nastavení Windows Hello pro firmy v Configuration Manager

  • Článek

Platí pro: Configuration Manager (Current Branch)

Configuration Manager se integruje s Windows Hello pro firmy. (Tato funkce se dříve označovala jako Microsoft Passport for Work.) Windows Hello pro firmy je alternativní metoda přihlašování pro Windows 10 zařízení. Používá službu Active Directory nebo účet Microsoft Entra k nahrazení hesla, čipové karty nebo virtuální čipové karty. Hello pro firmy umožňuje použít k přihlášení místo hesla gesto uživatele . Gestem uživatele může být PIN, biometrické ověřování nebo externí zařízení, jako je čtečka otisků prstů.

Důležité

Od verze 2203 se tato funkce přístupu k prostředkům společnosti už nepodporuje. Další informace najdete v tématu Nejčastější dotazy týkající se vyřazení přístupu k prostředkům.

nasazení Active Directory Federation Services (AD FS) registrační autority (ADFS RA) je jednodušší, poskytuje lepší uživatelské prostředí a má determinističtější prostředí pro zápis certifikátů. K ověřování na základě certifikátů s Windows Hello pro firmy použijte ADFS RA.

Další informace najdete v tématu Windows Hello pro firmy.

Poznámka

Configuration Manager tuto volitelnou funkci ve výchozím nastavení nepovoluje. Tuto funkci musíte před použitím povolit. Další informace najdete v tématu Povolení volitelných funkcí z aktualizací.

Configuration Manager se s Windows Hello pro firmy integruje následujícími způsoby:

  • Určete, která gesta uživatelé můžou a nemůžou používat k přihlášení.

  • Uložte ověřovací certifikáty ve zprostředkovateli úložiště klíčů (KSP) Windows Hello pro firmy. Další informace najdete v tématu Profily certifikátů.

  • Vytvořte a nasaďte profil Windows Hello pro firmy pro řízení jeho nastavení na zařízeních Windows 10 připojených k doméně, na kterých běží klient Configuration Manager. Od verze 1910 nemůžete používat ověřování založené na certifikátech. Pokud používáte ověřování na základě klíčů, nemusíte nasazovat profil certifikátu.

Konfigurace profilu

  1. V konzoli Správce konfigurace přejděte do pracovního prostoru Prostředky a dodržování předpisů. Rozbalte Položku Nastavení dodržování předpisů, rozbalte položku Přístup k prostředkům společnosti a vyberte uzel profily Windows Hello pro firmy.

  2. Na pásu karet vyberte Vytvořit profil Windows Hello pro firmy a spusťte průvodce profilem.

  3. Na stránce Obecné zadejte název a volitelný popis tohoto profilu.

  4. Na stránce Podporované platformy vyberte verze operačního systému, na které se má tento profil vztahovat.

  5. Na stránce Nastavení nakonfigurujte následující nastavení:

    • Konfigurace Windows Hello pro firmy: Určete, jestli tento profil povolí, zakáže nebo nenakonfiguruje Hello pro firmy.

    • Použití čipu TPM (Trusted Platform Module): Čip TPM poskytuje další vrstvu zabezpečení dat. Zvolte jednu z následujících hodnot:

      • Povinné: Windows Hello pro firmy můžou zřizovat jenom zařízení s přístupným čipem TPM.

      • Upřednostňované: Zařízení se nejprve pokusí použít čip TPM. Pokud není k dispozici, může použít softwarové šifrování.

    • Metoda ověřování: Tuto možnost nastavte na Nenakonfigurováno nebo Na základě klíčů.

      Poznámka

      Od verze 1910 se ověřování na základě certifikátů s nastavením Windows Hello pro firmy v Configuration Manager nepodporuje.

    • Konfigurace minimální délky PIN kódu: Pokud chcete pro PIN kód uživatele vyžadovat minimální délku, povolte tuto možnost a zadejte hodnotu. Pokud je tato možnost povolená, výchozí hodnota je 4.

    • Konfigurace maximální délky PIN kódu: Pokud chcete vyžadovat maximální délku PIN kódu uživatele, povolte tuto možnost a zadejte hodnotu. Pokud je tato možnost povolená, výchozí hodnota je 127.

    • Vyžadovat vypršení platnosti PIN kódu (dny):Určuje počet dní, po které uživatel musí pin kód zařízení změnit.

    • Zabránit opakovanému použití předchozích PIN kódů: Nepovolujte uživatelům používat PIN kódy, které používali dříve.

    • Vyžadovat v PIN kódu velká písmena: Určuje, jestli uživatelé musí v Windows Hello pro firmy PIN kódu obsahovat velká písmena. Vyberte si z:

      • Povoleno: Uživatelé můžou ve svém PIN kódu používat velká písmena, ale nemusí.

      • Povinné: Uživatelé musí ve svém PIN kódu obsahovat aspoň jedno velké písmeno.

      • Nepovoleno: Uživatelé nemůžou ve svém PIN kódu používat velká písmena.

    • Vyžadovat v PIN kódu malá písmena: Určuje, jestli uživatelé musí v Windows Hello pro firmy PIN kódu obsahovat malá písmena. Vyberte si z:

      • Povoleno: Uživatelé můžou ve svém PIN kódu používat malá písmena, ale nemusí.

      • Povinné: Uživatelé musí ve svém PIN kódu obsahovat aspoň jedno malé písmeno.

      • Nepovoleno: Uživatelé nemůžou ve svém PIN kódu používat malá písmena.

    • Konfigurovat speciální znaky: Určuje použití speciálních znaků v PIN kódu. Vyberte si z:

      Poznámka

      Mezi speciální znaky patří následující sada:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Povoleno: Uživatelé můžou ve svém PIN kódu používat speciální znaky, ale nemusí.

      • Povinné: Uživatelé musí ve svém PIN kódu obsahovat aspoň jeden speciální znak.

      • Nepovoleno: Uživatelé nemůžou ve svém PIN kódu používat speciální znaky. Toto chování je také v případě, že nastavení není nakonfigurováno.

    • Konfigurace použití číslic v PIN kódu: Určuje použití čísel v PIN kódu. Vyberte si z:

      • Povoleno: Uživatelé můžou používat čísla ve svém PIN kódu, ale nemusí.

      • Povinné: Uživatelé musí ve svém PIN kódu uvést aspoň jedno číslo.

      • Nepovoleno: Uživatelé nemůžou ve svém PIN kódu používat čísla.

    • Povolit biometrická gesta: Používejte biometrické ověřování, jako je rozpoznávání obličeje nebo otisk prstu. Tyto režimy jsou alternativou k kódu PIN pro Windows Hello pro firmy. Uživatelé pořád konfigurovali PIN kód pro případ, že se biometrické ověřování nezdaří.

      Pokud je nastavená možnost Ano, Windows Hello pro firmy povolí biometrické ověřování. Pokud je nastavená hodnota Ne, Windows Hello pro firmy brání biometrickému ověřování u všech typů účtů.

    • Použití rozšířené ochrany proti falšování identity: Nakonfiguruje rozšířenou ochranu proti falšování identity na zařízeních, která ho podporují. Pokud je nastavená možnost Ano, pokud je podporováno, vyžaduje systém Windows, aby všichni uživatelé používali ochranu proti falšování identity pro funkce obličeje.

    • Použít přihlášení telefonem: Nakonfiguruje dvojúrovňové ověřování pomocí mobilního telefonu.

  6. Dokončete průvodce.

Následující snímek obrazovky je příkladem Windows Hello pro firmy nastavení profilu:

Průvodce Windows Hello pro firmy zásadami zobrazující seznam dostupných nastavení

Konfigurace oprávnění

  1. Přihlaste se jako správce domény nebo ekvivalentní přihlašovací údaje k zabezpečené pracovní stanici pro správu, na které je nainstalovaná následující volitelná funkce: RSAT: Active Directory Domain Services a Lightweight Directory Services Tools.

  2. Otevřete konzolu Uživatelé a počítače služby Active Directory.

  3. Vyberte doménu, přejděte do nabídky Akce a vyberte Vlastnosti.

  4. Přepněte na kartu Zabezpečení a vyberte Upřesnit.

    Tip

    Pokud kartu Zabezpečení nevidíte, zavřete okno vlastností. Přejděte do nabídky Zobrazení a vyberte Rozšířené funkce.

  5. Vyberte možnost Přidat.

  6. Zvolte Vybrat objekt zabezpečení a zadejte Key Admins.

  7. V seznamu Platí pro vyberte Objekty potomků uživatelů.

  8. V dolní části stránky vyberte Vymazat vše.

  9. V části Vlastnosti vyberte Číst msDS-KeyCredentialLink.

  10. Výběrem OK uložte změny a zavřete všechna okna.

Další kroky

Profily certifikátů