Konfigurace Windows Hello pro firmy na zařízeních při registraci pomocí Intune

  • Článek

Pomocí Microsoft Intune můžete vytvořit zásadu pro celého tenanta, která konfiguruje použití Windows Hello pro firmy na Windows 10 nebo Windows 11 zařízeních v době, kdy se tato zařízení zaregistrují do Intune. Tato zásada se zaměřuje na celou vaši organizaci a podporuje prostředí Windows Autopilotu( OOBE).

U zařízení Windows 10/11 nahrazuje použití Windows Hello pro firmy používání hesel silným dvojúrovňovým ověřováním na zařízeních. Toto ověřování se skládá z přihlašovacích údajů uživatele, které jsou svázané se zařízením a používají biometrický kód nebo PIN kód.

Po registraci zařízení nebo když se rozhodnete nepoužívat zásady registrace pro celého tenanta, Intune podporuje následující metody správy Windows Hello na diskrétních skupinách zařízení:

  • Ochrana identit – zásady konfigurace zařízení zahrnují profil ochrany identit, který můžete použít ke konfiguraci skupin zařízení pro Windows Hello.

  • Standardní hodnoty zabezpečení: Některá nastavení pro Windows Hello je možné spravovat pomocí standardních hodnot zabezpečení, jako jsou standardní hodnoty pro zabezpečení Microsoft Defender for Endpoint nebo Standardní hodnoty zabezpečení pro Windows 10 a novější.

  • Zabezpečení koncového bodu Zásady ochrany účtů: Zásady ochrany účtů zahrnují některá nastavení používaná Windows Hello.

Důležité

Před aktualizací Anniversary Update (Windows verze 1607) jste mohli nastavit dva různé PIN kódy, které by se daly použít k ověření prostředků:

  • PIN kód zařízení se dá použít k odemknutí zařízení a připojení ke cloudovým prostředkům.
  • Pracovní PIN kód se použil pro přístup k Microsoft Entra prostředkům na osobním zařízení uživatele (BYOD).

Ve službě Anniversary Update se tyto dva PIN kódy sloučily do jednoho PIN kódu zařízení. Všechny zásady konfigurace Intune, které jste nastavili pro řízení kódu PIN zařízení, a navíc všechny zásady Windows Hello pro firmy, které jste nakonfigurovali, teď nastaví tuto novou hodnotu PIN kódu. Pokud jste nastavili oba typy zásad pro řízení kódu PIN, použije se zásada Windows Hello pro firmy. Pokud chcete zajistit, aby se konflikty zásad vyřešily a zásady PIN kódu správně použily, aktualizujte zásady Windows Hello pro firmy tak, aby odpovídaly nastavení v zásadách konfigurace, a požádejte uživatele, aby synchronizovali svá zařízení v aplikaci Portál společnosti.

Řízení přístupu na základě role

Abyste mohli vytvořit nebo upravit zásady Windows Hello pro firmy v registraci windows, musíte být správcem služeb Intune. Všechny ostatní role Intune mají přístup jen pro čtení. Další informace o řízení přístupu na základě role (RBAC) najdete v tématu RBAC s Microsoft Intune.

Create zásad Windows Hello pro firmy

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Přejděte na Registrace zařízení>.

  3. Na kartě Windows v části Možnosti registrace vyberte Windows Hello pro firmy. Počkejte, než se otevře podokno Windows Hello pro firmy.

  4. V části Konfigurovat Windows Hello pro firmy vyberte některou z následujících možností:

    • Povoleno. Toto nastavení vyberte, pokud chcete nakonfigurovat nastavení Windows Hello pro firmy. Když vyberete Povoleno, zobrazí se další nastavení pro Windows Hello a dá se nakonfigurovat pro zařízení.

    • Zakázáno. Pokud nechcete povolit Windows Hello pro firmy během registrace zařízení, vyberte tuto možnost. Pokud je tato možnost zakázaná, uživatelé nemůžou zřídit Windows Hello pro firmy. I když je tato zásada nastavená na Zakázáno, můžete nakonfigurovat další nastavení pro Windows Hello pro firmy, i když tato zásada nepovolí Windows Hello pro firmy.

    • Nenakonfigurováno. Toto nastavení vyberte, pokud nechcete k řízení nastavení Windows Hello pro firmy používat Intune. Všechna existující nastavení Windows Hello pro firmy na zařízeních Windows 10/11 se nezmění. Všechna ostatní nastavení v podokně nejsou k dispozici.

  5. Pokud jste v předchozím kroku vybrali Povoleno, nakonfigurujte požadovaná nastavení, která se použijí pro všechna zaregistrovaná zařízení Windows 10/11. Po nakonfigurování těchto nastavení vyberte Uložit.

    • Použití čipu TPM (Trusted Platform Module):

      Čip TPM poskytuje další vrstvu zabezpečení dat. Zvolte jednu z následujících hodnot:

      • Povinné (výchozí). Windows Hello pro firmy můžou zřídit jenom zařízení s přístupným čipem TPM.
      • Upřednostňované. Zařízení se nejprve pokusí použít čip TPM. Pokud tato možnost není dostupná, může použít softwarové šifrování.

    • Minimální délka PIN kódu a Maximální délka PIN kódu:

      Nakonfiguruje zařízení tak, aby používala minimální a maximální délku PIN kódu, kterou zadáte, a pomohla tak zajistit zabezpečené přihlašování. Výchozí délka KÓDU PIN je šest znaků, ale můžete vynutit minimální délku čtyř znaků. Maximální délka KÓDU PIN je 127 znaků.

    • Malá písmena v PIN kódu, Velká písmena v PIN kódu a Speciální znaky v PIN kódu.

      Silnější PIN kód můžete vynutit tak, že v pin kódu budete potřebovat velká písmena, malá písmena a speciální znaky. U každého vyberte z těchto:

      • Povoleno: Uživatelé můžou použít typ znaku ve svém PIN kódu, ale není to povinné.

      • Povinné: Uživatelé musí ve svém PIN kódu zahrnout alespoň jeden z typů znaků. Běžnou praxí je například vyžadovat aspoň jedno velké písmeno a jeden speciální znak.

      • Nepovoleno (výchozí): Uživatelé nesmí ve svém PIN kódu používat tyto typy znaků. (Jedná se také o chování, pokud nastavení není nakonfigurované.)

        Mezi speciální znaky patří: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

    • Vypršení platnosti KÓDU PIN (dny):

      Je vhodné zadat dobu vypršení platnosti kódu PIN, po které ho uživatelé musí změnit. Výchozí hodnota je 41 dní.

    • Zapamatujte si historii PIN kódu:

      Omezuje opakované použití dříve použitých PIN kódů. Ve výchozím nastavení se posledních 5 PIN kódů nedá znovu použít.

    • Povolit biometrické ověřování:

      Jako alternativu k PIN kódu pro Windows Hello pro firmy umožňuje biometrické ověřování, jako je rozpoznávání obličeje nebo otisk prstu. Uživatelé musí přesto nakonfigurovat pracovní PIN kód pro případ, že se biometrické ověřování nezdaří. Vyberte si z:

      • Ano. Windows Hello pro firmy umožňuje biometrické ověřování.
      • Ne. Windows Hello pro firmy brání biometrickému ověřování (pro všechny typy účtů).

    • Používejte vylepšenou ochranu proti falšování identity, pokud je k dispozici:

      Nakonfiguruje, jestli se na zařízeních, která ho podporují, používají funkce ochrany proti falšování identity Windows Hello. Například rozpoznání fotografie tváře místo skutečné tváře.

      Pokud je tato možnost nastavená na Ano, systém Windows vyžaduje, aby všichni uživatelé používali ochranu proti falšování identity pro funkce obličeje, pokud je podporovaná.

    • Povolit přihlášení telefonem:

      Pokud je tato možnost nastavená na Ano, můžou uživatelé použít vzdálený pas, který bude sloužit jako přenosné doprovodné zařízení pro ověřování stolního počítače. Stolní počítač musí být připojený Microsoft Entra a doprovodné zařízení musí být nakonfigurované pomocí Windows Hello pro firmy PIN kódu.

    • Povolení rozšířeného zabezpečení přihlašování:

      Nakonfigurujte Windows Hello rozšířené zabezpečení přihlašování na zařízeních s podporou hardwaru. Možnosti:

      • V systémech s podporou hardwaru bude povolené rozšířené zabezpečení přihlašování (výchozí nastavení): Uživatelé zařízení nemůžou používat externí periferie k přihlášení k zařízení pomocí Windows Hello.
      • Rozšířené zabezpečení přihlašování bude zakázané ve všech systémech: Uživatelé zařízení můžou k přihlášení ke svému zařízení používat externí periferní zařízení, která jsou kompatibilní s Windows Hello.

    • Použití klíčů zabezpečení pro přihlášení:

      Pokud je toto nastavení nastavené na Povoleno, poskytuje kapacitu pro vzdálené zapnutí/vypnutí Windows Hello klíče zabezpečení pro všechny počítače v organizaci zákazníka.

podpora Windows Holographic for Business

Windows Holographic for Business podporuje pro Windows Hello pro firmy následující nastavení:

  • Použití čipu TPM (Trusted Platform Module)
  • Minimální délka PIN kódu
  • Maximální délka PIN kódu
  • Malá písmena v PIN kódu
  • Velká písmena v PIN kódu
  • Speciální znaky v PIN kódu
  • Vypršení platnosti PIN kódu (dny)
  • Pamatovat si historii PIN kódu

Další kroky

Další informace o Windows Hello z následujících témat najdete v dokumentaci k Windows: