Pozn.: Třetí díl minisérie, která se zaměřuje na Windows Hello for Business s nasazením Cloud Kerberos Trust v hybridním prostředí s Hybrid Azure AD Joined zařízeními.

Nastavení (Provisioning) Windows Hello for Business

Podmínky pro korektní registraci

Abychom mohli registrovat Windows Hello for Business, tak musíme splnit několik podmínek:

Pozn.: Uvažujeme hybridní prostředí.

• přihlašujeme se přímo na zařízení (ne vzdáleně) a uplatnila se konfigurace (politika) pro Windows Hello Provisioning
• máme funkční síťovou komunikaci k Microsoftu (Azure AD)
• máme funkční komunikaci na doménový řadič (pokud používáme Group Policy a pro první přihlášení)
• máme nastavené vícefaktorové ověření (Multi-Factor Authentication - MFA)
• funkční TPM čip (pokud jej vyžadujeme)
• minimální verze Windows 10 21h2 (s instalovaným KB5010415) nebo Windows 11 21h2 (s instalovaným KB5010414)

Ověření předpokladů a logy na zařízení

Pokud jsou splněny podmínky, tak Provisioning proces (registrace) Windows Hello for Business začne okamžitě po přihlášení uživatele. Ve chvíli, kdy se nahraje profil, ale dříve, než uživatel dostane svou plochu, je vyzván k nastavení Windows Hello. Základní podmínkou je povolení Windows Hello for Business (se zapnutým Provisioning). Aby mohla proběhnout inicializace registrace, tak musí mít zařízení přístup na account.microsoft.com.

Informace o registraci a kontrole předpokladů nalezneme v logu na klientovi. Pomocí Event Viewer otevřeme

Applications and Services Logs - Microsoft - Windows - User Device Registration - Admin

Můžeme vyhledat událost Event ID 358, která může vypadat následně.

Windows Hello for Business provisioning will be launched. 
Device is AAD joined ( AADJ or DJ++ ): Yes 
User has logged on with AAD credentials: Yes 
Windows Hello for Business policy is enabled: Yes 
Windows Hello for Business post-logon provisioning is enabled: Yes 
Local computer meets Windows hello for business hardware requirements: Yes 
User is not connected to the machine via Remote Desktop: Yes 
User certificate for on premise auth policy is enabled: No 
Machine is governed by none policy. 
Cloud trust for on premise auth policy is enabled: Yes 
User account has Cloud TGT: Yes

Různé informace nám také zobrazí příkaz dsregcmd /status (nápověda dsregcmd). V části User State je položka NgcSet, pokud je YES, tak to znamená, že přihlášený uživatel má nastavený Windows Hello klíč (je zde také položka CanReset, která informuje o možnostech resetu PINu).

Pokud zařízení nemá registrované Windows Hello For Business, tak se zde nachází celá sekce Ngc Prerequisite Check, která zobrazuje informace o kontrole předpokladů. NGC je zkratka Next Generation Credential.

C:\>dsregcmd /status

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : FIRMA
               Device Name : test.firma.local
...
+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+
                    NgcSet : NO
...
+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+
            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : NO
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : none
              PreReqResult : WillNotProvision

Můžeme ověřit, zda jsme získali částečný TGT z Azure AD.

C:\>klist cloud_debug

Current LogonId is 0:0xd1631
Cloud Kerberos Debug info:
Cloud Kerberos enabled by policy: 0
AS_REP callback received: 1
AS_REP callback used: 1
Cloud Referral TGT present in cache: 0
SPN oracle configured: 0
KDC proxy present in cache: 0
Public Key Credential Present: 1
Password-derived Keys Present: 0
Plaintext Password Present: 0
AS_REP Credential Type: 2
Cloud Primary (Hybrid logon) TGT available: 1

Logy používání Windows Hello for Business se nachází v Event Viewer

Applications and Services Logs - Microsoft - Windows - HelloForBusiness - Operational

Můžeme si zobrazit informace o TPM

TpmTool GetDeviceInformation

První přihlášení po zapnutí provisioning - nastavení Windows Hello

Přesný průběh registrace Windows Hello For Business záleží na řadě okolností. Jak je nastavena politika, jaký hardware máme dostupný na počítači, zda má uživatel připojen Azure AD účet apod. Celým procesem nás provede jednoduchý průvodce.

Pozn.: Nenašel jsem popisy různých speciálních situací, kdy třeba není dostupná určitá komunikace, tak jsem se pokusil otestovat. V praxi se mi také stalo, že některá stránka Windows Hello registrace měla rozbité formátování a chyběly obrázky.

Při prvním přihlášení se zobrazí stránka s informací o konfiguraci Windows Hello For Business. Pokud máme k dispozici nějaký HW pro biometrii, tak je první krok jeho konfigurace.

Pozn.: Zajímavé je, že tato konfigurace je dostupná, i když v tuto chvíli nemáme žádné síťové připojení. Pokud nastavíme otisk prstu, tak konfigurace projde. Nedostaneme dialog na nastavení PINu (samozřejmě se nic nenastaví v Azure AD). Po přihlášení do Windows se zobrazí stavové hlášení, že je nastaveno Windows Hello a měli bychom nastavit PIN.

Nejčastěji můžeme nastavit otisk prstu (při konfiguraci musíme opakovaně přiložit prst k, nebo s ním přejet po, senzoru).

Pokud máme k dispozici více možností, rozpoznání obličeje nebo otisk prstu, tak zvolíme metodu, kterou chceme konfigurovat.

Nastavení spustíme tlačítkem Set up. Můžeme jej přeskočit pomocí Skip for now. Tím se dostaneme k druhému kroku, ale již se automaticky nenabídne konfigurace biometrických metod (můžeme ji provést ručně v nastavení Windows).

Druhý krok se zobrazí, pokud je dostupná komunikace k Microsoftu. Zobrazí se stránka Use Windows Hello with your account, která informuje, že organizace požaduje, abychom náš Azure AD účet (Work or School Account) nastavili spolu s Windows Hello. Máme možnost pouze kliknout OK.

Pozn.: Tato obrazovka se nezobrazí ve všech případech, někdy jde rovnou o nastavení PINu.

Následuje konfigurace Windows Hello PIN. Nejprve je potřeba přihlásit se Azure AD účtem s využitím MFA (je platné 10 minut).Pak se údaje zapíší do Azure AD.

Poté nastavíme PIN. Pokud chceme využít také písmena a symboly (a nejen číslice), tak zatrhneme Include letters and symbols.

Na závěr dostaneme informaci, že je vše nastaveno - All set. Potvrdíme OK a jsme přihlášeni do Windows. Pro první přihlášení (Hybrid Azure AD Joined zařízení) pomocí Windows Hello (biometrie nebo PINu) musí být dostupný doménový řadič. V dalších případech se může využít kešované přihlášení.

Nastavení (nebo změna) Windows Hello (bez provisioning)

Konfigurace a případně změny se provádí v nastavení Windows

• Settings - Accounts - Sign-in options

Zde můžeme nastavovat a přidávat další možnosti přihlášení, otisky prstů, měnit PIN apod. Windows nás informují, které metody jsou povolené a dostupné. Musíme být přihlášení přímo na počítači (ne přes RDP) a Windows Hello musí být povoleno.

Pokud se aktivovala politika, která povoluje Windows Hello, a ještě nedošlo k přihlášení, tak můžeme nastavit metody ručně. Nebo pokud máme v politice vypnutou registraci po přihlášení (Do not start Windows Hello provisioning after sign-in), tak můžeme provést registraci kdykoliv ručně či pomocí aplikace třetí strany.

Pokud máme k dispozici čtečku otisků prstů, tak můžeme začít pomocí Windows Hello Fingerprint. Spustí se průvodce, kde nastavíme otisk prstu (nebo několik, při konfiguraci musíme opakovaně přiložit prst k nebo s ním přejet po senzoru). Nebo použijeme Windows Hello PIN (popis navazuje v dalším kroku).

Pokud jsme dříve nenastavili PIN, tak jej následně musíme povinně nastavit.

Je potřeba se přihlásit Azure AD účtem s využitím MFA (vícefaktorové autentizace, je platné 10 minut).

Zadáme svůj PIN. Pokud chceme využít také písmena a symboly (a nejen číslice), tak zatrhneme Include letters and symbols.

Přihlášení pomocí Windows Hello

Při přihlášení je jedna ověřovací metoda nastavena jako výchozí. Otisk prstu můžeme použít rovnou (nemusíme aktivovat obrazovku). Pokud chceme použít jinou metodu, tak klikneme na Sign-in options a zvolíme jednu z dostupných metod.

Pozn.: Pro první přihlášení pomocí biometrie nebo PINu musí být dostupný doménový řadič. V dalších případech se může využít kešované přihlášení.

Změna či reset PINu

• Windows Hello for Business PIN Reset

Svůj Windows Hello PIN můžeme změnit. Pokud jej zapomeneme, tak můžeme provést jeho reset, kdy se přihlásíme a ověříme pomocí MFA a nastavíme nový PIN.

Z nastavení Windows

Změnu nebo reset PINu můžeme vyvolat z nastavení Windows

• Settings - Accounts - Sign-in options
• klikneme na Windows Hello PIN
• Change - změna PINu
• I forgot my PIN - reset PINu

Z přihlašovací obrazovky

Reset PINu také z přihlašovací/zamykací obrazovky

• pokud není vybrána metoda PIN, tak použijeme Sign-in options a zvolíme ikonu klávesnice
• klikneme na I forgot my PIN
• přihlásíme se pomocí hesla
• projdeme proces registrace PINu

Remote Desktop - připojení ke vzdálené ploše

Windows Hello for Business použijeme pro interaktivní (lokální) přihlášení k počítači. Když se na počítač přihlašujeme vzdáleně (Remote Desktop), tak musíme použít jinou ověřovací metodu (heslo).

Pokud jsme na počítači přihlášeni pomocí Windows Hello for Business, tak se z tohoto počítače můžeme připojovat vzdáleně k jinému pomocí Remote Desktop Connection. Systém se snaží použít Windows Hello certifikát, který pro vzdálené přihlášení nefunguje. Je potřeba kliknout na More choices a vybrat přihlášení jménem a heslem. Můžeme mít v systému vystavený speciální certifikát pro vzdálené přihlášení, který je chráněný pomocí Windows Hello for Business. Zobrazuje se u něj informace Security device credential.