Windows Hello для бизнеса принудительно применяется для каждой политики отдельно.Conflict resolution for other Windows Hello for Business policies is enforced on a per policy basis.

Примечание

Логика разрешения конфликтов политики Windows Hello для бизнеса не учитывает политику ControlPolicyConflict и MDMWinsOverGP в CSP политики.Windows Hello for Business policy conflict resolution logic does not respect the ControlPolicyConflict/MDMWinsOverGP policy in the Policy CSP.

Как включить и настроить Windows Hello на Windows 10

Активировать и настроить режим идентификации Windows Hello можно следующим образом:

  1. Запустите системное меню «Пуск». Отыщите иконку в виде шестерёнки нажмите на неё, чтобы вызвать окно «Параметры Windows». Значок располагается над кнопкой выключения устройства.
  2. Откройте блок «Учётные записи», щёлкнув по нему один раз левой кнопкой мыши.
  3. Появится вкладка под названием «Ваши данные».
  4. Она нам не нужна, поэтому сразу кликните по третьей вкладке «Параметры входа». Здесь и находится опция Windows Hello. В одноимённом разделе может быть сообщение о том, что функция недоступна на вашем компьютере в данный момент. Это будет означать только одно: ваше устройство не поддерживает опцию. Вы не сможете ей пользоваться, пока не приобретёте специальную камеру с функцией распознавания.
  5. Если ваш ПК поддерживает данную технологию, в разделе Windows Hello вы увидите блок под названием «Распознавание лица». Под ним будет кнопка «Настроить» или Set up. Щёлкните по ней.
  6. Должен запуститься мастер настройки этой опции. Нажмите на кнопку «Начать» или Get started.
  7. Введите предварительно установленный ПИН-код, который защищает компьютер от несанкционированного входа. Это необходимо для того, чтобы устройство удостоверилось, что изменения в настройки вносите именно вы, а не кто-то другой.
  8. Теперь в течение нескольких секунд нужно посидеть перед компьютером. При этом нельзя двигаться. Неподвижными должны быть даже глаза. Смотрите на экран. Система считает информацию с вашего лица и занесёт эти данные в базу.
  9. После этой небольшой процедуры кликните по «Закрыть». На этом настройка завершена. При следующем входе в вашу учётную запись Windows Hello попросит посмотреть на экран для идентификации личности.
  10. Если вы хотите улучшить распознавание, кликните по соответствующей кнопке для повторения процедуры.
  11. Вместо раздела «Распознавание лица», можно увидеть опцию для идентификации отпечатка пальца или радужной оболочки глаза. В случае последней вам также нужно будет посмотреть на экран, чтобы система запомнила радужную оболочку.
  12. Если будет раздел «Отпечаток пальца» (Fingerprint), нужно будет приложить палец несколько раз к сканеру, чтобы программа запомнила его отпечаток.

Видео: как внести свой отпечаток пальца в базу Windows Hello

Если на устройстве есть камера с функцией распознавания лица или даже радужной оболочки глаза либо сканер отпечатков пальцев, воспользуйтесь опцией биометрической идентификации Windows Hello, чтобы защитить данные, хранящиеся на ПК, от посторонних лиц. И тогда никто, кроме вас, не сможет работать в этом устройстве. При этом придумывать сложный пароль не придётся.

Как защитить свою учетную запись

Настройте параметры входа

Зачем: чтобы вашу учетную запись не взломали.

Windows 10 предлагает несколько способов входа в систему: буквенно-цифровой или графический пароль, PIN-код, распознавание лиц или отпечатков пальцев и аппаратный ключ безопасности. Для наиболее эффективной защиты рекомендуем пользоваться PIN-кодом или сканером отпечатка пальца.

PIN-код хранится на устройстве локально, привязан к вашему компьютеру. Даже если кто-то узнает эту комбинацию, он не сможет войти в вашу учетную запись с другого устройства — в этом преимущество PIN-кода перед паролем.

Надежная секретная комбинация соответствует следующим требованиям:

  • Состоит из 8 или более символов.
  • Содержит строчные и заглавные буквы, цифры и спецсимволы ($, @ и другие).
  • Не является слишком простым номером, например, 12345678 или 00000000.
  • Не совпадает с вашими паролями от других аккаунтов, в том числе Microsoft.
  • Не является реально существующим словом или известной фразой.
  • Не состоит из информации, которую легко узнать посторонним (ваше имя или имя близкого человека, кличка питомца, дата рождения и тому подобное).

Чтобы создать PIN-код:

  1. Откройте Параметры системы с помощью шестеренки в меню Пуск или сочетания клавиш Windows+i.
  2. Перейдите в раздел Учетные записи.
  3. В меню слева выберите Варианты входа.
  4. Найдите пункт ПИН-код и нажмите кнопку Добавить.
  5. Нажмите Далее. При необходимости введите пароль локальной учетной записи или аккаунта Microsoft.
  6. В открывшемся окне выберите Включить буквы и символы и создайте надежную комбинацию.

Используйте короткий и простой PIN-код, только если вы уверены, что никто кроме вас не получит доступ к компьютеру. В противном случае посторонним будет легко угадать комбинацию и добраться до ваших личных данных.

Помимо входа в систему этот же PIN-код можно использовать для защиты программ и служб на компьютере. Например, входить с его помощью в приложения и онлайн-службы, такие как OneDrive или Dropbox.

Если у вас есть специальный сканер или он встроен в устройство, после создания PIN-кода вы можете включить вход по отпечатку пальца. Подделать отпечаток не так просто, что делает этот метод безопаснее системы распознавания лица, которую в некоторых случаях можно обмануть, например, фотографией. Однако помните, что Windows будет отправлять ваши биометрические данные и информацию об использовании датчика в Microsoft.

Чтобы включить вход по отпечатку:

  1. Откройте Параметры системы с помощью шестеренки в меню Пуск или сочетания клавиш Windows+i.
  2. Перейдите в раздел Учетные записи.
  3. В меню слева выберите Варианты входа.
  4. Найдите пункт Отпечаток пальца и нажмите кнопку Настройка Windows Hello.
  5. Введите PIN-код, который вы используете для входа в систему.
  6. Проведите сканирование.
  7. Нажмите Закрыть.

Включите автоматическую блокировку экрана

Зачем: чтобы посторонние не получили доступ к системе, пока вы отошли от устройства.

Windows 10 может блокировать компьютер, когда вы его не используете. Это закроет посторонним доступ к конфиденциальной информации в ваше отсутствие.

Чтобы настроить блокировку экрана:

  1. Откройте Параметры системы с помощью шестеренки в меню Пуск или сочетания клавиш Windows+i.
  2. Перейдите в раздел Персонализация.
  3. В меню слева выберите Экран блокировки.
  4. Нажмите Параметры заставки.
  5. В открывшемся окне установите отметку Начинать с экрана входа в систему и выберите комфортный для вас интервал блокировки.
  6. Нажмите ОК.

Можно настроить блокировку так, чтобы система запрашивала пароль при выходе из спящего режима. По умолчанию эта функция включена, однако ее можно отключить. Рекомендуем проверить настройки и при необходимости снова активировать ее:

  1. Откройте Параметры системы с помощью шестеренки в меню Пуск или сочетания клавиш Windows+i.
  2. Перейдите в раздел Учетные записи.
  3. В меню слева выберите Варианты входа.
  4. Если вы видите, что в разделе Требуется вход выбрано Никогда, нажмите на стрелку справа от этой надписи и кликните Время выхода компьютера из режима сна.

Заблокировать компьютер вручную можно сочетанием клавиш Win + L или через меню Пуск. Для этого:

  1. Откройте меню Пуск.
  2. Нажмите левой кнопкой мыши на значок с изображением вашего профиля.
  3. Выберите Заблокировать.

Что нужно для активации Windows Hello

Для того чтобы воспользоваться функциями Windows Hello, необходимо устройство с этой ОС на борту, оборудованное средствами для биометрической аутентификации. Это могут быть встроенные сканер отпечатка пальца, ИК-сенсор с камерой для распознания лица/радужной оболочки глаза, а также подключаемое оборудование. Без наличия таких компонентов пункт, отвечающий за Windows Hello, может не отображаться в настройках.

Если вам хочется использовать Windows Hello, но компьютер не оборудован средствами биометрической аутентификации, их можно приобрести отдельно. К примеру, для защиты с помощью отпечатка можно использовать устройство PQI My Lockey или подобное. Главное – убедиться, что устройство поддерживает работу именно с Windows Hello, а не требует установку какого-то специфического софта.

PQI My Lockey Windows Central

Для того чтобы использовать разблокировку по лицу/глазам на стационарном ПК, аналогично надо приобрести соответствующий аксессуар. Это может быть, например, веб-камера Logitech Brio. Однако стоит она немало, и если хочется дешевле, то можно взять Mouse CM01-A или что-то в этом роде. Опять же, главное, чтобы девайс поддерживал работу с Windows Hello. Благо, производители не упускают возможность подчеркнуть наличие такой опции у своего гаджета, поэтому, если камера может использоваться для разблокировки, вы наверняка найдете упоминание об этом в описании товара.

Logitech BRIO 4K Windows Central

После подключения к компьютеру соответствующего аксессуара и установки его драйверов можно переходить к настройкам доступа. Если же средства биометрической защиты встроенные, нужно лишь убедиться, что они установлены и работают в «диспетчере устройств».

Как отключить Windows Hello

Деактивация функций биометрической авторизации Windows Hello производится в том же меню, что и их настройка. Если вы хотите удалить отпечаток пальца или скан лица из системы, необходимо в меню «Параметры входа» нажать кнопку «Удалить» возле соответствующего пункта. Система попросит вас подтвердить действие, после чего произойдет удаление параметров.

Into Windows

Если помимо отключения Windows Hello вы также желаете деактивировать защиту паролем, нужно удалить и его. Сделать это можно, нажав кнопку «Изменить пароль». Все, что для этого требуется, это подтвердить старый пароль, а затем оставить поля ввода нового пароля пустыми и нажать «Сохранить».

После этого в Windows 10 не будет никаких блокировок, но отключать защиту я бы советовал, только если на компьютере нет ничего особо ценного, а риск доступа к нему посторонних лиц минимален.

Увлажнители воздуха: зачем нужны и как выбрать

Увлажнители воздуха необходимы для поддержания оптимального микроклимата в…

Алексей Антипов

27 апреля

5 бесплатных онлайн-игр, которые затянут надолго

Пересмотрели все сериалы и уже умираете от скуки? Мы собрали подборку…

Майк Лебедев

23 апреля

Почему я все теряю и как перестать быть рассеянным

Даяна Большакова

6 мая

Что такое «умный дом», и как он меняет образ жизни

Майк Лебедев

26 мая

Лучшие цифровые приставки в 2020 году

Цифровая приставка позволяет принимать телевизионные каналы в стандарте…

Евгений Васильев

3 августа

Сравнение 5 популярных приложений для подсчета калорий

Анастасия Кириченко

20 мая

Лучшие ноутбуки на 13 дюймов 2020

13-дюймовые ноутбуки пользуются популярностью в основном потому, что они…

Екатерина Авдеева

21 мая

Криптовалютный-дайджест: трейдеры, хватит верить в сказки!

Кирилл Онацик
для Deecrypto Store & Club

27 мая

Спать днем: плохо или хорошо

Когда за окном дождь, и вы сидите на работе, больше всего на свете хочется…

Анастасия Пашкевич

8 июля

Личный опыт: как я сэкономила 117 000 рублей на ремонте квартиры в новостройке

Ekaterina Shlipoteeva

22 июня

Тест Hype.tech: Сможете ли вы угадать блюдо по ингредиентам?

Анна Вербицкая

6 июля

Какие кроссовки в моде летом 2020 года

Мы носим кроссовки с джинсами, платьями и даже деловыми костюмами.

Яра Брик

11 июля

Как убрать пин на андроиде. Как отключить пин-код на андроиде

PIN, или персональный идентификационный номер, — это цифровой код, используемый для предотвращения несанкционированного доступа к устройству. Он существенным образом повышает безопасность пользовательских данных, размещенных на гаджете.

Но его приходится вводить каждый раз, когда нужно открыть смартфон или планшет. Это не совсем удобно, к тому же набор цифр нужно постоянно держать в памяти, которая может и подвести.

В таких случаях пользователи ищут варианты, как снять PIN-код с Android.

Отключение ПИН-кода при разблокировке экрана

  • Открываем настройки устройства и заходим в раздел «Безопасность и блокировка».
  • Переходим в подраздел «Тип блокировки экрана» и ставим отметку напротив пункта меню «Нет».
  • Подтверждаем свой выбор вводом текущего PIN.

Вполне логично, что для включения защиты при помощи ПИН-кода пользователю нужно повторить указанные действия, поставив отметки или перетащив ползунок в требуемые для этого положения.

Отключение ПИН-кода при включении телефона

  1. Заходим в настройки смартфона или планшета.
  2. Находим раздел «Безопасность и блокировка».
  3. Переходим в подраздел «Другие параметры».
  4. Выбираем пункт «Настройка блокировки SIM-карты».
  5. Передвигаем ползунок и вводим текущий PIN.

Рекомендуем, также, скачать приложение Алисы по этой ссылке и она сможет выполнять огромное количество действий на вашем телефоне.

Не забываем, что в зависимости от моделей гаджетов и установленных на них прошивок сам путь в настройках или отдельные названия пунктов меню могут отличаться от вышеприведенных.

Блокировка смартфона Android запросом пин-кода является вторым по популярности средством охраны конфиденциальной информации после графического ключа. Комбинация из нескольких цифр хорошо защищает данные и одновременно позволяет быстро разблокировать устройство.

Но ввод пин-кода бывает зачастую неудобным, как минимум потому, что его приходится постоянно вводить. Кроме того, его можно просто забыть.

  1. Ввести пин-код и разблокировать устройство;
  2. Открыть приложение «Настройки» в основном меню;
  3. Перейти на вкладку «Устройство», затем выбрать «Экран блокировки»;
  4. Выбрать настройку разблокировки и дважды ввести пароль;
  5. Выбрать подходящий вариант («Нет» или «Свайп по экрану»).

При наличии активного ключа деактивировать его не составит труда. Если же комбинация была забыта, придется прибегнуть к более серьезным мерам – сбросу настроек девайса. При этом, все ваши данные будут с телефона удалены. Но это логично, иначе в пин-коде Android смысла бы не было.

Для сброса необходимо:

  1. Зарядить девайс на 45-50% и отключить его (отсоединив от сети);
  2. Зажать сразу две кнопки: «Включение» и «Громкость вниз», а после появления логотипа удерживать лишь последнюю до появления режима «Recovery»;
  3. Перейти к пункту «Wipe Data/Factory Reset», нажать «Yes», дождаться завершения процедуры и перезагрузить девайс.

Как включать и отключать Windows Hello в 10-ой версии системы

Microsoft

Биометрические средства защиты доступа к информации уже несколько лет не являются чем-то необычным.

Они массово внедряются как в мобильных, так и стационарных электронных гаджетах, где активно используются самой ОС и сторонними приложениями.

В Windows 10 за использование биометрической аутентификации отвечает функция Windows Hello. Она позволяет разблокировать доступ и авторизоваться в системе с помощью сканера отпечатка пальцев или лица.

Что нужно для активации Windows Hello

Для того чтобы воспользоваться функциями Windows Hello, необходимо устройство с этой ОС на борту, оборудованное средствами для биометрической аутентификации.

Это могут быть встроенные сканер отпечатка пальца, ИК-сенсор с камерой для распознания лица/радужной оболочки глаза, а также подключаемое оборудование.

Без наличия таких компонентов пункт, отвечающий за Windows Hello, может не отображаться в настройках.

https://youtube.com/watch?v=PBAJ5tuxRJU

Если вам хочется использовать Windows Hello, но компьютер не оборудован средствами биометрической аутентификации, их можно приобрести отдельно. К примеру, для защиты с помощью отпечатка можно использовать устройство PQI My Lockey или подобное. Главное – убедиться, что устройство поддерживает работу именно с Windows Hello, а не требует установку какого-то специфического софта.

PQI My Lockey Windows Central

Для того чтобы использовать разблокировку по лицу/глазам на стационарном ПК, аналогично надо приобрести соответствующий аксессуар. Это может быть, например, веб-камера Logitech Brio. Однако стоит она немало, и если хочется дешевле, то можно взять Mouse CM01-A или что-то в этом роде.

Опять же, главное, чтобы девайс поддерживал работу с Windows Hello. Благо, производители не упускают возможность подчеркнуть наличие такой опции у своего гаджета, поэтому, если камера может использоваться для разблокировки, вы наверняка найдете упоминание об этом в описании товара.

После подключения к компьютеру соответствующего аксессуара и установки его драйверов можно переходить к настройкам доступа. Если же средства биометрической защиты встроенные, нужно лишь убедиться, что они установлены и работают в «диспетчере устройств».

Как включить Windows Hello

Чтобы включить функции Windows Hello, необходимо выбрать в меню «Пуск» пункт «Параметры» и открыть его. Затем в окне настроек следует перейти в подменю «Учетные записи» и открыть вкладку «Параметры входа». Если устройства биометрической защиты подключены и корректно установлены в системе, там должен присутствовать пункт «Windows Hello».

Для того чтобы использовать разблокировку отпечатком пальца или лицом, необходимо также установить другой способ защиты, паролем или пин-кодом. Это необходимо на случай невозможности разблокировки биометрическим методом. В общем, все точно так же, как и на смартфонах. Без активации пароля включение Windows Hello невозможно.

В зависимости от того, какими датчиками оснащен ваш компьютер, в настройках Windows Hello будут отображаться установки для лица, отпечатка или обоих вариантов. Настройка их предельно проста.

Cocosenor

Для установки отпечатка пальца необходимо задать его в настройках Windows Hello. Для этого требуется нажать соответствующую клавишу, а затем поднести палец к сканеру и следовать подсказкам.

После считывания пальца система попросит еще раз отсканировать его под другими углами для лучшей четкости срабатывания.

Можно добавить несколько пальцев, но перед вводом второго и последующих отпечатков требуется подтверждение с помощью пальца, уже внесенного в систему.

Microsoft

Как отключить Windows Hello

Деактивация функций биометрической авторизации Windows Hello производится в том же меню, что и их настройка. Если вы хотите удалить отпечаток пальца или скан лица из системы, необходимо в меню «Параметры входа» нажать кнопку «Удалить» возле соответствующего пункта. Система попросит вас подтвердить действие, после чего произойдет удаление параметров.

Into Windows

Если помимо отключения Windows Hello вы также желаете деактивировать защиту паролем, нужно удалить и его. Сделать это можно, нажав кнопку «Изменить пароль». Все, что для этого требуется, это подтвердить старый пароль, а затем оставить поля ввода нового пароля пустыми и нажать «Сохранить».

После этого в Windows 10 не будет никаких блокировок, но отключать защиту я бы советовал, только если на компьютере нет ничего особо ценного, а риск доступа к нему посторонних лиц минимален.

Вход с использованием биометрических данныхBiometric sign-in

Windows Hello обеспечивает надежную комплексную биометрическую проверку подлинности на основе распознавания лиц или отпечатков пальцев.Windows Hello provides reliable, fully integrated biometric authentication based on facial recognition or fingerprint matching. В Windows Hello используется сочетание из особых инфракрасных (ИК)-камер и программного обеспечения, что повышает точность и защищает от спуфинга.Windows Hello uses a combination of special infrared (IR) cameras and software to increase accuracy and guard against spoofing. Ведущие производители оборудования поставляют устройства со встроенными камерами, совместимыми с Windows Hello.Major hardware vendors are shipping devices that have integrated Windows Hello-compatible cameras. Аппаратное обеспечение для чтения отпечатков пальцев можно использовать и добавлять на устройства, в настоящее время не имеющие.Fingerprint reader hardware can be used or added to devices that don’t currently have it. На устройствах, поддерживающих Windows Hello, простой биометрического жеста снимает блокировку учетных данных пользователей.On devices that support Windows Hello, an easy biometric gesture unlocks users’ credentials.

  • Распознавание лиц.Facial recognition. Это тип биометрической проверки подлинности, когда используются специальные камеры, считывающие данные в ИК-диапазоне, что позволяет надежно отличить фотографию или отсканированное изображение от живого человека.This type of biometric recognition uses special cameras that see in IR light, which allows them to reliably tell the difference between a photograph or scan and a living person. Некоторые производители поставляют внешние камеры, в которые встроена такая возможность, и большинство производителей ноутбуков также встраивают данную функцию в свои устройства.Several vendors are shipping external cameras that incorporate this technology, and major laptop manufacturers are incorporating it into their devices, as well.
  • Распознавание отпечатков пальцев.Fingerprint recognition. Это тип биометрической проверки подлинности, когда используется емкостный датчик, сканирующий отпечатки пальцев.This type of biometric recognition uses a capacitive fingerprint sensor to scan your fingerprint. Сканеры отпечатков пальцев доступны на компьютерах Windows уже много лет, но датчики нынешнего поколения значительно надежнее и менее подвержены ошибкам.Fingerprint readers have been available for Windows computers for years, but the current generation of sensors is significantly more reliable and less error-prone. Большинство существующих сканеров отпечатков пальцев (внешних или встроенных в ноутбуки или USB-клавиатуры) совместимы с Windows 10.Most existing fingerprint readers (whether external or integrated into laptops or USB keyboards) work with Windows 10.

Биометрические данные, используемые для реализации Windows Hello, надежно хранятся в Windows только на локальном устройстве.Windows stores biometric data that is used to implement Windows Hello securely on the local device only. Биометрические данные не перемещаются и никогда не отправляются на внешние устройства или серверы.The biometric data doesn’t roam and is never sent to external devices or servers. Поскольку Windows Hello хранит только данные биометрической идентификации на устройстве, не существует единственной точки сбора, которую злоумышленник может нарушить, чтобы украсть биометрические данные.Because Windows Hello only stores biometric identification data on the device, there’s no single collection point an attacker can compromise to steal biometric data. Дополнительные сведения о биометрической проверке подлинности в Windows Hello для бизнеса можно найти в разделе биометрические проверки Windows Hello на предприятии.For more information about biometric authentication with Windows Hello for Business, see Windows Hello biometrics in the enterprise.

Как работает Windows Hello

После настройки Windows Hello может опознавать пользователя по одной из следующих биометрических характеристик:

  • лицо;
  • отпечаток пальца;
  • сетчатка глаза.

Такое распознавание работает вместо пароля. После того, как система опознает пользователя, он получает доступ к устройству. Сетчатка глаза и лицо распознаются через веб-камеру, отпечаток пальца — по встроенному сканеру. Большинство современных сканеров отпечатка поддерживается.

Однако, первая попавшаяся веб-камера для работы с Windows Hello не подойдёт. Для работы с системой нужна специфическая RealSense-камера, разработанная Intel, а с ней инфракрасный сенсор. Для сторонних разработчиков предусмотрен набор по созданию веб-камеры. Подходящая веб-камера совместно с системой Windows Hello без проблем отличит пользователя не только от других людей, но и от фотографии самого пользователя. Обмануть биометрическую технологию никаким хакерам таким образом не получится.

Возможности системы не ограничиваются только доступом к девайсу. При помощи Windows Hello можно будет совершать быстрые покупки через Windows Store, используя биометрические данные для аутентификации. Дополнительно можно оплачивать покупки через другие приложения, поддерживающие работу с Windows Hello.

Windows Hello 企業版的運作方式:重點How Windows Hello for Business works: key points

  • Windows Hello 認證是以憑證或非對稱金鑰組為基礎。Windows Hello credentials are based on certificate or asymmetrical key pair. Windows Hello 認證可以繫結到裝置,且使用認證所取得的的權杖也會繫結到裝置。Windows Hello credentials can be bound to the device, and the token that is obtained using the credential is also bound to the device.
  • 身分識別提供者 (例如 Active Directory、Azure AD 或 Microsoft 帳戶) 會驗證使用者身分識別,並在註冊階段期間將 Windows Hello 的公開金鑰對應到使用者帳戶。Identity provider (such as Active Directory, Azure AD, or a Microsoft account) validates user identity and maps the Windows Hello public key to a user account during the registration step.
  • 依據原則而定,金鑰能以硬體 (對於企業,是 TPM 1.2 或 2.0;對於消費者,則是 TPM 2.0) 或軟體產生。Keys can be generated in hardware (TPM 1.2 or 2.0 for enterprises, and TPM 2.0 for consumers) or software, based on the policy.
  • 驗證是雙因素驗證,其結合了將金鑰或憑證系結到裝置,以及該人員認識(PIN)或該人員的內容(生物辨識)。Authentication is the two-factor authentication with the combination of a key or certificate tied to a device and something that the person knows (a PIN) or something that the person is (biometrics). Windows Hello 手勢不會在裝置之間漫遊,且不會與伺服器共用。The Windows Hello gesture does not roam between devices and is not shared with the server. 生物特徵範本是儲存在本機的裝置上。Biometrics templates are stored locally on a device. PIN 永遠不會儲存或共用。The PIN is never stored or shared.
  • 使用 TPM 時,私密金鑰絕對不會離開裝置。The private key never leaves a device when using TPM. 驗證伺服器會在註冊程序期間擁有對應至使用者帳戶的公開金鑰。The authenticating server has a public key that is mapped to the user account during the registration process.
  • PIN 輸入和生物特徵手勢都會觸發 Windows10,以使用私密金鑰來加密簽署傳送給身分識別提供者的資料。PIN entry and biometric gesture both trigger Windows10 to use the private key to cryptographically sign data that is sent to the identity provider. 身分識別提供者會確認使用者的身分並驗證使用者。The identity provider verifies the user’s identity and authenticates the user.
  • 個人 (Microsoft 帳戶) 和公司 (Active Directory 或 Azure AD) 帳戶針對金鑰使用單一容器。Personal (Microsoft account) and corporate (Active Directory or Azure AD) accounts use a single container for keys. 所有金鑰都依照身分識別提供者的網域來分開,以協助保護使用者的隱私權。All keys are separated by identity providers’ domains to help ensure user privacy.
  • 可以藉由 Windows Hello 容器和 Windows Hello 手勢來保護憑證私密金鑰。Certificate private keys can be protected by the Windows Hello container and the Windows Hello gesture.

如需詳細資訊,請參閱 Windows Hello 企業版的運作方式。For details, see How Windows Hello for Business works.

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации