www.SAMURAJ-cz.com 

23.02.2024 Svatopluk Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Windows Hello for Business - uživatelské nastavení a používání

Upraveno 12.06.2023 08:00 | vytvořeno 07.06.2023 15:45 | Samuraj - Petr Bouška |
Windows Hello vytvoří přihlašovací údaje (asymetrický pár klíčů, často chráněný pomocí TPM) pro uživatelský účet v Azure AD (případně AD), které jsou napevno svázány s určitým zařízením. Uživatel si pro přihlášení nastaví (nejčastěji) otisk prstu, jako záloha slouží PIN. V tomto článku si popíšeme průběh registrace (Provisioning) Windows Hello na zařízení. Může probíhat při prvním přihlášení po zapnutí nebo přes nastavení Windows. Zmíníme přihlašování a reset PINu.

Pozn.: Třetí díl minisérie, která se zaměřuje na Windows Hello for Business s nasazením Cloud Kerberos Trust v hybridním prostředí s Hybrid Azure AD Joined zařízeními.

Nastavení (Provisioning) Windows Hello for Business

Podmínky pro korektní registraci

Abychom mohli registrovat Windows Hello for Business, tak musíme splnit několik podmínek:

Pozn.: Uvažujeme hybridní prostředí.

  • přihlašujeme se přímo na zařízení (ne vzdáleně) a uplatnila se konfigurace (politika) pro Windows Hello Provisioning
  • máme funkční síťovou komunikaci k Microsoftu (Azure AD)
  • máme funkční komunikaci na doménový řadič (pokud používáme Group Policy a pro první přihlášení)
  • máme nastavené vícefaktorové ověření (Multi-Factor Authentication - MFA)
  • funkční TPM čip (pokud jej vyžadujeme)
  • minimální verze Windows 10 21h2 (s instalovaným KB5010415) nebo Windows 11 21h2 (s instalovaným KB5010414)

Ověření předpokladů a logy na zařízení

Pokud jsou splněny podmínky, tak Provisioning proces (registrace) Windows Hello for Business začne okamžitě po přihlášení uživatele. Ve chvíli, kdy se nahraje profil, ale dříve, než uživatel dostane svou plochu, je vyzván k nastavení Windows Hello. Základní podmínkou je povolení Windows Hello for Business (se zapnutým Provisioning). Aby mohla proběhnout inicializace registrace, tak musí mít zařízení přístup na account.microsoft.com.

Informace o registraci a kontrole předpokladů nalezneme v logu na klientovi. Pomocí Event Viewer otevřeme

Applications and Services Logs - Microsoft - Windows - User Device Registration - Admin

Můžeme vyhledat událost Event ID 358, která může vypadat následně.

Windows Hello for Business provisioning will be launched. 
Device is AAD joined ( AADJ or DJ++ ): Yes 
User has logged on with AAD credentials: Yes 
Windows Hello for Business policy is enabled: Yes 
Windows Hello for Business post-logon provisioning is enabled: Yes 
Local computer meets Windows hello for business hardware requirements: Yes 
User is not connected to the machine via Remote Desktop: Yes 
User certificate for on premise auth policy is enabled: No 
Machine is governed by none policy. 
Cloud trust for on premise auth policy is enabled: Yes 
User account has Cloud TGT: Yes

Různé informace nám také zobrazí příkaz dsregcmd /status (nápověda dsregcmd). V části User State je položka NgcSet, pokud je YES, tak to znamená, že přihlášený uživatel má nastavený Windows Hello klíč (je zde také položka CanReset, která informuje o možnostech resetu PINu).

Pokud zařízení nemá registrované Windows Hello For Business, tak se zde nachází celá sekce Ngc Prerequisite Check, která zobrazuje informace o kontrole předpokladů. NGC je zkratka Next Generation Credential.

C:\>dsregcmd /status

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : FIRMA
               Device Name : test.firma.local
...
+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+
                    NgcSet : NO
...
+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+
            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : NO
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : none
              PreReqResult : WillNotProvision

Můžeme ověřit, zda jsme získali částečný TGT z Azure AD.

C:\>klist cloud_debug

Current LogonId is 0:0xd1631
Cloud Kerberos Debug info:
Cloud Kerberos enabled by policy: 0
AS_REP callback received: 1
AS_REP callback used: 1
Cloud Referral TGT present in cache: 0
SPN oracle configured: 0
KDC proxy present in cache: 0
Public Key Credential Present: 1
Password-derived Keys Present: 0
Plaintext Password Present: 0
AS_REP Credential Type: 2
Cloud Primary (Hybrid logon) TGT available: 1

Logy používání Windows Hello for Business se nachází v Event Viewer

Applications and Services Logs - Microsoft - Windows - HelloForBusiness - Operational

První přihlášení po zapnutí provisioning - nastavení Windows Hello

Přesný průběh registrace Windows Hello For Business záleží na řadě okolností. Jak je nastavena politika, jaký hardware máme dostupný na počítači, zda má uživatel připojen Azure AD účet apod. Celým procesem nás provede jednoduchý průvodce.

Pozn.: Nenašel jsem popisy různých speciálních situací, kdy třeba není dostupná určitá komunikace, tak jsem se pokusil otestovat. V praxi se mi také stalo, že některá stránka Windows Hello registrace měla rozbité formátování a chyběly obrázky.

Při prvním přihlášení se zobrazí stránka s informací o konfiguraci Windows Hello For Business. Pokud máme k dispozici nějaký HW pro biometrii, tak je první krok jeho konfigurace.

Pozn.: Zajímavé je, že tato konfigurace je dostupná, i když v tuto chvíli nemáme žádné síťové připojení. Pokud nastavíme otisk prstu, tak konfigurace projde. Nedostaneme dialog na nastavení PINu (samozřejmě se nic nenastaví v Azure AD). Po přihlášení do Windows se zobrazí stavové hlášení, že je nastaveno Windows Hello a měli bychom nastavit PIN.

Nejčastěji můžeme nastavit otisk prstu (při konfiguraci musíme opakovaně přiložit prst k, nebo s ním přejet po, senzoru).

Windows Hello for Business  - registrace 1

Pokud máme k dispozici více možností, rozpoznání obličeje nebo otisk prstu, tak zvolíme metodu, kterou chceme konfigurovat.

Windows Hello for Business  - registrace 2

Nastavení spustíme tlačítkem Set up. Můžeme jej přeskočit pomocí Skip for now. Tím se dostaneme k druhému kroku, ale již se automaticky nenabídne konfigurace biometrických metod (můžeme ji provést ručně v nastavení Windows).

Druhý krok se zobrazí, pokud je dostupná komunikace k Microsoftu. Zobrazí se stránka Use Windows Hello with your account, která informuje, že organizace požaduje, abychom náš Azure AD účet (Work or School Account) nastavili spolu s Windows Hello. Máme možnost pouze kliknout OK.

Pozn.: Tato obrazovka se nezobrazí ve všech případech, někdy jde rovnou o nastavení PINu.

Windows Hello for Business  - registrace 3

Následuje konfigurace Windows Hello PIN. Nejprve je potřeba přihlásit se Azure AD účtem s využitím MFA (je platné 10 minut).Pak se údaje zapíší do Azure AD.

Windows Hello for Business  - registrace 4

Poté nastavíme PIN. Pokud chceme využít také písmena a symboly (a nejen číslice), tak zatrhneme Include letters and symbols.

Windows Hello for Business  - registrace 5

Na závěr dostaneme informaci, že je vše nastaveno - All set. Potvrdíme OK a jsme přihlášeni do Windows. Pro první přihlášení (Hybrid Azure AD Joined zařízení) pomocí Windows Hello (biometrie nebo PINu) musí být dostupný doménový řadič. V dalších případech se může využít kešované přihlášení.

Nastavení (nebo změna) Windows Hello (bez provisioning)

Konfigurace a případně změny se provádí v nastavení Windows

  • Settings - Accounts - Sign-in options

Zde můžeme nastavovat a přidávat další možnosti přihlášení, otisky prstů, měnit PIN apod. Windows nás informují, které metody jsou povolené a dostupné. Musíme být přihlášení přímo na počítači (ne přes RDP) a Windows Hello musí být povoleno.

Windows Hello for Business - Sign-in options

Pokud se aktivovala politika, která povoluje Windows Hello, a ještě nedošlo k přihlášení, tak můžeme nastavit metody ručně. Nebo pokud máme v politice vypnutou registraci po přihlášení (Do not start Windows Hello provisioning after sign-in), tak můžeme provést registraci kdykoliv ručně či pomocí aplikace třetí strany.

Windows Hello for Business - Sign-in options Fingerprint

Pokud máme k dispozici čtečku otisků prstů, tak můžeme začít pomocí Windows Hello Fingerprint. Spustí se průvodce, kde nastavíme otisk prstu (nebo několik, při konfiguraci musíme opakovaně přiložit prst k nebo s ním přejet po senzoru). Nebo použijeme Windows Hello PIN (popis navazuje v dalším kroku).

Windows Hello for Business - registrace otisku prstu

Pokud jsme dříve nenastavili PIN, tak jej následně musíme povinně nastavit.

Windows Hello for Business - nastavení PIN

Je potřeba se přihlásit Azure AD účtem s využitím MFA (vícefaktorové autentizace, je platné 10 minut).

Windows Hello for Business - přihlášení Azure AD účtem

Zadáme svůj PIN. Pokud chceme využít také písmena a symboly (a nejen číslice), tak zatrhneme Include letters and symbols.

Windows Hello for Business  - Set up a PIN

Přihlášení pomocí Windows Hello

Při přihlášení je jedna ověřovací metoda nastavena jako výchozí. Otisk prstu můžeme použít rovnou (nemusíme aktivovat obrazovku). Pokud chceme použít jinou metodu, tak klikneme na Sign-in options a zvolíme jednu z dostupných metod.

Windows Hello for Business - přihlášení a Sign-in options

Pozn.: Pro první přihlášení pomocí biometrie nebo PINu musí být dostupný doménový řadič. V dalších případech se může využít kešované přihlášení.

Změna či reset PINu

Svůj Windows Hello PIN můžeme změnit. Pokud jej zapomeneme, tak můžeme provést jeho reset, kdy se přihlásíme a ověříme pomocí MFA a nastavíme nový PIN.

Z nastavení Windows

Změnu nebo reset PINu můžeme vyvolat z nastavení Windows

  • Settings - Accounts - Sign-in options
  • klikneme na Windows Hello PIN
  • Change - změna PINu
  • I forgot my PIN - reset PINu
Windows Hello for Business - Sign-in options změna PIN

Z přihlašovací obrazovky

Reset PINu také z přihlašovací/zamykací obrazovky

  • pokud není vybrána metoda PIN, tak použijeme Sign-in options a zvolíme ikonu klávesnice
  • klikneme na I forgot my PIN
  • přihlásíme se pomocí hesla
  • projdeme proces registrace PINu
Windows Hello for Business - I forgot my PIN

Remote Desktop - připojení ke vzdálené ploše

Windows Hello for Business použijeme pro interaktivní (lokální) přihlášení k počítači. Když se na počítač přihlašujeme vzdáleně (Remote Desktop), tak musíme použít jinou ověřovací metodu (heslo).

Pokud jsme na počítači přihlášeni pomocí Windows Hello for Business, tak se z tohoto počítače můžeme připojovat vzdáleně k jinému pomocí Remote Desktop Connection. Systém se snaží použít Windows Hello certifikát, který pro vzdálené přihlášení nefunguje. Je potřeba kliknout na More choices a vybrat přihlášení jménem a heslem. Můžeme mít v systému vystavený speciální certifikát pro vzdálené přihlášení, který je chráněný pomocí Windows Hello for Business. Zobrazuje se u něj informace Security device credential.

Windows Hello for Business - RDP se Smart Card Logon certifikátem 2
zobrazeno: 1940krát | Komentáře [2]

Autor:

Související články:

Windows Hello for Business

Série o technologii Windows Hello for Business, která zvyšuje bezpečnost a pohodlí uživatelů při přihlašování do počítačů. Umožňuje využít pro ověření biometrii (otisk prstu či sken obličeje).

Azure AD identity a autentizace

Články související s identitou uživatelů a zařízení (nejen) v Azure AD. Různé možnosti přihlašování a ověřování. Oblasti jako moderní autentizace, vícefaktorová autentizaci, přihlašování bez hesla, apod.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

  1. [1] Jan

    ahoj, diky za tenhle clanek! Resil jsem ted hybrid a clanek mi pomohl.

    Úterý, 05.12.2023 10:46 | odpovědět
  2. [2] katka

    parada u nas uz nasadene , skvely clanok

    Čtvrtek, 07.12.2023 12:25 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách