Den här artikeln beskriver hur du konfigurerar Azure och Dell Security Management Server eller Dell Security Management Server Virtual till att stödja Windows Hello-autentisering. Den här konfigurationen kan användas med Dell Encryption Enterprise.
Berörda produkter:
- Dell Security Management Server
- Dell Security Management Server Virtual
- Dell Encryption Enterprise
Berörda versioner:
Berörda operativsystem:
Från och med Dell Encryption Enterprise version 11.0 kan policybaserade krypteringsklienter aktiveras med Windows Hello-baserade inloggningsuppgifter. Detta omfattar bl.a. Windows Hello-pinkod, Windows Hello-ansiktsigenkänning, Windows Hello-fingeravtryck och flera andra mekanismer för tokenbaserade autentiseringsmetoder.
Autentisering konfigureras i två steg:
- Generera en programregistrering i Azure Active Directory. Detta kräver att Active Directory-miljön på plats synkroniseras. Mer information finns i Integrera lokala AD-domäner med Azure AD (https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/identity/azure-ad)
- Konfigurera Dell Security Management Server.
Klicka på en konfiguration om du vill ha mer information om den.
Den här konfigurationsprocessen gör det möjligt för Dell Security Management Server och Dell Management Security Server Virtual att validera Windows Hello-tokens.
Viktigt! Den här processen kräver ett användarkonto med programadministratörsbehörighet (eller högre).
Så här konfigurerar du Azure Active Directory:
- Logga in på Azure-webbportalen på https://portal.azure.com med ett konto som har programadministratörsbehörighet eller högre behörighet.
- Gå till konfigurationssidan för Azure Active Directory.
- Välj Programregistreringar i den vänstra rutan och klicka sedan på Ny registrering till höger.
- Fyll i ett namn för programmet.
Obs!
- Programmet i exempelbilden har fått namnet DellEncryption-WindowsHello. Detta kan skilja sig i din miljö.
- Programnamnet får inte vara samma som en annan programregistrering.
- Välj aktuell kontotyp för din miljö.
Obs! De flesta miljöer autentiseras endast för den för närvarande konfigurerade organisationskatalogen.
- Ställ in Omdirigerings-URI på Offentlig klient/intern (mobil och stationär). Omdirigerings-URI kan vara valfri adress med prefixet https://.
Obs!
- Det här värdet används senare i inställningen "Redirect URI" i Dell Security Management Server.
- Omdirigerings-URI krävs för lösenordsfri autentisering med Dell Encryption Enterprise.
- Klicka på Register (registrera).
- Från översikten av Programregistreringen anger du värdena för Program-ID (klient) och Katalog-ID (klientorganisation) .
Obs! De värden som registreras i det här steget används när du konfigurerar Dell Security Management Server.
- Välj API-behörigheter i den vänstra rutan och klicka sedan på Lägg till en behörighet i den högra rutan.
- Välj Microsoft Graph från Microsofts API:er i rutan som visas till höger.
- Klicka på Delegerade behörigheter.
- Välj
offline_access
och openid
profile
klicka sedan på Lägg till behörigheter.
- Välj Bevilja administratörsmedgivande för [ORGANIZATION].
Viktigt! Endast användare med programadministratörsbehörighet (eller högre) kan ge administratörsmedgivande.
Obs! [ORGANISATION] = Organisationsnamnet för miljön
- Klicka på Ja.
Obs!
- Behörighetsändringarna görs för hela organisationen.
- När behörighet beviljas visas en grön bock i statuskolumnen.
Den konfigurerade programregistreringen i Azure Active Directory används för att konfigurera lösenordslös autentisering på Dell Security Management Server.
Viktigt! För den här processen krävs ett användarkonto med säkerhets- eller systemadministratörsbehörighet.
Så här konfigurerar du Dell Security Management Server:
- Logga in på administrationskonsolen för Dell Data Security.
- I menypanelen till vänster klickar du på Populations och sedan på Domains.
- Välj din domän.
Obs! Domännamnet ser annorlunda ut i din miljö.
- Klicka på Settings (inställningar).
- Från domäninställningarna:
- Välj Lösenordsfri autentisering.
- Välj Azure AD.
- Fyll i Behörighet med https://login.microsoftonline.com/[DIRECTORYTENANTID]/v2.0/. Det här fältet är rödmarkerat i exempelbilden.
- Fyll i Klient/ID med Program-ID (klient) i GUID-format från den konfigurerade Azure Active Directory-miljön. Det här fältet är markerat med orange i exempelbilden.
- Fyll i Omdirigerings-URI med den skapade URL-adressen. Detta fält är grönmarkerat i exempelbilden.
- Fyll i Serverresurs-ID med den plats som används för att bearbeta autentiseringstoken. Detta kopplas till Authority och Klient-ID för att säkerställa att rätt metod används under registreringen.
- Fyll i användarnamn och lösenord för den konfigurerade domänens administratör.
- Klicka på Update Domain.
Obs!
- [DIRECTORYTENANTID] = katalog-ID :t (klientorganisation) från Konfigurationsinformationen för Azure Active Directory (steg 8)
- Fältet Authority använder den nyttjade URI:n för att starta kommunikationen som krävs för att försöka lösa tokenet under användarens aktiveringsförsök. "Authority" är den primära servern (URL) som vi måste ansluta till. Den innehåller valideringsmekanismen för de användare som vi begär att validera mot den tjänsten.
- Klient-ID ska fyllas i med program-ID (klient) från Azure Active Directory-konfigurationsinformationen (steg 8).
- Fältet Klient-ID instruerar oss att kommunicera med ett specifikt program i klientorganisationen som vi har definierat.
- Omdirigerings-URI ska fyllas i med den skapade URL-länken från konfigurationsinformationen för Azure Active Directory (steg 6).
- Det här är en specifik resurs som vi är värd för för att visa hur vi vill återlogiseras till programmet om det finns inloggningsfel.
- Serverresurs-ID ska fyllas i med https://graph.microsoft.com/ när du använder Azure Active Directory.
- Det här är den primära punkten på målbehörigheten där den inbyggda appen kommunicerar med oss för att få information om användarna. I Azure befinner sig detta på serverdelen, för att säkerställa att vi kommunicerar med Azures autentiseringsmekanismer.
Slutpunkter som kör Dell Encryption Enterprises principbaserade kryptering kan nu autentiseras med Windows Hello-inloggningsuppgifter på kompatibla Dell Encryption Enterprise-versioner.
Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.