Windows hello как включить в домене

This article explains how to enable or disable domain users from using Windows Hello Biometrics to log on to Windows 11.

Windows 11 has a Windows Hello feature that provides a more personal and secure way to sign into Windows. With Windows Hello, one can use a PIN, facial recognition, or fingerprint to sign into their devices securely.

Most new Windows devices you purchase today will come with biometrics features. In addition, windows will prompt you to use one biometrics feature to protect your device and enhance your data security.

However, Windows Hello Biometrics may not be compatible with a domain environment where user management is centralized.

Here’s how to allow or disallow domain users from using Windows Hello Biometrics to log on to Windows 11.

Turn on or off the use of Windows Hello Biometrics for domain users via the Local Group Policy Editor

As described above, Windows Hello Biometrics features enhance security and data protection. However, not in all cases can users use Windows biometrics features.

Here’s how to enable or disable it.

First, open the Local Group Policy Editor.

Then expand the following folders Computer Configuration -> Administrative Templates -> Windows Components -> Biometrics.

Computer Configuration -> Administrative Templates -> Windows Components -> Biometrics

Next, click on the Biometrics folder on the left panel, and double-click the setting on the right called “Allow domain users to log on using biometrics” to open.

Картинка с сайта: geekrewind.com

When the setting window opens, select one of the options:

• Not Configured – Same as enabled. The Biometrics service is available.
• Enabled – Windows Hello Biometrics service is available to use.
• Disabled – Windows Hello Biometrics service is unavailable, and users can use Biometrics.

Картинка с сайта: geekrewind.com

Save your settings and restart your computer for the changes to apply.

Enable or disable domain users to Windows Hello Biometrics via Windows Registry Editor

Yet another way to turn on or off Windows Hello Biometrics in Windows is to use the Windows Registry Editor.

If you can’t open the Local Group Policy Editor, use the Windows Registry editor instead.

Open the Windows Registry, and navigate to the folder key path below.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft

If you don’t see the Biometrics folder key, right-click on the Microsoft key, then create the subkey (Biometrics) folders.

Картинка с сайта: geekrewind.com

Right-click the Biometrics folder key’s right pane and select New -> DWORD (32-bit) Value. Type a new key named Enabled.

Double-click the new key item name (Enabled) and make sure the Base option is Decimal, and then update the Value data, making sure you keep your existing value:

• To turn this feature on. Type 1.
• To turn this feature off. Type 0.

Картинка с сайта: geekrewind.com

Save your changes and restart your computer.

That should do it!

Conclusion:

• Enabling or disabling Windows Hello Biometrics for domain users is crucial for organizations with centralized user management.
• The process can be accomplished through the Local Group Policy Editor or the Windows Registry Editor.
• By following these steps, users can control the availability of Windows Hello Biometrics, enhancing security and data protection within their domain environment.

Доброго времени суток, Уважаемый. Сейчас я постараюсь рассказать что такое Windows Hello для бизнеса и как это настроить.

Windows Hello — это система аутентификации в Windows 10, на основе PIN кода, биометрических данных или гравифеского пароля. Приставка для бизнеса значит, что все это будет работать в домене.

Почему пароль уже не очень хорошо? Потому что! Если серьезно, то можно почитать тут.

Что нам надо?

• Active Directory — Минимум 1 контроллер домена на базе Windows Server 2016. Уровень домена не ниже Windows Server 2012 R2.
• Public Key Infrastructure
• Azure Active Directory.
• Windows 10 в качестве клиента.

Настройка сертификатов контроллера домена

Клиенты должны доверять контроллерам домена; лучший способ это обеспечить — предоставить каждому контроллеру домена сертификат проверки подлинности Kerberos. Установка сертификата на контроллер домена позволяет центру распространения ключей (KDC) подтверждать свою подлинность другим членам домена.

Войдите в центр сертификации или на рабочие станции управления, используя учетные данные, эквивалентные администратору домена.

1. Откройте консоль управления Центр сертификации.
2. Щелкните правой кнопкой мыши элемент Шаблоны сертификатов и затем выберите Управление.
3. В консоли «Шаблон сертификата» щелкните правой кнопкой мыши шаблон Проверка подлинности Kerberos в области сведений, а затем щелкните Скопировать шаблон.
4. На вкладке Совместимость снимите флажок Показать последующие изменения. Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Центр сертификации. Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Получатель сертификата.
5. На вкладке Общие в поле отображаемого имени шаблона введите Проверка подлинности контроллера домена (Kerberos). Измените срок действия и период обновления в соответствии с потребностями вашей организации. Примечание: если используются другие имена шаблонов, их необходимо помнить и заменить на эти имена в разных частях лаборатории.
6. На вкладке Субъект нажмите кнопку Строится на основе данных Active Directory, если она еще не нажата. Выберите пункт Нет в списке Формат имени субъекта. Выберите DNS-имя в списке Включить эту информацию в альтернативное имя субъекта. Снимите все остальные флажки.
7. На вкладке Шифрование выберите Поставщик хранилища ключей из списка Категория поставщика. Из списка Имя алгоритма выберите RSA. Введите 2048 в текстовое поле Минимальный размер ключей. Выберите SHA256 из списка Хэш запроса. Нажмите кнопку OK.
8. Закройте консоль.

Замена существующего сертификата контроллера домена

Большое количество контроллеров домена может иметь существующий сертификат контроллера домена. Службы сертификатов Active Directory предоставляют шаблона сертификата по умолчанию от контроллеров домена — шаблон сертификата контроллера домена. Более поздние версии включают новый шаблон сертификата — шаблон сертификата проверки подлинности контроллера домена. Эти шаблоны сертификатов были предоставлены до обновления спецификации Kerberos, в которой указано, что центры распространения ключей (KDC), выполняющие проверку подлинности сертификатов, должны включать расширение KDC для проверки подлинности.

Шаблон сертификата проверки подлинности Kerberos — самый новый шаблон сертификата, предназначенный для контроллеров домена, и именно его следует развернуть на всех контроллерах домена (2008 или более поздней версии). Функция автоматической регистрации в Windows позволяет легко заменить эти сертификаты контроллеров домена. Можно использовать следующую конфигурацию для замены более старых сертификатов контроллеров домена новыми сертификатами с помощью шаблона сертификата проверки подлинности Kerberos.

Войдите в центр сертификации или на рабочие станции управления, используя учетные данные, эквивалентные администратору предприятия.

1. Откройте консоль управления Центр сертификации.
2. Щелкните правой кнопкой мыши элемент Шаблоны сертификатов и затем выберите Управление.
3. В консоли «Шаблоны сертификатов» щелкните правой кнопкой мыши шаблон Проверки подлинности на контроллере домена (Kerberos) (или имя шаблона сертификата, созданного в предыдущем разделе) в области сведений и нажмите кнопку Свойства.
4. Выберите вкладку Устаревшие шаблоны. Нажмите кнопку Добавить.
5. Из диалогового окна Добавление устаревшего шаблона выберите шаблон сертификата Контроллер домена и нажмите кнопку ОК. Нажмите Добавить.
6. Из диалогового окна Добавление устаревшего шаблона выберите шаблон сертификата Проверка подлинности контроллера домена и нажмите кнопку ОК.
7. Из диалогового окна Добавление устаревшего шаблона выберите шаблон сертификата Проверка подлинности Kerberos и нажмите кнопку ОК.
8. Добавьте другие шаблоны сертификатов предприятия, настроенные ранее для контроллеров домена, на вкладку Устаревшие шаблоны.
9. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.

Шаблон сертификата настроен для замены всех шаблонов сертификатов, перечисленных в списке устаревших шаблонов сертификатов.

Публикация шаблонов сертификатов в центр сертификации

Центр сертификации может выдавать только сертификаты, соответствующие шаблонам сертификатов, опубликованным в этот центр сертификации.

1. Откройте консоль управления Центр сертификации.
2. Разверните родительский узел в области навигации.
3. В области навигации щелкните Шаблоны сертификатов.
4. Щелкните правой кнопкой мыши узел Шаблоны сертификатов. Выберите пункт Создать и щелкните выдаваемый Шаблон сертификата.
5. В окне Включение шаблонов сертификатов выберите шаблон Проверка подлинности контроллера домена (Kerberos), созданный в предыдущих шагах. Нажмите кнопку ОК для публикации выбранного шаблона сертификатов в центр сертификации.
6. Если вы опубликовали шаблон сертификата проверки подлинности контроллера домена (Kerberos), следует отменить публикацию шаблонов сертификатов, включенных в список устаревших шаблонов.
   • Чтобы отменить публикацию шаблона сертификата, щелкните правой кнопкой мыши шаблон сертификата, публикацию которого вы хотите отменить, в области сведений консоли «Центр сертификации», а затем выберите Удалить. Нажмите кнопку Да для подтверждения операции.
7. Закройте консоль.

Настройка контроллеров домена для автоматической регистрации сертификатов

Контроллеры домена автоматически запрашивают сертификат на основе шаблона сертификата контроллера домена. Однако контроллер домена не знает о более новых шаблонах сертификатов или устаревших конфигурациях шаблонов сертификатов. Чтобы продолжить автоматическую регистрацию и обновление сертификатов контроллера домена, которые знают о более новых шаблонах сертификатов и устаревших конфигурациях шаблона сертификата, создайте и настройте объект групповой политики для автоматической регистрации сертификатов и свяжите объект групповой политики с OU контроллеров домена.

1. Запустите Консоль управления групповыми политиками (gpmc.msc).
2. В области навигации разверните домен и выберите узел Объект групповой политики.
3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.
4. Введите Автоматическая регистрация сертификатов контроллера домена в поле имени и нажмите кнопку ОК.
5. Щелкните правой кнопкой мыши объект групповой политики Автоматическая регистрация сертификатов контроллера домена и щелкните Изменить.
6. В области навигации в узле Конфигурация компьютера разверните Политики.
7. Разверните Параметры Windows, Параметры безопасности и выберите Политики открытого ключа.
8. В области сведений щелкните правой кнопкой мыши Клиент служб сертификации: автоматическая регистрация и выберите Свойства.
9. В окне Модель конфигурации выберите Включено.
10. Установите флажок Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты.
11. Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов.
12. Нажмите кнопку OK. Закройте Редактор управления групповыми политиками.
13. В области навигации разверните домен и узел, имя которого соответствует имени вашего домена Active Directory. Щелкните правой кнопкой мыши подразделение Контроллеры домена и щелкните Связать существующий объект групповой политики…
14. В диалоговом окне Выбор объекта групповой политики выберите Автоматическая регистрация сертификатов контроллера домена или имя объекта групповой политики регистрации сертификата контроллера домена, созданный ранее, и нажмите кнопку ОК.

Групповая политика «Включить Windows Hello для бизнеса»

Параметр групповой политики «Включить Windows Hello для бизнеса» необходим Windows для определения того, следует ли пользователю пытаться регистрироваться в Windows Hello для бизнеса. Пользователь будет пытаться регистрироваться только в случае, если этот параметр политики включен.

Создание объекта групповой политики Windows Hello для бизнеса

Объект групповой политики содержит параметры политики, необходимые для запуска подготовки Windows Hello для бизнеса, а также для обеспечения автоматического продления сертификатов проверки подлинности Windows Hello для бизнеса.

1. Запустите Консоль управления групповыми политиками (gpmc.msc).
2. В области навигации разверните домен и выберите узел Объект групповой политики.
3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.
4. Введите Включить Windows Hello для бизнеса в поле имени и нажмите кнопку ОК.
5. В области содержимого щелкните правой кнопкой мыши объект групповой политики Включить Windows Hello для бизнеса и выберите Изменить.
6. В области навигации в узле Конфигурация пользователя разверните Политики.
7. Разверните Административные шаблоны, Компонент Windows и выберите Windows Hello для бизнеса.
8. В области содержимого дважды щелкните Использовать Windows Hello для бизнеса. Щелкните Включить и нажмите кнопку ОК.
9. Закройте Редактор управления групповыми политиками.

Настройка безопасности в объекте групповой политики Windows Hello для бизнеса

Самый лучший способ развертывания объекта групповой политики Windows Hello для бизнеса— это использование фильтрации по группам безопасности. Благодаря этому можно легко управлять пользователями, которые должны получить Windows Hello для бизнеса, просто добавляя их в группу. Это позволяет развернуть Windows Hello для бизнеса в несколько этапов.

1. Запустите Консоль управления групповыми политиками (gpmc.msc).
2. В области навигации разверните домен и выберите узел Объект групповой политики.
3. Дважды щелкните объект групповой политики Включить Windows Hello для бизнеса.
4. В разделе Фильтрация ограничений безопасности области содержимого нажмите кнопку Добавить. Введите Пользователи Windows Hello для бизнеса или имя ранее созданной группы безопасности и нажмите кнопку ОК.
5. Перейдите на вкладку Делегирование, выберите Прошедшие проверку и нажмите кнопку Дополнительно.
6. В списке Группы или пользователи выберите Прошедшие проверку. В списке Разрешения для прошедших проверку пользователей снимите флажок Разрешить для разрешения Применить групповую политику. Нажмите кнопку OK.

Развертывание объекта групповой политики Windows Hello для бизнеса

При применении объекта групповой политики Windows Hello для бизнеса используется фильтрация по группам безопасности. Это позволяет привязать объект групповой политики к домену, что гарантирует, что объект групповой политики будет находиться в пределах области для всех пользователей. Тем не менее, фильтрация по группам безопасности гарантирует, что только пользователи, входящие в глобальную группу Пользователи Windows Hello для бизнеса, будут получать и применять объект групповой политики, что приводит к подготовке Windows Hello для бизнеса.

1. Запустите Консоль управления групповыми политиками (gpmc.msc).
2. В области навигации разверните домен, щелкните правой кнопкой мыши узел с именем вашего домена Active Directory и выберите Связать существующий объект групповой политики…
3. В диалоговом окне Выбор объекта групповой политики выберите Включить Windows Hello для бизнеса или имя ранее созданного объекта групповой политики Windows Hello для бизнеса и нажмите кнопку ОК.

Azure Active Directory

Теперь важно обновить структуру синхронизации Active Directory с Azure Active Directory. Если этого не сделать, то при вводе PIN кода, пользователи будут видеть ошибку вида «функция (входа по PIN коду) временно недоступна».

Windows 10

Можно приступать к настроке PIN кода, отпечатка пальцев и т.д.

Есть контроллер домена AD WS2016.
Пользователь с ноутбуком ZenBook Flip 14 UM462DA (в домене), хочет осуществлять вход в с систему посредством «Распознавания лиц Windows Hello». (на устройстве такая техническая возможность присутствует)
Но «что то пошло не так»

Картинка с сайта: qna.habr.com

Решил применить в AD групповую политику(нашел мануалы в инете), но ничего не изменилось.

Картинка с сайта: qna.habr.com

Картинка с сайта: qna.habr.com

Как все такие реализовать вход в систему с помощью Windows Hello?

• 
  Вопрос задан
  
  более трёх лет назад
  

• 4499 просмотров