Windows Hello for Business 分步部署指南

企业若需部署Windows Hello for Business，必须在实际设置前做出关键决策，包括认证方法、密码/PIN复杂度、信任类型和部署模型等。其中最重要的是选择部署模型和信任类型，这两者均取决于最终需支持的用例场景。

部署过程中，企业应遵循设置流程，并确保配置符合内部安全最佳实践与法规要求。

如何选择部署模型

Windows Hello for Business的部署模型主要指其向应用程序进行认证的方式，共有三种模型：

纯云模式：适用于仅使用云身份且不访问本地资源的企业。
混合模式：适用于将身份从Active Directory同步至Microsoft Entra ID（即混合身份）且需面向本地和云资源实现单点登录（SSO）体验的企业。
本地模式：适用于无云身份且仅需面向本地资源实现SSO体验的企业。

混合模式是最常用的部署模型，主因是许多企业仍依赖混合身份并希望获得跨本地和云资源的SSO体验。

除部署模型外，还需确定部署的信任类型。信任类型指Windows Hello for Business如何向Active Directory进行认证，不影响向Microsoft Entra ID的认证，故不适用于纯云部署模型。共有三种信任类型：

云Kerberos：依赖Microsoft Entra Kerberos，通过Microsoft Entra ID直接请求Kerberos票证以认证本地资源。
密钥：依赖设备绑定密钥（在Windows Hello for Business配置过程中创建）认证本地资源。
证书：依赖所请求的证书认证本地资源，使用Windows Hello for Business配置期间创建的设备绑定密钥。

后两种选项均依赖基于证书的Kerberos来请求本地认证所需的票证，因此需部署公钥基础设施（PKI），增加了实现复杂度。为简化混合部署，微软引入了云Kerberos选项，无需PKI，使其成为混合部署的推荐模型（除非有特定证书需求）。

Windows Hello for Business配置通常包含基础和高级选项。基础选项针对标准纯云部署，高级选项针对特定部署场景。配置始终从基础开始，在Microsoft Intune中可通过两种方法实现：

通过Intune设备注册选项，在Windows设备注册过程中直接配置：

打开Microsoft Intune管理中心，进入设备 > Windows > 注册 > Windows > Windows Hello for Business。
在滑动面板中（如图1），至少配置以下设置后点击保存：
- 配置Windows Hello for Business：选择启用，在所有注册设备上默认启用。
- 使用可信平台模块（TPM）：选择必需，在支持TPM的设备上增加安全层。
其余设置可用于根据企业需求自定义PIN要求、生物识别、手机登录和安全密钥使用。

通过账户保护配置文件仅针对特定设备配置：

进入终端安全 > 账户保护。
点击创建配置文件 > Windows > 账户保护。
在基础页面提供唯一名称后点击下一步。
在配置设置页面（如图2），配置以下设置后点击下一步：
- 使用Windows Hello for Business：选择true，在所有分配设备上启用。
- 需要安全设备：选择true，在支持TPM的设备上增加安全层。
配置作用域标签和设备分配后，检查并创建策略。

其余设置可用于根据企业需求自定义PIN要求和生物识别使用。

高级功能主要针对需要本地认证的复杂场景，推荐使用云Kerberos信任。此方式需两项配置：

启用Microsoft Entra Kerberos：使Microsoft Entra ID能生成用于通过Active Directory认证本地环境的票证。
配置使用云Kerberos信任：通过Intune设置目录配置文件实现：
- 进入设备 > Windows > 配置。
- 点击创建 > 新策略 > Windows。
- 提供唯一名称后，在配置设置页面启用使用云信任进行本地认证（如图3）。
- 配置作用域标签和设备分配后，检查并创建配置文件。

作者简介：Peter van der Woude是移动性顾问，精通ConfigMgr和Microsoft Intune工具，微软MVP及Windows专家。