Windows Hello 企业版非常适合具有自己指定 Windows 电脑的信息工作者。 生物识别和 PIN 凭据直接绑定到用户的电脑,可阻止除所有者之外的任何人访问。 借助公钥基础结构(PKI)集成和对单一登录(SSO)的内置支持,Windows Hello 企业版提供了一种便捷的方法,用于无缝访问本地和云中的公司资源。
Microsoft Entra ID 中的 Windows Hello 企业版登录的工作原理
以下步骤演示了使用 Microsoft Entra ID 进行登录的过程:
- 用户使用生物识别或 PIN 手势登录到 Windows。 该手势解锁 Windows Hello 企业版私钥,并发送到云身份验证安全支持提供程序,称为云身份验证提供程序 (CloudAP)。 有关 CloudAP 的更多信息,请参阅什么是主刷新令牌?。
- CloudAP 从 Microsoft Entra ID 请求一个 nonce(一个随机的任意数字,可以使用一次)。
- Microsoft Entra ID 返回有效期为 5 分钟的 nonce。
- CloudAP 使用用户的私钥对 nonce 进行签名,并将签名的 nonce 返回给 Microsoft Entra ID。
- Microsoft Entra ID 使用用户安全注册的公钥,按照 nonce 签名验证已签名的 nonce。 Microsoft Entra ID 验证签名,然后验证返回的已签名 nonce。 验证 nonce 后,Microsoft Entra ID 将使用加密到设备传输密钥的会话密钥创建主刷新令牌 (PRT),并将其返回给 CloudAP。
- CloudAP 接收带有会话密钥的加密 PRT。 CloudAP 使用设备的私有传输密钥解密会话密钥,并使用设备的受信任平台模块 (TPM) 保护会话密钥。
- CloudAP 向 Windows 返回成功的身份验证响应。 然后,用户能够通过无缝单一登录 (SSO) 访问 Windows 以及云和本地应用程序。
Windows Hello 企业版规划指南可用于帮助你决定 Windows Hello 企业版部署的类型以及需要考虑的选项。