Как настроить Dell Encryption Enterprise для аутентификации с помощью Windows Hello

В этой статье описывается настройка Azure и Dell Security Management Server или Dell Security Management Server Virtual для поддержки аутентификации Windows Hello. Эту конфигурацию можно использовать с Dell Encryption Enterprise.

Затронутые продукты:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Encryption Enterprise

Затронутые версии:

• Версия 11.0 и более поздние версии

Затронутые операционные системы:

• Windows
• Linux

Начиная с Dell Encryption Enterprise версии 11.0, клиенты шифрования на основе политик теперь могут активироваться с помощью учетных данных на основе Windows Hello. К ним относятся PIN-код Windows Hello, распознавание лиц Windows Hello, распознавание отпечатков пальцев Windows Hello и другие механизмы для этих методов аутентификации на основе маркеров.

Аутентификация настраивается в два этапа:

1. Создание регистрации приложения вAzure Active Directory. Для этого необходимо синхронизировать локальную среду Active Directory. Дополнительные сведения см. в статье Интеграция локальных доменов Active Directory с идентификатором Microsoft Entra.
2. Настройка Dell Security Management Server.

Чтобы ознакомиться с дополнительными сведениями, выберите нужную конфигурацию.

Azure Active Directory

Этот процесс конфигурации позволяет серверу Dell Security Management Server или Dell Management Security Server Virtual проверять маркеры Windows Hello.

1. Войдите на веб-портал Azure в Microsoft Azure с учетной записью, имеющей привилегии администратора приложений или более высокие привилегии.
2. Перейдите на страницу конфигурации Azure Active Directory.
   
3. Выберите Регистрация приложений на левой панели, а затем нажмите Новая регистрация на правой панели.
   
4. Введите имя приложения.
   
   Примечание.

   • Приложению на изображении в примере присвоено имя DellEncryption-WindowsHello. Этот параметр может отличаться в вашей среде.
   • Имя приложения не может совпадать с регистрацией другого приложения.
5. Выберите подходящий тип учетной записи для вашей среды.
   
   Примечание. В большинстве сред аутентификация выполняется только для настроенного в данный момент каталога организации.
6. Установите для платформы Redirect URI значение Public client/native (mobile & desktop). Redirect URI может быть любым адресом с префиксом https://.
   
   Примечание.

   • Это значение используется позже в параметре URI перенаправления на сервере Dell Security Management Server.
   • URI перенаправления необходим для аутентификации без пароля в Dell Encryption Enterprise.
7. Нажмите Register.
   
8. В обзоре регистрации приложения запишите значения для идентификатора приложения (клиента) и идентификатора каталога (клиента).
   
   Примечание. Значения, записанные на этом шаге, используются при настройке Dell Security Management Server.
9. Выберите разрешения API на левой панели и нажмите Добавить разрешение на правой панели.
   
10. На панели справа выберите Microsoft Graph в API-интерфейсах Microsoft.
    
11. Щелкните Делегированные разрешения.
    
12. Выберите offline_access, openidи profile, а затем — Добавить разрешения.
    
13. Выберите Предоставить согласие администратора для [ORGANIZATION].
    
    Внимание! Только пользователи с правами администратора приложения (или выше) могут дать согласие администратора.
    Примечание. [ORGANIZATION] = Название организации для среды
14. Нажмите Yes.
    
    Примечание.

    • Изменения разрешений вносятся в масштабе всей организации.
    • При предоставлении разрешения в столбце состояния отображается зеленая галочка.

Dell Security Management Server

Настроенная регистрация приложения в Azure Active Directory используется для настройки аутентификации без пароля в Dell Security Management Server.

1. Войдите в консоль администрирования Dell Data Security.
   
   Примечание. Для получения дополнительной информации см. статью Доступ к консоли администрирования Dell Data Security Server.
2. В левой панели меню выберите Populations и нажмите Domains.
   
3. Выберите домен.
   
   Примечание. Имя домена в вашей среде будут отличаться.
4. Нажмите Параметры.
   
5. В настройках сведений о домене выполните следующие действия.
   1. Выберите Аутентификация без пароля.
   2. Выберите Azure AD.
   3. Заполните поле Authority с помощью https://login.microsoftonline.com/[DIRECTORYTENANTID]/v2.0/. Это поле выделено красным цветом на изображении в примере.
   4. Введите в поле Client IDидентификатор приложения (клиента) в формате GUID из настроенной среды Azure Active Directory. Это поле выделено оранжевым цветом на изображении в примере.
   5. Заполнит поле Redirect URI созданным URL-адресом. Это поле выделено зеленым цветом на изображении в примере.
   6. Заполните Идентификатор сервера ресурсов сайтом, используемым для обработки маркера аутентификации. Он связан с Центром авторизации и Идентификатором клиента, чтобы обеспечить использование правильного метода во время регистрации.
   7. Введите имя пользователя и пароль настроенного администратора домена.
   8. Нажмите Update Domain.
   
   
   Примечание.

   • [DIRECTORYTENANTID] = идентификатор каталога (клиента) из сведений о конфигурации Azure Active Directory (шаг 8)
     • В поле Центр авторизации используется URI для установки связи и попытки разрешения маркера во время попытки активации пользователя. Центр — это основной сервер (URL), к которому необходимо подключиться. В нем содержится механизм проверки для пользователей, которые запрашивают проверку этого сервиса.
   • В поле Идентификатор клиента необходимо ввести идентификатор приложения (клиента) из сведений о конфигурации Azure Active Directory (шаг 8).
     • Поле «Идентификатор клиента» перенаправляет нас к определенному приложению в пользователе, которого мы определили.
   • Redirect URI должен быть заполнен созданным URL-адресом из сведений о конфигурации Azure Active Directory (шаг 6).
     • Это специальный ресурс, который мы используем для демонстрации того, как мы хотим повторно войти в приложение в случае возникновения ошибок входа в систему.
   • Поле Server Resource Id должно быть заполнено следующим https://graph.microsoft.com/ при использовании Azure Active Directory.
     • Это основная точка в целевом центре, с которой связывается нативное приложение, чтобы мы могли получить информацию о пользователях. В Azure это будет происходить на сервере Azure, чтобы гарантировать, что мы согласуемся с механизмами проверки подлинности Azure.
   Конечные точки, на которых запущено шифрование на основе политик Dell Encryption Enterprise, теперь могут аутентифицироваться с помощью учетных данных Windows Hello в поддерживаемых выпусках Dell Encryption Enterprise.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.