Ten artykuł zawiera informacje na temat konfigurowania platformy Azure i serwera Dell Security Management Server lub Dell Security Management Server Virtual w celu obsługi uwierzytelniania Windows Hello. Ta konfiguracja może być używana z oprogramowaniem Dell Encryption Enterprise.
Dotyczy produktów:
- Dell Security Management Server
- Dell Security Management Server Virtual
- Dell Encryption Enterprise
Dotyczy wersji:
Dotyczy systemów operacyjnych:
Począwszy od wersji Dell Encryption Enterprise 11.0, można teraz aktywować komputery klienckie szyfrowania opartego na zasadach za pośrednictwem poświadczeń opartych na funkcji Windows Hello. Należą do nich kod PIN funkcji Windows Hello, rozpoznawanie twarzy przez funkcję Windows Hello, rozpoznawanie linii papilarnych przez funkcję Windows Hello oraz szereg innych metod uwierzytelniania opartych na tokenach.
Uwierzytelnianie jest konfigurowane w dwóch etapach:
- Generowanie rejestracji aplikacji w usłudze Azure Active Directory. Wymaga to zsynchronizowania lokalnego środowiska Active Directory. Aby uzyskać więcej informacji, patrz integracja lokalnych domen AD z usługą Azure AD (https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/identity/azure-ad)
- Konfigurowanie serwera Dell Security Management Server.
Aby uzyskać więcej informacji, kliknij odpowiednią konfigurację.
Ten proces konfiguracji umożliwia serwerowi Dell Security Management Server lub Dell Management Security Server Virtual sprawdzanie poprawności tokenów Windows Hello.
Przestroga: ten proces wymaga użycia konta użytkownika z uprawnieniami administratora aplikacji (lub wyższymi).
Aby skonfigurować usługę Azure Active Directory:
- Zaloguj się do portalu internetowego Azure pod adresem https://portal.azure.com przy użyciu konta z uprawnieniami administratora aplikacji lub wyższymi uprawnieniami.
- Przejdź do strony konfiguracji usługi Azure Active Directory.
- Wybierz App Registrations w lewym panelu, a następnie kliknij opcję New Registration w prawym panelu.
- Wpisz nazwę aplikacji.
Uwaga:
- aplikacja na przykładowej ilustracji otrzymała nazwę DellEncryption-WindowsHello. Może to się różnić w zależności od środowiska.
- Nazwa aplikacji nie może być taka sama jak rejestracja innej aplikacji.
- Wybierz odpowiedni typ konta dla swojego środowiska.
Uwaga: większość środowisk jest uwierzytelniana tylko w aktualnie konfigurowanym katalogu organizacji.
- Ustaw platformę identyfikatora URI przekierowania na klienta publicznego/natywnego (urządzenie mobilne i komputer). Identyfikator URI przekierowania może być dowolnym adresem z prefiksem https://.
Uwaga:
- ta wartość będzie później używana w ramach ustawienia „Redirect URI” na serwerze Dell Security Management Server.
- Identyfikator URI przekierowania jest wymagany do uwierzytelniania bez hasła w oprogramowaniu Dell Encryption Enterprise.
- Kliknij przycisk Register (Zarejestruj).
- Zapisz wartości Application (client) ID i Directory (tenant) ID z okna przeglądu rejestracji aplikacji.
Uwaga: wartości zapisywane w tym kroku są używane podczas konfigurowania serwera Dell Security Management Server.
- Wybierz uprawnienia interfejsu API w lewym panelu, a następnie kliknij opcję Add a permission w prawym panelu.
- W prawym panelu wybierz pozycję Microsoft Graph z interfejsów API Microsoft.
- Kliknij opcję Delegated permissions.
- Wybierz
offline_access
opcję, openid
a profile
następnie kliknij przycisk Dodaj uprawnienia.
- Wybierz opcję Grant admin consent for [ORGANIZACJA].
Przestroga: zgody administratora mogą udzielić tylko użytkownicy z zezwoleniami administratora aplikacji (lub wyższymi).
Uwaga: [ORGANIZACJA] = nazwa organizacji dla środowiska
- Kliknij przycisk Yes.
Uwaga:
- zmiany uprawnień są dokonywane w całej organizacji.
- Po przyznaniu uprawnień, w kolumnie statusu pojawia się zielony znacznik wyboru.
Skonfigurowana rejestracja aplikacji w usłudze Azure Active Directory jest używana do konfigurowania uwierzytelniania bez haseł na serwerze Dell Security Management Server.
Przestroga: ten proces wymaga konta użytkownika z zezwoleniami administratora bezpieczeństwa lub administratora systemu.
Aby skonfigurować serwer Dell Security Management Server:
- Zaloguj się do konsoli administracyjnej Dell Data Security.
- W lewym okienku menu kliknij pozycję Populacje, a następnie kliknij pozycję Domeny.
- Wybierz domenę.
Uwaga: nazwa domeny w środowisku użytkownika będzie inna.
- Kliknij Ustawienia.
- W ustawieniach szczegółowych domeny:
- Wybierz opcję Password less Authentication.
- Wybierz pozycję Azure AD.
- Wypełnij pole Authority wartością https://login.microsoftonline.com/[DIRECTORYTENANTID]/v2.0/. To pole zaznaczono kolorem czerwonym na przykładowej ilustracji.
- W polu Client ID wpisz identyfikator aplikacji (klienta) w formacie GUID ze skonfigurowanego środowiska usługi Azure Active Directory. To pole zaznaczono kolorem pomarańczowym na przykładowej ilustracji.
- W polu Redirect Uri wpisz utworzony adres URL. To pole zaznaczono kolorem zielonym na przykładowej ilustracji.
- W polu Server Resource Id wpisz lokalizację używaną do przetwarzania tokenu uwierzytelniania. Jest to powiązane z upoważnieniem i identyfikatorem klienta, aby potwierdzić, że podczas rejestracji jest stosowana właściwa metoda.
- Wypełnij nazwę użytkownika i hasłoadministratora skonfigurowanej domeny.
- Kliknij opcję Aktualizuj domenę.
Uwaga:
- [DIRECTORYTENANTID] = identyfikator katalogu (dzierżawcy) z informacji o konfiguracji usługi Azure Active Directory (krok 8)
- Pole Authority korzysta z wykorzystywanego URI, aby rozpocząć komunikację w celu rozpoznania tokenu podczas próby aktywacji użytkownika. "Urząd" jest głównym serwerem (URL), z który należy się połączyć. Zawiera mechanizm weryfikacji dla użytkowników, od których wymagana jest weryfikacja względem danej usługi.
- Pole Client ID należy wypełnić identyfikatorem aplikacji (klienta) z informacji konfiguracyjnych usługi Azure Active Directory (krok 8).
- Pole Client ID kieruje nas do komunikacji z określoną aplikacją w zdefiniowanym najemcy.
- W polu Redirect Uri należy wpisać utworzony adres URL z informacji konfiguracyjnych usługi Azure Active Directory (krok 6).
- Jest to konkretny zasób, który udostępniamy, aby pokazać, w jaki sposób chcemy ponownie zalogować się do aplikacji, jeśli występują błędy logowania.
- Podczas korzystania z usługi Azure Active Directory należy w polu Server Resource Id wpisać https://graph.microsoft.com/.
- Jest to główny punkt w urzędzie docelowym, w którym aplikacja macierzysta komunikuje się z nami, aby uzyskać informacje o użytkownikach. W przypadku platformy Azure należy to zrobić na zapleczu platformy Azure, aby skorzystać z mechanizmów uwierzytelniania platformy Azure.
Punkty końcowe, na których uruchomiono szyfrowanie oparte na zasadach Dell Encryption Enterprise, mogą być teraz uwierzytelniane przy użyciu poświadczeń funkcji Windows Hello w obsługiwanych wersjach oprogramowania Dell Encryption Enterprise.
Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.