Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Education Center
    2. Windows Hej

Windows Hello for Business

Postat avKrypteringskonsulting 6 minuter
Windows-Hello-for-Business
Innehållsförteckning

Windows Hello för företag löser olika säkerhetsutmaningar som är förknippade med traditionell lösenordsbaserad autentisering genom att erbjuda avancerade biometriska autentiseringsmetoder, såsom ansiktsigenkänning och fingeravtrycksskanning. Det förbättrar användarvänligheten, minskar lösenordsrelaterade sårbarheter, sänker helpdeskkostnader och åtgärdar problem relaterade till säkerhets- och efterlevnadskrav för distansarbete.

Krav och plan för Hello 

1. Distributionsalternativ 

Organisationer som överväger att driftsätta Windows Hello för företag måste utvärdera driftsättningsalternativ baserat på sin identitetsinfrastruktur. Tre huvudsakliga driftsättningsmodeller tillgodoser olika organisationsscenarier: 

Implementeringsmodell Användningsfall
Endast moln  Idealisk för organisationer med en helt molnbaserad identitet, som har åtkomst till resurser som SharePoint Online. 
Hybrid  Lämplig för organisationer med en blandning av moln- och lokala resurser, vilket möjliggör SSO för båda. 
On-Premises  Utformad för organisationer som enbart förlitar sig på lokala applikationer integrerade med Active Directory. 

2. Active Directory-integration 

Integration med Active Directory innebär noggrant övervägande av förtroendetyper och autentiseringsmetoder: 

Typ förtroende Autentiseringsmetod Användningsfall
Viktigt förtroende  Enhetsbunden nyckel  Lämplig för scenarier med förbättrad säkerhet, där användare måste autentisera sig med en nyckel. 
Certifikatförtroende  Autentiseringscertifikat  Idealisk för organisationer som betonar certifikatbaserad autentisering för ökad säkerhet. 
Moln Kerberos  Microsoft Entra Kerberos  Erbjuder en enklare distributionsupplevelse, rekommenderas när certifikatautentisering inte krävs. 

3. PKI-krav

Kravet för Public Key Infrastructure (PKI) varierar beroende på förtroendetyper:

Typ förtroende PKI-krav Överväganden
Moln Kerberos  Inget PKI-krav  Förenklar distributionen, rekommenderas för scenarier utan PKI-behov. 
Viktigt förtroende  PKI krävs  Lämplig för scenarier där certifikatbaserad autentisering är avgörande. 
Certifikatförtroende  PKI krävs  Kräver PKI för både användar- och domänkontrollantcertifikat. 

4. Enhetsregistrering 

Enhetsregistreringen skiljer sig beroende på distributionstyp: 

Distributionstyp Leverantör av enhetsregistrering Användningsfall
Moln/Hybrid  Microsoft Access ID  Sömlös registrering för enheter i både molnbaserade och hybriddistributionsmodeller. 
On-Premises  Active Directory Federation Services (AD FS)  Enhetsregistrering för lokal distribution hanteras via AD FS. 

5. Konfigurationsalternativ 

Organisationer kan konfigurera Windows Hello för företag via grupprincip (GPO) eller konfigurationstjänstleverantör (CSP), beroende på deras metod för enhetshantering.

Implementeringsmodell Konfigurationsalternativ Ledningsmetod Användningsfall
Endast moln  CSP  Mobile Device Management (MDM)  Idealisk för organisationer som hanterar enheter via MDM-lösningar som Microsoft Intune. 
Hybrid  GPO  Active Directory eller lokalt  Lämplig för domänanslutna enheter och scenarier där MDM inte är den primära hanteringen. 
On-Premises  CSP  Hanteras via MDM  Konfiguration via CSP för lokal distribution med MDM-hantering. 

6. Krav på operativsystem 

Organisationer bör säkerställa kompatibilitet med de operativsystem som krävs: 

Implementeringsmodell Typ förtroende Windows-version Användningsfall
Endast moln  Alla versioner som stöds  Kompatibel med alla Windows-versioner som stöds, vilket gör den lämplig för molnbaserade miljöer. 
Hybrid  Moln Kerberos  Windows 10 21H2, med KB5010415 och senare 
Windows 11 21H2, med KB5010414 och senare  		Kräver specifika Windows-versioner för Cloud Kerberos-förtroende vid hybriddistribution. 
Hybrid  Nyckel  Alla versioner som stöds  Kompatibel med alla Windows-versioner som stöds för Key Trust i hybriddistribution. 
Hybrid  Certifikat  Alla versioner som stöds  Kompatibel med alla Windows-versioner som stöds för certifikatförtroende i hybriddistribution. 
On-Premises  Nyckel  Alla versioner som stöds  Kompatibel med alla Windows-versioner som stöds för Key Trust vid lokal distribution. 
On-Premises  Certifikat  Alla versioner som stöds  Kompatibel med alla Windows-versioner som stöds för certifikatförtroende vid lokal distribution. 

Windows Hello jämfört med Windows Hello för företag 

Förstå skillnaden mellan Windows Hello och Windows Hello for Business är avgörande för organisationer: 

Funktioner Windows Hej Windows Hello for Business
Målgrupp  Konsumentanvändning  Inriktad på företagsmiljöer 
Autentisering  Konsumentbiometri, PIN-kod  MFA i företagsklass, stöd för smartkort, certifikatbaserad autentisering 
Identitetshantering  Enhetscentrerad  Integrerad med företagsidentitetssystem 
säkerhets~~POS=TRUNC  Konsumentnivå  Förbättrad säkerhet, anti-spoofing, nyckelbaserat skydd 

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Autentiseringsmetoder

1. Processöversikt

Windows Hello-autentiseringsprocessen involverar tvåstegsverifiering under registreringen, vilket upprättar en säker och betrodd relation: 

Autentiseringssteg BESKRIVNING
Provisionsprocess  Innebär att etablera en betrodd relation och skapa ett kryptografiskt nyckelpar som är kopplat till enhetens TPM. 
Skydd av nyckelpar  Innebär att etablera en betrodd relation och skapa ett kryptografiskt nyckelpar som är kopplat till enhetens TPM. 

2. Autentiserings-ID:n 

Autentiserings-ID BESKRIVNING
Microsoft 365-konto  Används för autentisering inom Microsoft 365-ekosystemet. 
Microsoft Access ID  Fungerar som den primära autentiseringsidentifieraren i Windows Hello-systemet. 
FIDO v2.0  Stöder lösenordsfri autentisering, vilket förbättrar säkerheten. 

3. MFA-verifiering 

Multifaktorautentisering (MFA) ger ett extra säkerhetslager utöver bara ett användarnamn och lösenord. Azure stöder olika typer av MFA-metoder för att förbättra autentiseringen: 

  1. Textmeddelande (SMS)

    • Beskrivning: Ett engångslösenord skickas till användarens registrerade mobiltelefon via sms.

    • Användning: Lämplig för användare med mobiltelefoner som föredrar en enkel och lättillgänglig metod.

  2. Röstsamtal

    • Beskrivning: Ett telefonsamtal levererar ett talat engångslösenord till användarens registrerade telefon.

    • Användning: Användbart för användare som kan ha svårt att ta emot eller läsa textmeddelanden.

  3. Avisering om mobilapp

    • Beskrivning: Användare får ett meddelande på sin mobila enhet som uppmanar dem att godkänna eller neka inloggningsbegäran.

    • Användning: Erbjuder en bekväm och snabb metod för användare med smartphones.

  4. Verifieringskod för mobilapp

    • Beskrivning: En tidskänslig verifieringskod genereras i en mobil autentiseringsapp (t.ex. Microsoft Authenticator).

    • Användning: Lämplig för användare som föredrar att använda autentiseringsappar och har dem installerade på sina smartphones.

  5. E-post

    • Beskrivning: Ett engångslösenord skickas till användarens registrerade e-postadress.

    • Användning: Lämplig för användare som föredrar att få autentiseringskoder via e-post.

4. Biometrisk autentisering 

Windows Hej för företag erbjuder olika biometriska inloggningsmetoder, var och en med specifika konfigurationskrav och tillhörande hårdvarukomponenter:

Biometrisk metod Konfigurationsalternativ Hårdvarukrav
ansiktsigenkänning  Använder infraröda (IR) kameror för tillförlitlig biometrisk autentisering. Kräver enheter utrustade med IR-kamera.  Infraröd (IR) kamera 
Fingeravtrycksigenkänning  Använder kapacitiva sensorer för att skanna fingeravtryck. Finns i externa enheter och integrerade system.  Kapacitiva sensorer 
Iris-erkännande  Denna metod, som introducerades med HoloLens 2, innebär att man skannar irisen för en säker autentiseringsupplevelse.  Irisskanner (t.ex. tillgänglig i HoloLens 2-enheter) 

Biometriska inloggningsmetoder 

1. Ansiktsigenkänning 

  • Mekanism

    • Infraröda kameror

       Används för att fånga ansiktsdrag som inte syns med blotta ögat.

    • Åtgärder mot spoofing

      Implementerad för att skilja mellan verkliga personer och försöker använda icke-levande representationer.

  • Funktionalitet

    • inskrivning

      Användare registrerar ansiktsdrag och skapar en unik mall.

    • Autentisering

      Involverar realtidsjämförelse av insamlade ansiktsdrag med den lagrade mallen.

  • Hårdvarukrav

    • Infraröd (IR) kamera

      Nödvändigt för korrekt bild av ansiktsdrag.

  • Pålitlighet

    • Ansiktsigenkänning erbjuder en bekväm och kontaktlös autentiseringsmetod som är lämplig för olika organisationsmiljöer.

    • IR-kameror förbättrar tillförlitligheten, vilket gör det svårt för angripare att förfalska systemet med statiska bilder.

2. Fingeravtrycksigenkänning 

  • Mekanism

    • Kapacitiva sensorer

      Används för att fånga de unika åsarna och dalarna i fingeravtryck.

    • Mönstermatchning

      Jämför skannade fingeravtryck med lagrade mallar för autentisering.

  • Funktionalitet

    • inskrivning

      Användare registrerar fingeravtryck och skapar en unik mall.

    • Autentisering

      Innebär att skanna fingeravtryck och jämföra dem med lagrade mallar.

  • Hårdvarukrav

    • Kapacitiva sensorer

      Viktigt för korrekt registrering av fingeravtrycksmönster.

  • Pålitlighet

    • Fingeravtrycksigenkänning erbjuder en pålitlig och allmänt accepterad biometrisk metod.

    • Implementeringsalternativ inkluderar externa fingeravtrycksskannrar eller integration i enheter som bärbara datorer och tangentbord.

Utforska

Fler ämnen