Sdílet prostřednictvím

Konfigurace Windows Hello pro firmy na zařízeních při registraci v Intune

  • Článek

Pomocí Microsoft Intune můžete vytvořit zásadu pro celého tenanta, která konfiguruje použití Windows Hello pro firmy na zařízeních s Windows 10 nebo Windows 11 v době, kdy se tato zařízení zaregistrují v Intune. Tato zásada se zaměřuje na celou vaši organizaci a podporuje prostředí Windows Autopilotu( OOBE).

U zařízení s Windows 10/11 nahrazuje používání Windows Hello pro firmy používání hesel silným dvojúrovňovým ověřováním na zařízeních. Toto ověřování se skládá z přihlašovacích údajů uživatele, které jsou svázané se zařízením a používají biometrický kód nebo PIN kód.

Po registraci zařízení nebo když se rozhodnete nepoužívat zásady registrace pro celého tenanta, Intune podporuje následující metody správy Windows Hello na samostatných skupinách zařízení:

  • Zabezpečení koncového bodu Zásady ochrany účtu: Pokud chcete spravovat Windows Hello na zařízeních po registraci v Intune, použijte profil ochrany účtu Intune, který je součástí zásad ochrany účtu zabezpečení koncového bodu.

  • Standardní hodnoty zabezpečení: Některá nastavení pro Windows Hello je možné spravovat pomocí standardních hodnot zabezpečení, jako jsou standardní hodnoty pro zabezpečení v programu Microsoft Defender for Endpoint nebo Standardní hodnoty zabezpečení pro Windows 10 a novější.

  • Katalog nastavení: Nastavení z profilů ochrany účtů zabezpečení koncového bodu jsou k dispozici v katalogu nastavení Intune.

Důležité

Před aktualizací Anniversary Update (Windows verze 1607) jste mohli nastavit dva různé PIN kódy, které by se daly použít k ověření prostředků:

  • PIN kód zařízení se dá použít k odemknutí zařízení a připojení ke cloudovým prostředkům.
  • Pracovní PIN kód se použil pro přístup k prostředkům Microsoft Entra na osobním zařízení uživatele (BYOD).

Ve službě Anniversary Update se tyto dva PIN kódy sloučily do jednoho PIN kódu zařízení. Všechny zásady konfigurace Intune, které jste nastavili pro řízení PIN kódu zařízení, a navíc všechny zásady Windows Hello pro firmy, které jste nakonfigurovali, teď nastaví tuto novou hodnotu PIN kódu. Pokud jste nastavili oba typy zásad pro řízení KÓDU PIN, použije se zásada Windows Hello pro firmy. Pokud chcete zajistit, aby se konflikty zásad vyřešily a zásady pin kódu správně použily, aktualizujte zásady Windows Hello pro firmy tak, aby odpovídaly nastavením v zásadách konfigurace, a požádejte uživatele, aby svá zařízení synchronizovali v aplikaci Portál společnosti.

Řízení přístupu na základě role

Abyste mohli vytvářet nebo upravovat zásady Windows Hello pro firmy v registraci Windows, musíte být správcem služeb Intune. Všechny ostatní role Intune mají přístup jen pro čtení. Další informace o řízení přístupu na základě role (RBAC) najdete v tématu RBAC s Microsoft Intune.

Vytvoření zásad Windows Hello pro firmy pro registraci zařízení

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Přejděte na Registrace zařízení>.

  3. Na kartě Windows v části Možnosti registrace vyberte Windows Hello pro firmy. Počkejte, než se otevře podokno Windows Hello pro firmy.

  4. V části Konfigurace Windows Hello pro firmy vyberte některou z následujících možností:

    • Povoleno. Toto nastavení vyberte, pokud chcete nakonfigurovat nastavení Windows Hello pro firmy. Když vyberete Povoleno, zobrazí se další nastavení pro Windows Hello a dá se nakonfigurovat pro zařízení.

    • Zakázáno. Pokud nechcete povolit Windows Hello pro firmy během registrace zařízení, vyberte tuto možnost. Pokud je tato možnost zakázaná, uživatelé nemůžou zřídit Windows Hello pro firmy. Pokud je nastavení na Zakázáno, můžete nakonfigurovat další nastavení pro Windows Hello pro firmy, i když tato zásada nepovolí Windows Hello pro firmy.

    • Nenakonfigurováno. Toto nastavení vyberte, pokud nechcete k řízení nastavení Windows Hello pro firmy používat Intune. Všechna existující nastavení Windows Hello pro firmy na zařízeních s Windows 10/11 se nezmění. Všechna ostatní nastavení v podokně nejsou k dispozici.

  5. Pokud jste v předchozím kroku vybrali Povoleno , nakonfigurujte požadovaná nastavení, která se použijí pro všechna zaregistrovaná zařízení s Windows 10/11. Po nakonfigurování těchto nastavení vyberte Uložit.

    • Použití čipu TPM (Trusted Platform Module):

      Čip TPM poskytuje další vrstvu zabezpečení dat. Zvolte jednu z následujících hodnot:

      • Povinné (výchozí). Windows Hello pro firmy můžou zřídit jenom zařízení s přístupným čipem TPM.
      • Upřednostňované. Zařízení se nejprve pokusí použít čip TPM. Pokud tato možnost není dostupná, může použít softwarové šifrování.

    • Minimální délka PIN kódu a Maximální délka PIN kódu:

      Nakonfiguruje zařízení tak, aby používala minimální a maximální délku PIN kódu, kterou zadáte, a pomohla tak zajistit zabezpečené přihlašování. Výchozí délka KÓDU PIN je šest znaků, ale můžete vynutit minimální délku čtyř znaků. Maximální délka KÓDU PIN je 127 znaků.

    • Malá písmena v PIN kódu, Velká písmena v PIN kódu a Speciální znaky v PIN kódu.

      Silnější PIN kód můžete vynutit tak, že v pin kódu budete potřebovat velká písmena, malá písmena a speciální znaky. U každého vyberte z těchto:

      • Povoleno: Uživatelé můžou použít typ znaku ve svém PIN kódu, ale není to povinné.

      • Povinné: Uživatelé musí ve svém PIN kódu zahrnout alespoň jeden z typů znaků. Běžnou praxí je například vyžadovat aspoň jedno velké písmeno a jeden speciální znak.

      • Nepovoleno (výchozí): Uživatelé nesmí ve svém PIN kódu používat tyto typy znaků. (Jedná se také o chování, pokud nastavení není nakonfigurované.)

        Mezi speciální znaky patří: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

    • Vypršení platnosti KÓDU PIN (dny):

      Je vhodné zadat dobu vypršení platnosti kódu PIN, po které ho uživatelé musí změnit. Výchozí hodnota je 41 dní.

    • Zapamatujte si historii PIN kódu:

      Omezuje opakované použití dříve použitých PIN kódů. Ve výchozím nastavení se posledních 5 PIN kódů nedá znovu použít.

    • Povolit biometrické ověřování:

      Jako alternativu k PIN kódu pro Windows Hello pro firmy umožňuje biometrické ověřování, jako je rozpoznávání obličeje nebo otisk prstu. Uživatelé musí přesto nakonfigurovat pracovní PIN kód pro případ, že se biometrické ověřování nezdaří. Vyberte si z:

      • Ano. Windows Hello pro firmy umožňuje biometrické ověřování.
      • Ne. Windows Hello pro firmy brání biometrickému ověřování (pro všechny typy účtů).

    • Používejte vylepšenou ochranu proti falšování identity, pokud je k dispozici:

      Nakonfiguruje, jestli se funkce ochrany proti falšování identity Windows Hello používají na zařízeních, která ho podporují. Například rozpoznání fotografie tváře místo skutečné tváře.

      Pokud je tato možnost nastavená na Ano, systém Windows vyžaduje, aby všichni uživatelé používali ochranu proti falšování identity pro funkce obličeje, pokud je podporovaná.

    • Povolit přihlášení telefonem:

      Pokud je tato možnost nastavená na Ano, můžou uživatelé použít vzdálený pas, který bude sloužit jako přenosné doprovodné zařízení pro ověřování stolního počítače. Stolní počítač musí být připojený k Microsoft Entra a doprovodné zařízení musí být nakonfigurované pomocí PIN kódu Windows Hello pro firmy.

    • Povolení rozšířeného zabezpečení přihlašování:

      Nakonfigurujte rozšířené zabezpečení přihlašování Windows Hello na zařízeních s podporou hardwaru. Možnosti:

      • Rozšířené zabezpečení přihlašování bude povolené v systémech s podporou hardwaru (výchozí nastavení): Uživatelé zařízení nemůžou používat externí periferie k přihlášení k zařízení pomocí Windows Hello.
      • Rozšířené zabezpečení přihlašování bude zakázané ve všech systémech: Uživatelé zařízení se můžou k přihlášení ke svému zařízení přihlašovat pomocí externích periferních zařízení, která jsou kompatibilní s Windows Hello.

    • Použití klíčů zabezpečení pro přihlášení:

      Pokud je tato možnost nastavená na Povoleno, poskytuje kapacitu pro vzdálené zapnutí/vypnutí klíčů zabezpečení Windows Hello pro všechny počítače v organizaci zákazníka.

Podpora Windows Holographic for Business

Windows Holographic for Business podporuje následující nastavení pro Windows Hello pro firmy:

  • Použití čipu TPM (Trusted Platform Module)
  • Minimální délka PIN kódu
  • Maximální délka PIN kódu
  • Malá písmena v PIN kódu
  • Velká písmena v PIN kódu
  • Speciální znaky v PIN kódu
  • Vypršení platnosti PIN kódu (dny)
  • Pamatovat si historii PIN kódu

Další kroky

Další informace o Windows Hello najdete v následujících tématech v dokumentaci k Windows: