параметры Windows Hello для бизнеса в Configuration Manager
Относится к Configuration Manager (Current Branch)
Configuration Manager интегрируется с Windows Hello для бизнеса. (Эта функция ранее называлась Microsoft Passport for Work.) Windows Hello для бизнеса — это альтернативный метод входа для Windows 10 устройств. Он использует Active Directory или учетную запись Microsoft Entra для замены пароля, смарт-карта или виртуальной интеллектуальной карта. Hello для бизнеса позволяет использовать жест пользователя для входа вместо пароля. Жест пользователя может быть ПИН-кодом, биометрической проверкой подлинности или внешним устройством, например сканером отпечатков пальцев.
Важно!
Начиная с версии 2203 эта функция доступа к ресурсам компании больше не поддерживается. Дополнительные сведения см. в статье Часто задаваемые вопросы об устаревании доступа к ресурсам.
развертывание центра регистрации службы федерации Active Directory (AD FS) (ADFS RA) проще, обеспечивает более удобный пользовательский интерфейс и более детерминированную регистрацию сертификатов. Используйте ADFS RA для проверки подлинности на основе сертификата с Windows Hello для бизнеса.
Дополнительные сведения см. в статье Windows Hello для бизнеса.
Примечание.
Configuration Manager не включает эту необязательную функцию по умолчанию. Перед ее использованием необходимо включить эту функцию. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.
Configuration Manager интегрируется с Windows Hello для бизнеса следующими способами:
Управление жестами, которые пользователи могут использовать и не могут использовать для входа.
Храните сертификаты проверки подлинности в поставщике хранилища ключей (KSP) Windows Hello для бизнеса. Дополнительные сведения см. в разделе Профили сертификатов.
Создайте и разверните профиль Windows Hello для бизнеса, чтобы управлять его параметрами на присоединенных к домену Windows 10 устройствах, на которые запущен клиент Configuration Manager. Начиная с версии 1910, вы не можете использовать проверку подлинности на основе сертификата. При использовании проверки подлинности на основе ключей развертывать профиль сертификата не требуется.
Настройка профиля
В консоли Configuration Manager перейдите в рабочую область Активы и соответствие. Разверните узел Параметры соответствия, Разверните узел Доступ к ресурсам компании и выберите узел Профили Windows Hello для бизнеса.
На ленте выберите Создать профиль Windows Hello для бизнеса, чтобы запустить мастер профилей.
На странице Общие укажите имя и необязательное описание для этого профиля.
На странице Поддерживаемые платформы выберите версии ОС, к которым должен применяться этот профиль.
На странице Параметры настройте следующие параметры:
Настройка Windows Hello для бизнеса. Укажите, включает ли этот профиль, отключает или не настраивает Hello для бизнеса.
Использование доверенного платформенного модуля (TPM). TPM обеспечивает дополнительный уровень безопасности данных. Выберите одно из следующих значений:
Обязательный. Windows Hello для бизнеса могут подготавливать только устройства со специальным доверенным платформенный модуль.
Предпочтительно: устройства сначала пытаются использовать TPM. Если он недоступен, они могут использовать программное шифрование.
Метод проверки подлинности. Задайте для этого параметра значение Не настроено или На основе ключа.
Примечание.
Начиная с версии 1910 проверка подлинности на основе сертификата с Windows Hello для бизнеса параметрами в Configuration Manager не поддерживается.
Настройка минимальной длины ПИН-кода. Если требуется минимальная длина ПИН-кода пользователя, включите этот параметр и укажите значение. Если этот параметр включен, значение по умолчанию —
4
.Настройка максимальной длины ПИН-кода. Если требуется максимальная длина ПИН-кода пользователя, включите этот параметр и укажите значение. Если этот параметр включен, по умолчанию используется
127
значение .Требовать истечения срока действия ПИН-кода (в днях): указывает количество дней, в течение которых пользователь должен изменить ПИН-код устройства.
Запретить повторное использование предыдущих ПИН-кодов. Не разрешайте пользователям использовать ПИН-коды, которые они использовали ранее.
Требовать прописные буквы в ПИН-коде. Указывает, должны ли пользователи включать в ПИН-код Windows Hello для бизнеса прописные буквы. Варианты:
Разрешено: пользователи могут использовать прописные буквы в ПИН-коде, но не обязательно.
Обязательный. Пользователи должны включать в ПИН-код по крайней мере один символ в верхнем регистре.
Запрещено. Пользователи не могут использовать прописные буквы в ПИН-коде.
Требовать строчные буквы в ПИН-коде. Указывает, должны ли пользователи включать строчные буквы в ПИН-код Windows Hello для бизнеса. Варианты:
Разрешено: пользователи могут использовать символы нижнего регистра в ПИН-коде, но не обязательно.
Обязательный. Пользователи должны включать в ПИН-код по крайней мере один символ в нижнем регистре.
Запрещено. Пользователи не могут использовать строчные символы в ПИН-коде.
Настройка специальных символов. Указывает использование специальных символов в ПИН-коде. Варианты:
Примечание.
Специальные символы включают следующий набор:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
Разрешено. Пользователи могут использовать специальные символы в ПИН-коде, но не обязательно.
Обязательный. Пользователи должны включать по крайней мере один специальный символ в СВОЙ ПИН-код.
Запрещено. Пользователи не могут использовать специальные символы в ПИН-коде. Это также происходит, если параметр не настроен.
Настройка использования цифр в ПИН-коде. Указывает использование чисел в ПИН-коде. Варианты:
Разрешено: пользователи могут использовать числа в пин-коде, но не обязательно.
Обязательный. Пользователи должны включать по крайней мере один номер в свой ПИН-код.
Запрещено. Пользователи не могут использовать номера в своих ПИН-кодах.
Включить биометрические жесты. Используйте биометрическую проверку подлинности, например распознавание лиц или отпечатков пальцев. Эти режимы являются альтернативой ПИН-коду для Windows Hello для бизнеса. Пользователи по-прежнему настраивают ПИН-код в случае сбоя биометрической проверки подлинности.
Если задано значение Да, Windows Hello для бизнеса разрешает биометрическую проверку подлинности. Если задано значение Нет, Windows Hello для бизнеса запрещает биометрическую проверку подлинности для всех типов учетных записей.
Использование расширенной защиты от спуфингов. Настраивает расширенную защиту от спуфингов на устройствах, поддерживающих его. Если задано значение Да, где поддерживается, Windows требует, чтобы все пользователи использовали анти-спуфингов для функций лица.
Использовать вход по телефону. Настраивает двухфакторную проверку подлинности с помощью мобильного телефона.
Завершите работу мастера.
На следующем снимок экрана показан пример Windows Hello для бизнеса параметров профиля:
Настройка разрешений
В качестве администратора домена или эквивалентных учетных данных войдите на безопасную административную рабочую станцию, на которую установлены следующие необязательные функции: RSAT: доменные службы Active Directory и упрощенный доступ к службам каталогов.
Откройте консоль Пользователи и компьютеры Active Directory.
Выберите домен, перейдите в меню действий и выберите Свойства.
Перейдите на вкладку Безопасность и выберите Дополнительно.
Совет
Если вкладка Безопасность не отображается, закройте окно свойств. Перейдите в меню Вид и выберите Дополнительные функции.
Нажмите Добавить.
Выберите Выбрать субъект и введите
Key Admins
.В списке Применяется к выберите Объекты потомков Пользователей.
В нижней части страницы выберите Очистить все.
В разделе Свойства выберите Чтение msDS-KeyCredentialLink.
Нажмите кнопку ОК , чтобы сохранить изменения и закрыть все окна.