如何配置 Dell Encryption Enterprise 以使用 Windows Hello 进行身份验证

本文概述如何配置 Azure 和 Dell Security Management Server 或 Dell Security Management Server Virtual 以支持 Windows Hello 身份验证。此配置可与 Dell Encryption Enterprise 配合使用。

受影响的产品：

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Encryption Enterprise

受影响的版本：

• v11.0 及更高版本

受影响的操作系统：

• Windows
• Linux

从 Dell Encryption Enterprise 版本 11.0 开始，基于策略的加密客户端现在可以使用基于 Windows Hello 的凭据激活。这包括 Windows Hello PIN、Windows Hello 面部识别、Windows Hello 指纹以及其他几种基于令牌的身份验证方法的机制。

可以通过两个步骤配置身份验证：

1. 在 Azure Active Directory 中生成应用程序注册。这要求同步本地 Active Directory 环境。有关详细信息，请参阅将本地 Active Directory 域与 Microsoft Entra ID 集成。
2. 配置 Dell Security Management Server。

单击相应的配置以查看详细信息。

Azure Active Directory

此配置过程允许 Dell Security Management Server 或 Dell Management Security Server Virtual 验证 Windows Hello 令牌。

1. 使用具有应用程序管理员或更高权限的帐户登录到 位于 Microsoft Azure 的 Azure Web 门户。
2. 前往 Azure Active Directory 配置页面。
   
3. 在左侧窗格中选择 “应用注册 ”，然后单击右侧窗格中的 “新建注册 ”。
   
4. 填写应用的名称。
   
   提醒：

   • 示例图像中的应用程序已命名为 DellEncryption-WindowsHello。您环境中分配的字母可能与此不同。
   • 应用程序名称不能与其他应用程序注册相同。
5. 为您的环境选择适当的帐户类型。
   
   提醒：大多数环境将仅针对当前配置的组织目录进行身份验证。
6. 将重定向 URI 平台设置为 Public client/native (mobile & desktop)。重定向 URI 可以是任何前缀为 https:// 的地址。
   
   提醒：

   • 此值稍后会在 Dell Security Management Server 的 Redirect URI 设置中使用。
   • 使用 Dell Encryption Enterprise 进行无密码身份验证需要重定向 URI。
7. 单击 Register。
   
8. 在应用注册概述中，记录 “应用程序（客户端）ID” 和 “目录（租户）ID”的值。
   
   提醒：配置 Dell Security Management Server 时，将用到此步骤中记录的值。
9. 从左侧窗格中选择 API 权限 ，然后单击右侧窗格中的 添加权限 。
   
10. 在右侧显示的窗格中，在“Microsoft APIs”下选择 Microsoft Graph。
    
11. 单击 Delegated permissions。
    
12. 选择 offline_access开始， openid以及 profile，然后单击 添加权限。
    
13. 选择 Grant admin consent for [ORGANIZATION]。
    
    注意：只有具有应用程序管理员（或更高）权限的用户才可以授予管理员同意。
    提醒： [ORGANIZATION] = 环境的组织名称
14. 单击 Yes。
    
    提醒：

    • 权限更改在组织范围内生效。
    • 被授予后，权限的状态列中会显示绿色复选标记。

Dell Security Management Server

在 Azure Active Directory 中配置的应用程序注册用于在 Dell Security Management Server 中配置无密码身份验证。

1. 登录到 Dell Data Security 管理控制台。
   
   提醒：有关更多信息，请参阅 如何访问 Dell Data Security 服务器管理控制台。
2. 在左侧菜单窗格中，依次单击 Populations 和 Domains。
   
3. 选择您的域。
   
   提醒：您环境中的域名将与此不同。
4. 单击设置。
   
5. 从 域详细信息 设置中：
   1. 选择 Password less Authentication。
   2. 选择 Azure AD。
   3. 在“ Authority ”中填充 https://login.microsoftonline.com/[DIRECTORYTENANTID]/v2.0/。此字段在示例图像中用红色突出显示。
   4. 使用配置的 Azure Active Directory 环境中的应用程序（客户端）ID 填充 Client ID（采用 GUID 格式）。此字段在示例图像中用橙色突出显示。
   5. 在 Redirect Uri 中填充已创建的 URL。此字段在示例图像中用绿色突出显示。
   6. 在 Server Resource Id 中填充用于处理身份验证令牌的站点。这与 Authority 和 Client ID 配对，以确保在注册过程中使用正确的方法。
   7. 填充已配置的域管理员的用户名和密码。
   8. 单击 Update Domain。
   
   
   提醒：

   • [DIRECTORYTENANTID] = Azure Active Directory 配置信息中的 目录（租户）ID （步骤 8）
     • Authority 字段使用 URI 开始通信，以便在用户的激活期间尝试解析令牌。颁发机构是我们必须连接到的主服务器 （URL）。这包含我们请求针对该服务进行验证的用户的验证机制。
   • Client ID应填充 Azure Active Directory 配置信息中的应用程序（客户端）ID（步骤 8）。
     • ClientID 字段指示我们与我们定义的租户上的特定应用程序进行通信。
   • Redirect Uri 应填充 Azure Active Directory 配置信息中创建的 URL（步骤 6）。
     • 这是我们托管的特定资源，显示发生登录错误时我们希望如何重新登录应用程序。
   • Server Resource Id应填充 https://graph.microsoft.com/ 使用 Azure Active Directory 时。
     • 这是目标机构上的主要位置，本机应用程序与之通信，以便我们获取有关用户的信息。对于 Azure，这将位于 Azure 后端，以确保我们与 Azure 身份验证机制进行协商。
   运行 Dell Encryption Enterprise 基于策略的加密的端点现在可以在受支持的 Dell Encryption Enterprise 版本上使用 Windows Hello 凭据进行身份验证。

要联系支持部门，请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect，在线生成技术支持请求。
要获得更多见解和资源，请加入戴尔安全社区论坛。