如何設定 Dell Encryption Enterprise 以使用 Windows Hello 進行驗證

本文概述如何設定 Azure 和 Dell Security Management Server 或 Dell Security Management Server Virtual，以支援 Windows Hello 驗證。此組態可搭配 Dell Encryption Enterprise 使用。

受影響的產品：

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Encryption Enterprise

受影響的版本：

• v11.0 及更新版本

受影響的作業系統：

• Windows
• Linux

從 Dell Encryption Enterprise 11.0 版開始，原則式加密用戶端現在可以使用 Windows Hello 型登入資料啟用。這包括 Windows Hello PIN、Windows Hello 臉部辨識、Windows Hello 指紋和其他權杖式驗證方法機制。

驗證設定有兩個步驟：

1. 在 Azure Active Directory 內產生應用程式註冊。這需要同步內部部署 Active Directory 環境。如需更多資訊，請參閱將內部部署 Active Directory 網域與 Microsoft Entra ID 整合。
2. 配置 Dell Security Management Server。

如需詳細資訊，請按一下適當的組態。

Azure Active Directory

此組態程序可讓 Dell Security Management Server 或 Dell Management Security Server Virtual 驗證 Windows Hello 權杖。

1. 使用具有應用程式管理員或更高權限的帳戶登入 Microsoft Azure 的 Azure Web 入口網站。
2. 前往 Azure Active Directory 組態頁面。
   
3. 從左窗格中選擇 “應用註冊 ”，然後在右窗格中單擊 “新建註冊 ”。
   
4. 填入應用程式的名稱。
   
   注意：

   • 範例影像中的應用程式已獲得名稱 DellEncryption-WindowsHello。這可能與您的環境有所不同。
   • 應用程式名稱無法與其他應用程式註冊相同。
5. 選取適合您環境的帳戶類型。
   
   注意：大部分環境只會針對目前設定的組織目錄進行驗證。
6. 將重新導向 URI 平台設定為公用用戶端/原生 (行動和桌上型電腦)。重新導向 URI 可為任何具有 https:// 前綴的位址。
   
   注意：

   • 此值稍後會用於 Dell Security Management Server 的重新 導向 URI 設定中。
   • Dell Encryption Enterprise 的無密碼驗證需要重新導向 URI。
7. 按一下註冊。
   
8. 在應用註冊概述中，記錄 “應用程式（用戶端）ID” 和 “目錄（租戶）ID”的值。
   
   注意：配置 Dell Security Management Server 時，會使用此步驟中記錄的值。
9. 從左窗格中選取 API 權限 ，然後按一下右窗格中 的新增權限 。
   
10. 在右側顯示的窗格中，從 Microsoft API 中選取 Microsoft Graph。
    
11. 按一下委派權限。
    
12. 選取 offline_access小 openid和 profile，然後按下 添加許可權。
    
13. 選取 為以下項目授予管理員同意： [ORGANIZATION]。
    
    警示：只有具有應用程式系統管理員 (或更高) 權限的使用者才可授予管理員同意。
    注意： [ORGANIZATION] = 環境的組織名稱
14. 按一下是。
    
    注意：

    • 權限變更會套用至整個組織範圍。
    • 授予後，權限會在狀態列中顯示綠色核取記號。

Dell Security Management Server

在 Azure Active Directory 內的配置應用程式註冊是用來在 Dell Security Management Server 內設定無密碼驗證。

1. 登入 Dell Data Security 管理主控台。
   
   注意：如需詳細資訊，請參閱 如何存取 Dell Data Security Server 管理主控台。
2. 在左側功能表窗格中，按一下填入，然後按一下網域。
   
3. 選取您的網域。
   
   注意：網域名稱會依您的環境而有所不同。
4. 按一下設定。
   
5. 在 網域詳細資料 設定中：
   1. 選取無密碼驗證。
   2. 選取 Azure AD。
   3. 在 授權 單位填入 https://login.microsoftonline.com/[DIRECTORYTENANTID]/v2.0/。在範例影像中，會將此欄位以紅色強調顯示。
   4. 將設定的 Azure Active Directory 環境中的應用程式 （用戶端） ID 以 GUID 格式填入用戶端 ID。在範例影像中，會將此欄位以橘色強調顯示。
   5. 使用所建立的 URL 填入 重新導向 URI。在範例影像中，會將此欄位以綠色強調顯示。
   6. 將伺服器資源 ID 填入用來處理驗證權杖的網站。這會搭配授權單位和用戶端 ID，以確保在註冊期間使用正確的方法。
   7. 填入所設定的網域系統管理員使用者名稱和密碼。
   8. 按一下更新網域。
   
   
   注意：

   • [DIRECTORYTENANTID] = 來自 Azure Active Directory 配置資訊 （步驟 8） 的目錄 （租戶） ID
     • 授權欄位會使用所運用的 URI 來開啟通訊，以在使用者嘗試啟用時解析權杖。授權單位是我們必須連線的主要伺服器 （URL）。這包含要求驗證該服務之使用者的驗證機制。
   • 客戶端 ID 應填入來自 Azure Active Directory 配置資訊 （步驟 8） 的應用程式 （用戶端） ID。
     • 「ClientID」欄位可引導我們與已定義租戶上的特定應用程式通訊。
   • 重新導向 URI 應填入在 Azure Active Directory 配置資訊 (步驟 6) 所建立的 URL。
     • 這是我們主機的特定資源，可顯示在發生登入錯誤時，我們要如何重新登入應用程式。
   • 伺服器資源 ID 應填入 https://graph.microsoft.com/ 使用 Azure Active Directory 時。
     • 這是目標驗證單位的主要指標，原生應用程式會與我們通訊，以取得使用者的相關資訊。透過 Azure，這會位於 Azure 後端，以確保我們採用 Azure 驗證機制。
   在支援的 Dell Encryption Enterprise 版本上，執行 Dell Encryption Enterprise 原則式加密的端點現在可使用 Windows Hello 登入資料進行驗證。

如要聯絡支援部門，請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect，以線上產生技術支援要求。
如需更多深入見解與資源，請加入 Dell 安全性社群論壇。