Share via

Nastavení profilu ochrany identit v Intune pro Windows Hello pro firmy

  • Článek

Poznámka

Intune může podporovat více nastavení, než jsou nastavení uvedená v tomto článku. Ne všechna nastavení jsou zdokumentovaná a nebudou zdokumentována. Pokud chcete zobrazit nastavení, která můžete konfigurovat, vytvořte zásady konfigurace zařízení a vyberte Katalog nastavení. Další informace najdete v katalogu Nastavení.

Tento článek popisuje Windows Hello pro firmy nastavení, která můžete nakonfigurovat v profilu ochrany identit. Profily ochrany identit jsou součástí zásad konfigurace zařízení v Microsoft Intune. Pomocí profilu ochrany identit můžete nakonfigurovat nastavení pro samostatné skupiny Windows 10/11 zařízení. Pokud chcete v rámci registrace zařízení nakonfigurovat Windows Hello pro firmy pro celého tenanta, přečtěte si část Vytvoření zásady Windows Hello pro firmy v tématu Integrace Windows Hello pro firmy s Microsoft Intune. Tato část popisuje nejen postup vytvoření zásady konfigurace pro celého tenanta, ale také popisuje nastavení zásad registrace.

Další informace o těchto nastaveních najdete v tématu Konfigurace nastavení zásad Windows Hello pro firmy v dokumentaci k Windows Hello.

Další informace o profilech ochrany identit v Intune najdete v tématu Konfigurace ochrany identit.

Než začnete

Vytvořte konfigurační profil.

Windows Hello pro firmy

  • Konfigurace Windows Hello pro firmy:

    • Nenakonfigurováno (výchozí) – Toto nastavení vyberte, pokud nechcete k řízení nastavení Windows Hello pro firmy používat Intune. Stávající nastavení Windows Hello pro firmy na zařízeních Windows 10/11 se nezmění. Všechna ostatní nastavení v podokně nejsou k dispozici.

    • Zakázat – Pokud nechcete používat Windows Hello pro firmy, vyberte toto nastavení. Všechna ostatní nastavení na obrazovce jsou pak nedostupná.

    • Povolit – toto nastavení vyberte, pokud chcete nakonfigurovat nastavení Windows Hello pro firmy.

    Při nastavení na Povolit jsou k dispozici následující nastavení:

    • Minimální délka PIN kódu
      Zadejte minimální délku KÓDU PIN pro zařízení od 4 do 127 znaků. Ve výchozím nastavení je toto nastavení nenakonfigurováno.

    • Maximální délka PIN kódu
      Zadejte maximální délku KÓDU PIN pro zařízení od čtyř do 127 znaků. Ve výchozím nastavení je toto nastavení nenakonfigurováno.

    • Malá písmena v PIN kódu
      V případě potřeby musí kód PIN uživatele obsahovat aspoň jedno malé písmeno. Ve výchozím nastavení je toto nastavení nenakonfigurováno.

      • Nepovoleno – Zablokuje uživatelům použití malých písmen v PIN kódu. K tomuto chování dochází také v případě, že nastavení není nakonfigurované.
      • Povoleno – Povolí uživatelům používat v PIN kódu malá písmena, ale není to povinné.
      • Povinné – Uživatelé musí v KÓDU PIN obsahovat aspoň jedno malé písmeno. Běžnou praxí je například vyžadovat aspoň jedno velké písmeno a jeden speciální znak.

    • Velká písmena v PIN kódu
      V případě potřeby musí kód PIN uživatele obsahovat alespoň jedno velké písmeno. Ve výchozím nastavení je toto nastavení nenakonfigurováno.

      • Nepovoleno – Zablokuje uživatelům použití velkých písmen v PIN kódu. K tomuto chování dochází také v případě, že nastavení není nakonfigurované.
      • Povoleno – Povolí uživatelům používat v PIN kódu velká písmena, ale není to povinné.
      • Povinné – Uživatelé musí v KÓDU PIN obsahovat aspoň jedno velké písmeno. Běžnou praxí je například vyžadovat aspoň jedno velké písmeno a jeden speciální znak.

    • Speciální znaky v PIN kódu
      V případě potřeby musí kód PIN uživatele obsahovat alespoň jeden speciální znak. Mezi speciální znaky patří: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Nepovoleno (výchozí) – Zablokuje uživatelům použití speciálních znaků v PIN kódu. K tomuto chování dochází také v případě, že nastavení není nakonfigurované.
      • Povoleno – Povolí uživatelům používat v PIN kódu velká písmena, ale není to povinné.
      • Povinné – Uživatelé musí v KÓDU PIN obsahovat aspoň jedno velké písmeno. Běžnou praxí je například vyžadovat aspoň jedno velké písmeno a jeden speciální znak.

    • Vypršení platnosti PIN kódu (dny)
      Pokud je tato konfigurace nakonfigurovaná, uživatel bude po nastaveném počtu dnů nucen změnit svůj PIN kód. Uživatel si může pin kód před vypršením platnosti proaktivně změnit. Ve výchozím nastavení je toto nastavení nenakonfigurováno.

    • Pamatovat si historii PIN kódu
      Pokud je tato konfigurace nakonfigurovaná, uživatel nebude moct tento počet předchozích PIN kódů znovu použít. Ve výchozím nastavení je toto nastavení nenakonfigurováno.

    • Povolení obnovení KÓDU PIN
      Umožňuje uživateli používat službu obnovení kódu PIN Windows Hello pro firmy.

      • Povolit – tajný kód pro obnovení PIN kódu je uložený v zařízení a uživatel si může pin kód v případě potřeby změnit.
      • Nenakonfigurováno (výchozí) – Tajný kód obnovení se nevytvořil ani neuložil.

    • Použití čipu TPM (Trusted Platform Module)
      Čip TPM poskytuje další vrstvu zabezpečení dat.

      • Povolit – Windows Hello pro firmy můžou zřizovat jenom zařízení s přístupným čipem TPM.
      • Nenakonfigurováno (výchozí) – Zařízení se nejprve pokusí použít čip TPM. Pokud čip TPM není k dispozici, může použít softwarové šifrování.

    • Povolit biometrické ověřování
      Pokud je to povolené, Windows Hello pro firmy se můžou ověřit pomocí gest, jako je obličej nebo otisk prstu. Uživatelé musí pin kód nakonfigurovat i v případě selhání.

      • Povolit – Windows Hello pro firmy povolí biometrické ověřování.
      • Nenakonfigurováno (výchozí) – Windows Hello pro firmy brání biometrickému ověřování (pro všechny typy účtů).

    • Použití rozšířené ochrany proti falšování identity, pokud je k dispozici
      Pokud je tato možnost povolená, zařízení používají vylepšenou ochranu proti falšování identity, pokud je k dispozici (například rozpoznání fotografie tváře místo skutečné tváře).

      • Povolit – Systém Windows vyžaduje, aby všichni uživatelé používali ochranu proti falšování identity pro funkce obličeje, pokud je tato funkce podporovaná.
      • Nenakonfigurováno (výchozí) – Systém Windows respektuje konfigurace ochrany proti falšování identity na zařízení.

    • Certifikát pro místní prostředky

      • Povolit – umožňuje Windows Hello pro firmy používat certifikáty k ověřování místních prostředků.
      • Nenakonfigurováno (výchozí) – Zabraňuje Windows Hello pro firmy používat certifikáty k ověřování místních prostředků. Místo toho zařízení používají výchozí chování místního ověřování důvěryhodnosti klíčů. Další informace najdete v tématu Certifikát uživatele pro místní ověřování v dokumentaci k Windows Hello.

  • Použití klíčů zabezpečení pro přihlášení
    Toto nastavení je dostupné pro zařízení, která používají Windows 10 verze 1903 nebo novější nebo Windows 11. Slouží ke správě podpory používání klíčů zabezpečení Windows Hello pro přihlašování.

    • Povolit – uživatelé můžou použít Windows Hello klíč zabezpečení jako přihlašovací údaje pro počítače, na které se tato zásada zaměřuje.
    • Nenakonfigurováno – Klíče zabezpečení jsou zakázané a uživatelé je nemůžou používat k přihlašování k počítačům.

Další kroky

Přiřaďte profil a sledujte jeho stav.