Article Number: 000188216
如何配置 Dell Encryption Enterprise 以使用 Windows Hello 进行身份验证
Summary: 可以按照以下说明配置 Windows Hello 以与 Dell Encryption Enterprise 配合使用。
Article Content
Instructions
本文概述如何配置 Azure 和 Dell Security Management Server 或 Dell Security Management Server Virtual 以支持 Windows Hello 身份验证。此配置可与 Dell Encryption Enterprise 配合使用。
受影响的产品:
- Dell Security Management Server
- Dell Security Management Server Virtual
- Dell Encryption Enterprise
受影响的版本:
- v11.0 及更高版本
受影响的操作系统:
- Windows
- Linux
从 Dell Encryption Enterprise 11.0 版开始,基于策略的加密客户端现在可以使用基于 Windows Hello 的凭据激活。这包括 Windows Hello PIN、Windows Hello 面部识别、Windows Hello 指纹以及其他几种基于令牌的身份验证方法的机制。
可以通过两个步骤配置身份验证:
- 在 Azure Active Directory 中生成应用程序注册。这要求同步本地 Active Directory 环境。有关详细信息,请参阅 将本地 AD 域与 Azure AD 集成 (https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/identity/azure-ad
)
- 配置 Dell Security Management Server。
单击相应的配置以查看详细信息。
此配置过程允许 Dell Security Management Server 或 Dell Management Security Server Virtual 验证 Windows Hello 令牌。
注意:此过程需要具有应用程序管理员(或更高)权限的用户帐户。
要配置 Azure Active Directory,请执行以下操作:
- 在左侧窗格中选择 App Registrations,然后在右侧窗格中单击 New Registration。
- 填写应用的名称。
提醒:
- 示例图像中的应用程序已命名为 DellEncryption-WindowsHello。您环境中分配的字母可能与此不同。
- 应用程序名称不能与其他应用程序注册相同。
- 为您的环境选择适当的帐户类型。
提醒:大多数环境将仅针对当前配置的组织目录进行身份验证。
- 将重定向 URI 平台设置为 Public client/native (mobile & desktop)。重定向 URI 可以是任何前缀为 https:// 的地址。
提醒:
- 此值稍后将在 Dell Security Management Server 的“Redirect URI”设置中使用。
- 使用 Dell Encryption Enterprise 进行无密码身份验证时,需要此重定向 URI。
- 单击 Register。
- 在应用程序注册概览中,记下 Application (client) ID 和 Directory (tenant) ID 的值。
提醒:配置 Dell Security Management Server 时,将用到此步骤中记录的值。
- 在左侧窗格中选择“API permissions”,然后单击右侧窗格中的 Add a permission。
- 在右侧显示的窗格中,在“Microsoft APIs”下选择 Microsoft Graph。
- 单击 Delegated permissions。
- 选择
offline_access、openid和profile,然后单击 添加权限 。
- 选择 Grant admin consent for [ORGANIZATION]。
注意:只有具有应用程序管理员(或更高)权限的用户才可以授予管理员同意。
提醒:[ORGANIZATION] = 环境的组织名称
- 单击 Yes。
提醒:
- 权限更改在组织范围内生效。
- 被授予后,权限的状态列中会显示绿色复选标记。
在 Azure Active Directory 中配置的应用程序注册用于在 Dell Security Management Server 中配置无密码身份验证。
注意:此过程需要具有安全管理员或系统管理员权限的用户帐户。
要配置 Dell Security Management Server,请执行以下操作:
- 登录到 Dell Data Security 管理控制台。
提醒:有关更多信息,请参阅如何访问 Dell Data Security/Dell Data Protection 服务器管理控制台。
- 在左侧菜单窗格中,依次单击 Populations 和 Domains。
- 选择您的域。
提醒:您环境中的域名将与此不同。
- 单击 Settings。
- 在域详细信息设置中:
- 选择 Password less Authentication。
- 选择 Azure AD。
- 在 Authority 中填充 https://login.microsoftonline.com/[DIRECTORYTENANTID]/v2.0/。此字段在示例图像中用红色突出显示。
- 在 Client ID 中填充已配置的 Azure Active Directory 环境中的应用程序(客户端)ID,使用 GUID 格式。此字段在示例图像中用橙色突出显示。
- 在 Redirect Uri 中填充已创建的 URL。此字段在示例图像中用绿色突出显示。
- 在 Server Resource Id 中填充用于处理身份验证令牌的站点。这与 Authority 和 Client ID 配对,以确保在注册过程中使用正确的方法。
- 填充已配置的域管理员的用户名和密码。
- 单击 Update Domain。
提醒:
- [DIRECTORYTENANTID] = Azure Active Directory 配置信息中的目录(租户)ID(步骤 8)
- Authority 字段使用 URI 开始通信,以便在用户的激活期间尝试解析令牌。“Authority”是我们必须连接到的主要服务器 (URL)。这包含我们请求针对该服务进行验证的用户的验证机制。
- Client ID 应填充 Azure Active Directory 配置信息中的应用程序(客户端)ID(步骤 8)。
- ClientID 字段指示我们与我们定义的租户上的特定应用程序进行通信。
- Redirect Uri 应填充 Azure Active Directory 配置信息中创建的 URL(步骤 6)。
- 这是我们托管的特定资源,显示发生登录错误时我们希望如何重新登录应用程序。
- 使用 Azure Active Directory 时,Server Resource Id 应填充 https://graph.microsoft.com/。
- 这是目标机构的主要点,在目标机构中,本机应用程序会与我们通信以获取有关用户的信息。对于 Azure,该位置将位于 Azure 后端,以确保我们与 Azure 身份验证机制进行交互。
现在可以在受支持的 Dell Encryption Enterprise 版本上使用 Windows Hello 凭据对运行 Dell Encryption Enterprise 基于策略的加密的端点进行身份验证。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Additional Information
Videos
Article Properties
Affected Product
Dell Encryption
Last Published Date
09 Mar 2023
Version
6
Article Type
How To