Windows Hello for Business 部署步骤详解

若企业希望部署 Windows Hello for Business，需在实际设置前做出关键决策，包括认证方法、密码/PIN复杂度、信任类型及部署模型。其中最重要的是选择部署模型和信任类型，二者均需根据实际支持的使用场景而定。

部署过程中，企业应遵循设置流程，并确保配置符合内部安全最佳实践与法规要求。

如何选择部署模型

Windows Hello for Business 的部署模型指其向应用程序进行身份验证的方式，共有三种：

• 纯云模型：适用于仅使用云身份且不访问本地资源的企业。
• • 混合模型：适用于身份从 Active Directory 同步至 Microsoft Entra ID（即混合身份）且需面向本地和云资源实现单点登录（SSO）的企业。
• • 本地模型：适用于无云身份且仅需面向本地资源实现 SSO 的企业。 混合模型是最常用的部署方式，因多数企业仍依赖混合身份并期望统一的 SSO 体验。

Windows Hello for Business 信任类型

除部署模型外，还需确定信任类型。信任类型指 Windows Hello for Business 向 Active Directory 进行身份验证的方式，不影响向 Microsoft Entra ID 的认证（故不适用于纯云模型）。共有三种信任类型：

• 云 Kerberos：通过 Microsoft Entra Kerberos 直接请求 Kerberos 票据，实现本地资源认证。
• • 密钥信任：依赖设备绑定密钥（在 WHfB 配置期间创建）进行本地认证。
• • 证书信任：依赖申请的证书进行本地认证，使用 WHfB 配置时创建的设备绑定密钥。 后两种选项均依赖基于证书的 Kerberos 请求本地认证票据，需部署公钥基础设施（PKI），复杂度较高。为简化混合部署，微软推荐使用云 Kerberos 信任（无需 PKI），除非有特定证书需求。

通过两种方法配置基础功能

WHfB 配置包含基础与高级选项。基础选项针对标准纯云部署，高级选项针对特定场景。配置始终从基础开始，在 Microsoft Intune 中可通过两种方法实现：

方法一：通过注册选项配置

通过 Intune 设备注册在 Windows 设备加入时直接配置：

1. 打开 Intune 管理中心，进入 设备 > Windows > 注册 > Windows Hello for Business。
2. 2. 在滑动面板中（见图1），至少配置以下设置后点击保存：
3. • 配置 Windows Hello for Business：选择“启用”，在所有注册设备上默认启用。
4. • 使用可信平台模块（TPM）：选择“必需”，在支持 TPM 的设备上增加安全层。
5. 3. 可调整其他设置（如 PIN 要求、生物识别、手机登录和安全密钥）以匹配企业需求。

方法二：通过账户保护策略配置

通过账户保护配置文件仅针对指定设备配置：

1. 进入 终端安全 > 账户保护。
2. 2. 点击 创建配置文件 > Windows > 账户保护。
3. 3. 在“基础”页提供唯一名称，点击“下一步”。
4. 4. 在“配置设置”页（见图2），配置以下设置：
5. • 使用 Windows Hello for Business：选择“true”，在分配设备上启用。
6. • 需要安全设备：选择“true”，在支持 TPM 的设备上增加安全层。
7. 5. 配置作用域标签和设备分配，审核后创建策略。

剩余设置可进一步自定义 PIN 要求和生物识别使用。

配置高级功能

高级功能主要针对需本地认证的复杂场景，推荐使用云 Kerberos 信任。此方式需两项配置：

1. 启用 Microsoft Entra Kerberos：使 Microsoft Entra ID 能生成用于通过 Active Directory 进行本地认证的票据。
2. 2. 配置云 Kerberos 信任：通过 Intune 设置目录配置文件指定使用云 Kerberos 信任：
3. • 进入 设备 > Windows > 配置。
4. • 点击 创建 > 新策略 > Windows。
5. • 命名后，在“配置设置”页启用 Use Cloud Trust For On Prem Auth（见图3）。
6. • 分配作用域标签和设备，审核后创建。

作者简介：Peter van der Woude 是移动性顾问，精通 ConfigMgr 和 Microsoft Intune，微软 MVP 及 Windows 专家。 更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）