Megosztás a következőn keresztül:

A Vállalati Windows Hello konfigurálása az Intune-nal való regisztrációkor

  • Cikk

A Microsoft Intune-nal létrehozhat egy bérlőszintű szabályzatot, amely konfigurálja a Vállalati Windows Hello használatát Windows 10- vagy Windows 11-eszközökön, amikor az eszközök regisztrálnak az Intune-ban. Ez a szabályzat a teljes szervezetet célozza, és támogatja a Windows Autopilot kezdőélményt (OOBE).

Windows 10/11 rendszerű eszközök esetén a Vállalati Windows Hello használata a jelszavak használatát erős kétfaktoros hitelesítésre cseréli az eszközökön. Ez a hitelesítés olyan felhasználói hitelesítő adatokból áll, amelyek egy eszközhöz kapcsolódnak, és biometrikus vagy PIN-kódot használnak.

Az eszközregisztrációt követően, vagy ha úgy dönt, hogy nem használja a bérlői szintű regisztrációs szabályzatot, az Intune a következő módszereket támogatja a Windows Hello különálló eszközcsoportokon való kezelésére:

  • Végpontbiztonsági fiókvédelmi szabályzat: Ha az Intune-ban való regisztráció után szeretné kezelni a Windows Hello-t az eszközökön, használja az Intune fiókvédelmi profilját, amely a végpontbiztonsági fiókvédelmi szabályzat része.

  • Biztonsági alapkonfigurációk: A Windows Hello egyes beállításait olyan biztonsági alapkonfigurációk kezelhetik, mint a Végponthoz készült Microsoft Defender biztonsági alapkonfigurációi vagy a Windows 10 és újabb rendszerek biztonsági alapkonfigurációi.

  • Beállításkatalógus: A végpontbiztonsági fiókvédelmi profilok beállításai az Intune beállításkatalógusában érhetők el.

Fontos

Az évfordulós frissítés (Windows 1607-es verzió) előtt két különböző PIN-kódot állíthat be az erőforrások hitelesítéséhez:

  • Az eszköz PIN-kódjának használatával feloldható az eszköz zárolása, és csatlakozhat a felhőbeli erőforrásokhoz.
  • A munkahelyi PIN-kód a Microsoft Entra-erőforrások elérésére szolgál a felhasználó személyes eszközén (BYOD).

Az évfordulós frissítésben ezt a két PIN-kódot egyetlen eszköz PIN-kódjába egyesítették. Az eszköz PIN-kódjának vezérléséhez beállított Intune-konfigurációs szabályzatok, valamint az Ön által konfigurált Vállalati Windows Hello-házirendek mostantól mind ezt az új PIN-kódot állítják be. Ha mindkét házirendtípust beállította a PIN-kód szabályozására, a Vállalati Windows Hello szabályzat lesz alkalmazva. A szabályzatütközések feloldásának és a PIN-kód-szabályzat megfelelő alkalmazásának biztosításához frissítse a Vállalati Windows Hello házirendet a konfigurációs szabályzat beállításainak megfelelően, és kérje meg a felhasználókat, hogy szinkronizálják az eszközeiket a Vállalati portál alkalmazásban.

Szerepköralapú hozzáférés-vezérlés

Vállalati Windows Hello-házirend létrehozásához vagy szerkesztéséhez Intune-szolgáltatásadminisztrátornak kell lennie a Windows-regisztrációban. Minden más Intune-szerepkör csak olvasási hozzáféréssel rendelkezik. A szerepköralapú hozzáférés-vezérléssel (RBAC) kapcsolatos további információkért lásd: RBAC a Microsoft Intune-nal.

Vállalati Windows Hello-szabályzat létrehozása az eszközregisztrációhoz

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Lépjen az Eszközök>regisztrálása területre.

  3. A Windows lap Regisztrációs beállítások területén válassza a Vállalati Windows Hello lehetőséget. Várjon, amíg megnyílik a Vállalati Windows Hello panel.

  4. A Vállalati Windows Hello konfigurálásához válasszon az alábbi lehetőségek közül:

    • Engedélyezve. Válassza ezt a beállítást, ha a Vállalati Windows Hello beállításait szeretné konfigurálni. Ha az Engedélyezve lehetőséget választja, a Windows Hello egyéb beállításai is láthatók lesznek, és konfigurálhatók az eszközökhöz.

    • Letiltva. Ha nem szeretné engedélyezni a Vállalati Windows Hello szolgáltatást az eszközregisztráció során, válassza ezt a lehetőséget. Ha le van tiltva, a felhasználók nem építhetik ki a Vállalati Windows Hello szolgáltatást. Ha a Letiltva értékre van állítva, akkor is konfigurálhatja a Vállalati Windows Hello további beállításait, annak ellenére, hogy ez a házirend nem engedélyezi a Vállalati Windows Hello szolgáltatást.

    • Nincs konfigurálva. Válassza ezt a beállítást, ha nem szeretné az Intune-t használni a Vállalati Windows Hello beállításainak szabályozásához. A Windows 10/11 rendszerű eszközökön meglévő Vállalati Windows Hello-beállítások nem változnak. A panelen lévő összes többi beállítás nem érhető el.

  5. Ha az előző lépésben az Engedélyezve lehetőséget választotta, konfigurálja az összes regisztrált Windows 10/11-eszközre vonatkozó szükséges beállításokat. Miután konfigurálta ezeket a beállításokat, válassza a Mentés lehetőséget.

    • Platformmegbízhatósági modul (TPM) használata:

      A TPM-lapka az adatbiztonság egy másik rétegét biztosítja. Válasszon az alábbi értékek közül:

      • Kötelező (alapértelmezett). Csak az akadálymentes TPM-et használó eszközök építhetik ki a Vállalati Windows Hello szolgáltatást.
      • Előnyben részesített. Az eszközök először TPM-et próbálnak használni. Ha ez a lehetőség nem érhető el, használhatnak szoftveres titkosítást.

    • PIN-kód minimális hossza és PIN-kód maximális hossza:

      Úgy konfigurálja az eszközöket, hogy a megadott minimális és maximális PIN-kódhosszt használják a biztonságos bejelentkezés biztosítása érdekében. A PIN-kód alapértelmezett hossza hat karakter, de legalább négy karaktert kényszeríthet ki. A PIN-kód maximális hossza 127 karakter.

    • Kisbetűk a PIN-kódban, nagybetűk a PIN-kódban és Speciális karakterek a PIN-kódban.

      Erősebb PIN-kódot is kényszeríthet, ha a PIN-kódban nagybetűket, kisbetűket és speciális karaktereket kell használnia. Mindegyikhez válasszon az alábbiak közül:

      • Engedélyezett: A felhasználók használhatják a karaktertípust a PIN-kódjukban, de ez nem kötelező.

      • Kötelező: A felhasználóknak tartalmazniuk kell legalább egy karaktertípust a PIN-kódjukban. Gyakori gyakorlat például, hogy legalább egy nagybetűt és egy speciális karaktert kell megadni.

      • Nem engedélyezett (alapértelmezett): A felhasználók nem használhatják ezeket a karaktertípusokat a PIN-kódjukban. (Ez a viselkedés akkor is így van, ha a beállítás nincs konfigurálva.)

        Speciális karakterek: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

    • PIN-kód lejárata (nap)::

      Érdemes megadni a PIN-kód lejárati idejét, amely után a felhasználóknak módosítaniuk kell azt. Az alapértelmezett érték 41 nap.

    • Pin-előzmények megjegyzése:

      Korlátozza a korábban használt PIN-kód újbóli használatát. Alapértelmezés szerint az utolsó 5 PIN-szám nem használható fel újra.

    • Biometrikus hitelesítés engedélyezése:

      Lehetővé teszi a biometrikus hitelesítést, például az arcfelismerést vagy az ujjlenyomatot a Vállalati Windows Hello PIN-kódjának alternatívaként. A felhasználóknak továbbra is konfigurálnia kell egy munkahelyi PIN-kódot arra az esetre, ha a biometrikus hitelesítés meghiúsul. Válasszon a következő lehetőségek közül:

      • Igen. A Vállalati Windows Hello lehetővé teszi a biometrikus hitelesítést.
      • Nem. A Vállalati Windows Hello megakadályozza a biometrikus hitelesítést (minden fióktípus esetében).

    • Ha elérhető, használjon továbbfejlesztett hamisítás elleni hamisítást:

      Konfigurálja, hogy a Windows Hello hamisítás elleni funkcióit használják-e az azt támogató eszközökön. Például egy arcról készült fénykép észlelése valódi arc helyett.

      Ha az Igen értékre van állítva, a Windows megköveteli, hogy minden felhasználó hamisítás elleni hamisítást használjon az arcfelismeréshez, ha az támogatott.

    • Telefonos bejelentkezés engedélyezése:

      Ha ez a beállítás Igen értékre van állítva, a felhasználók távoli útlevelet használhatnak hordozható társeszközként az asztali számítógép hitelesítéséhez. Az asztali számítógépnek csatlakoznia kell a Microsoft Entra-hoz, a társeszközt pedig a Vállalati Windows Hello PIN-kódjával kell konfigurálni.

    • Fokozott bejelentkezési biztonság engedélyezése:

      Konfigurálja a Windows Hello fokozott bejelentkezési biztonságát a kompatibilis hardverrel rendelkező eszközökön. Az Ön lehetőségei:

      • A fokozott bejelentkezési biztonság engedélyezve lesz a kompatibilis hardverrel rendelkező rendszereken (alapértelmezés): Az eszköz felhasználói nem használhatnak külső perifériákat az eszközre való bejelentkezéshez a Windows Hello használatával.
      • A fokozott bejelentkezési biztonság minden rendszeren le lesz tiltva: Az eszköz felhasználói a Windows Hello szolgáltatással kompatibilis külső perifériákkal jelentkezhetnek be az eszközükre.

    • A bejelentkezéshez használjon biztonsági kulcsokat:

      Ha engedélyezve van, ez a beállítás lehetővé teszi a Windows Hello biztonsági kulcsok távoli bekapcsolását és kikapcsolását az ügyfél szervezetének összes számítógépe számára.

A Windows Holographic for Business támogatása

A Windows Holographic for Business a következő beállításokat támogatja a Vállalati Windows Hello esetében:

  • Platformmegbízhatósági modul (TPM) használata
  • PIN-kód minimális hossza
  • PIN-kód maximális hossza
  • Kisbetűk a PIN-kódban
  • Nagybetűk a PIN-kódban
  • Speciális karakterek a PIN-kódban
  • PIN-kód lejárata (nap)
  • PIN-előzmények megjegyzése

Következő lépések

A Windows Hello szolgáltatásról a Windows dokumentációjának következő témaköreiben talál további információt: