Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Windows Hello voor Bedrijven is ideaal voor informatiewerkers die hun eigen Windows-pc hebben. De biometrische en pincodereferenties zijn rechtstreeks gekoppeld aan de pc van de gebruiker, waardoor toegang van anderen dan de eigenaar wordt voorkomen. Met PKI-integratie (Public Key Infrastructure) en ingebouwde ondersteuning voor eenmalige aanmelding (SSO) biedt Windows Hello voor Bedrijven een handige methode voor naadloze toegang tot bedrijfsresources on-premises en in de cloud.
Hoe aanmelden werkt voor Windows Hello voor Bedrijven in Microsoft Entra ID
De volgende stappen laten zien hoe het aanmeldingsproces werkt met Microsoft Entra-id:
- Een gebruiker meldt zich aan bij Windows met behulp van biometrische of pincodebeweging. De beweging ontgrendelt de Windows Hello voor Bedrijven persoonlijke sleutel en wordt verzonden naar de cloudverificatiebeveiligingsondersteuningsprovider, de cloudverificatieprovider (CloudAP) genoemd. Zie Wat is een primair vernieuwingstoken? voor meer informatie over CloudAP.
- De CloudAP vraagt een nonce aan (een willekeurig getal dat slechts één keer kan worden gebruikt) van Microsoft Entra ID.
- Microsoft Entra-id retourneert een nonce die vijf minuten geldig is.
- CloudAP ondertekent de nonce met behulp van de persoonlijke sleutel van de gebruiker en retourneert de ondertekende nonce naar de Microsoft Entra-id.
- Microsoft Entra ID valideert de ondertekende nonce met behulp van de veilig geregistreerde openbare sleutel van de gebruiker tegen de nonce-signatuur. Microsoft Entra ID valideert de handtekening en valideert vervolgens de geretourneerde ondertekende nonce. Wanneer de nonce wordt gevalideerd, maakt Microsoft Entra-id een primair vernieuwingstoken (PRT) met een sessiesleutel die is versleuteld met de transportsleutel van het apparaat en retourneert deze naar de CloudAP.
- CloudAP ontvangt de versleutelde PRT met een sessiesleutel. CloudAP gebruikt de persoonlijke transportsleutel van het apparaat om de sessiesleutel te ontsleutelen en beveiligt de sessiesleutel met behulp van de Trusted Platform Module (TPM) van het apparaat.
- CloudAP retourneert een geslaagd verificatieantwoord op Windows. De gebruiker heeft vervolgens toegang tot Windows- en cloudtoepassingen en on-premises toepassingen met behulp van naadloze aanmelding (SSO).
De Windows Hello voor Bedrijven planningshandleiding kan worden gebruikt om u te helpen bij het nemen van beslissingen over het type Windows Hello voor Bedrijven implementatie en de opties die u moet overwegen.