Настройка Windows Hello для бизнеса на устройствах при регистрации в Intune
С помощью Microsoft Intune можно создать политику на уровне клиента, которая настраивает использование Windows Hello для бизнеса на устройствах с Windows 10 или Windows 11 во время регистрации этих устройств в Intune. Эта политика ориентирована на всю организацию и поддерживает встроенный интерфейс Windows Autopilot (OOBE).
Для устройств с Windows 10/11 использование Windows Hello для бизнеса заменяет использование паролей с двухфакторной проверкой подлинности на устройствах. Эта проверка подлинности включает учетные данные пользователей, связанные с устройством и применяет биометрические данные или ПИН-код.
После регистрации устройств или если вы решили не использовать политику регистрации на уровне клиента, Intune поддерживает следующие методы управления Windows Hello на отдельных группах устройств:
Политика защиты учетных записей безопасности конечных точек. Чтобы управлять Windows Hello на устройствах после регистрации в Intune, используйте профиль защиты учетных записей Intune, который является частью политики защиты учетных записей безопасности конечных точек.
Базовые показатели безопасности. Некоторые параметры Для Windows Hello можно управлять с помощью базовых показателей безопасности, таких как базовые показатели безопасности Microsoft Defender для конечной точки или Базовые показатели безопасности для Windows 10 и более поздних версий.
Каталог параметров. Параметры из профилей защиты учетных записей безопасности конечных точек доступны в каталоге параметров Intune.
Важно!
До юбилейного обновления (Windows версии 1607) можно было задать два разных ПИН-кода, которые можно было использовать для проверки подлинности ресурсов:
- ПИН-код устройства. Использовался для разблокировки устройства и подключения к ресурсам в облаке.
- Рабочий ПИН-код использовался для доступа к ресурсам Microsoft Entra на личном устройстве пользователя (BYOD).
В юбилейном обновлении эти два ПИН-кода объединены в один ПИН-код устройства. Все политики конфигурации Intune, настроенные для управления ПИН-кодом устройства, а также все настроенные политики Windows Hello для бизнеса теперь используют одинаковый ПИН-код. Если вы настроили оба типа политик для управления ПИН-кодом, применяется политика Windows Hello для бизнеса. Чтобы обеспечить разрешение конфликтов политик и правильное применение политики ПИН-кода, обновите политику Windows Hello для бизнеса, чтобы она соответствовала параметрам политики конфигурации, и попросите пользователей синхронизировать свои устройства в приложении корпоративного портала.
Управление доступом на основе ролей
Чтобы создать или изменить политику Windows Hello для бизнеса в регистрации Windows, необходимо быть администратором служб Intune. Все остальные роли Intune имеют доступ только для чтения. Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе RBAC с Microsoft Intune.
Создание политики Windows Hello для бизнеса для регистрации устройств
Войдите в Центр администрирования Microsoft Intune.
Перейдите в разделРегистрацияустройств>.
На вкладке Windows в разделе Параметры регистрации выберите Windows Hello для бизнеса. Подождите, пока откроется панель Windows Hello для бизнеса.
Выберите один из следующих вариантов для параметра Настроить Windows Hello для бизнеса.
Включено. Выберите этот параметр, если вы хотите настроить параметры Windows Hello для бизнеса. При выборе значения Включено отображаются другие параметры Windows Hello, которые можно настроить для устройств.
Отключено. Выберите этот параметр, если вы не хотите использовать Windows Hello для бизнеса во время регистрации устройства. Если он отключен, пользователи не смогут выполнять подготовку Windows Hello для бизнеса. Если задано значение Отключено, можно по-прежнему настроить последующие параметры для Windows Hello для бизнеса, даже если эта политика не включает Windows Hello для бизнеса.
Не настроено. Выберите этот параметр, если вы не хотите использовать Intune для управления параметрами Windows Hello для бизнеса. Все существующие параметры Windows Hello для бизнеса на устройствах с Windows 10/11 не изменяются. После этого все остальные параметры на панели будут отключены.
Если на предыдущем шаге вы выбрали вариант Включено, настройте необходимые параметры, которые будут применяться ко всем зарегистрированным устройствам с Windows 10/11. Настроив эти параметры, нажмите Сохранить.
Использовать доверенный платформенный модуль (TPM).
Микросхема TPM обеспечивает еще один уровень защиты данных. Выберите одно из следующих значений:
- Обязательный (по умолчанию). Подготовку Windows Hello для бизнеса поддерживают только устройства с доступным доверенным платформенным модулем.
- Предпочитаемый. Устройства сначала пытаются использовать доверенный платформенный модуль. Если этот параметр недоступен, они могут использовать программное шифрование.
Минимальная длина ПИН-кода и Максимальная длина ПИН-кода.
Настройте для устройств минимальную и максимальную длину ПИН-кода, чтобы обеспечить защищенный вход. По умолчанию длина ПИН-кода равна шести символам, но вы можете установить минимальную длину, равную четырем символам. Максимальная длина ПИН-кода составляет 127 символов.
Строчные буквы в ПИН-коде, Прописные буквы в ПИН-коде и Специальные символы в ПИН-коде.
Кроме того, можно повысить надежность ПИН-кодов, потребовав использовать в них строчные и прописные буквы, а также специальные символы. Для каждого выберите один из следующих вариантов:
Разрешено: пользователи могут использовать символьный тип в своем ПИН-коде, но это необязательно.
Обязательный. Пользователи должны включать в ПИН-код по крайней мере один из типов символов. Например, зачастую требуется включать по крайней мере одну прописную букву и один специальный символ.
Запрещено (по умолчанию). Пользователи не должны использовать эти типы символов в СВОИХ ПИН-кодах. (это поведение также используется, если параметр не настроен).
Специальные символы: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~
Срок действия ПИН-кода (в днях).
Рекомендуется указывать срок действия ПИН-кода, по истечении которого пользователю необходимо сменить его. Значение по умолчанию — 41 день.
Remember PIN history (Хранить историю ПИН-кодов).
Этот параметр используется для запрета повторного применения ПИН-кодов, которые уже использовались ранее. По умолчанию нельзя использовать повторно последние 5 ПИН-кодов.
Разрешить биометрическую проверку подлинности.
Включает биометрическую проверку подлинности (например, распознавание лиц или отпечатков пальцев) в качестве альтернативы использованию ПИН-кода для Windows Hello для бизнеса. На случай сбоя биометрической проверки подлинности пользователи по-прежнему должны настраивать рабочий ПИН-код. Варианты:
- Да. Windows Hello для бизнеса разрешает использовать биометрическую проверку подлинности.
- Нет. Windows Hello для бизнеса запрещает использовать биометрическую проверку подлинности (для всех типов учетных записей).
Использовать расширенную защиту от спуфинга, когда возможно.
Указывает, будут ли параметры защиты от спуфинга Windows Hello использоваться на устройствах, поддерживающих ее. Например, определяет фотографию лица, а не реальное лицо.
Если задано значение Да, Windows требует, чтобы все пользователи прибегали к функции защиты от спуфинга в случае применения возможностей распознавания лиц (если поддерживается).
Allow phone sign-in (Разрешить вход с телефона):
Если этому параметру присвоено значение Да, пользователи могут использовать удаленную службу Passport в качестве переносимого устройства-компаньона для проверки подлинности настольного компьютера. Настольный компьютер должен быть присоединен к Microsoft Entra, а на дополнительном устройстве должен быть настроен ПИН-код Windows Hello для бизнеса.
Включите расширенную безопасность входа:
Настройка расширенной безопасности входа в Windows Hello на устройствах с поддержкой оборудования. Доступны следующие параметры:
- Улучшенная безопасность входа будет включена в системах с поддержкой оборудования (по умолчанию). Пользователи устройств не могут использовать внешние периферийные устройства для входа на свое устройство с помощью Windows Hello.
- Улучшенная безопасность входа будет отключена во всех системах. Пользователи устройств могут использовать внешние периферийные устройства, совместимые с Windows Hello, для входа на свое устройство.
Использовать ключи безопасности для входа.
Если задано значение Включено, этот параметр обеспечивает возможность удаленного включения и выключения ключей безопасности Windows Hello для всех компьютеров в организации клиента.
Поддержка Windows Holographic for Business
Windows Holographic for Business поддерживает следующие параметры Windows Hello для бизнеса:
- Использовать доверенный платформенный модуль (TPM)
- Минимальная длина ПИН
- Максимальная длина ПИН-кода
- Строчные буквы в ПИН-коде
- Прописные буквы в ПИН-коде
- Специальные символы в ПИН-коде
- Срок действия ПИН-кода (в днях)
- Хранить историю ПИН-кодов
Дальнейшие действия
Дополнительные сведения о Windows Hello см. в документации по Windows по следующим темам: