Share via


Windows Hello voor Bedrijven configureren op apparaten wanneer ze zich inschrijven bij Intune

Met Microsoft Intune kunt u een tenantbreed beleid maken waarmee het gebruik van Windows Hello voor Bedrijven op Windows 10- of Windows 11-apparaten wordt geconfigureerd op het moment dat deze apparaten worden ingeschreven bij Intune. Dit beleid is gericht op uw hele organisatie en ondersteunt de Out-of-Box Experience (OOBE) van Windows Autopilot.

Voor Windows 10/11-apparaten vervangt het gebruik van Windows Hello voor Bedrijven het gebruik van wachtwoorden door sterke tweeledige verificatie op apparaten. Deze verificatie bestaat uit een gebruikersreferentie die is gekoppeld aan een apparaat en gebruikmaakt van een biometrische of pincode.

Na de apparaatinschrijving of wanneer u ervoor kiest om het tenantbrede inschrijvingsbeleid niet te gebruiken, ondersteunt Intune de volgende methoden voor het beheren van Windows Hello op afzonderlijke groepen apparaten:

  • Beveiligingsbeleid voor eindpuntbeveiligingsaccounts: als u Windows Hello op apparaten wilt beheren nadat deze zijn ingeschreven bij Intune, gebruikt u het Intune-accountbeveiligingsprofiel , dat deel uitmaakt van het beveiligingsbeleid voor eindpuntbeveiligingsaccounts.

  • Beveiligingsbasislijnen: Sommige instellingen voor Windows Hello kunnen worden beheerd door beveiligingsbasislijnen, zoals de basislijnen voor Microsoft Defender voor Eindpunt-beveiliging of Beveiligingsbasislijn voor Windows 10 en hoger.

  • Instellingencatalogus: de instellingen van eindpuntbeveiliging Accountbeveiligingsprofielen zijn beschikbaar in de catalogus met Intune-instellingen.

Belangrijk

Vóór de Jubileumupdate (Windows versie 1607) kunt u twee verschillende pinnen instellen die kunnen worden gebruikt om te verifiëren bij resources:

  • De pincode van het apparaat kan worden gebruikt om het apparaat te ontgrendelen en verbinding te maken met cloudresources.
  • De zakelijke pincode is gebruikt voor toegang tot Microsoft Entra-resources op het persoonlijke apparaat van een gebruiker (BYOD).

In de Jubileumupdate zijn deze twee pinnen samengevoegd tot één apparaatpincode. Alle Intune-configuratiebeleidsregels die u instelt om de pincode van het apparaat te beheren, en daarnaast alle Windows Hello voor Bedrijven-beleidsregels die u hebt geconfigureerd, stellen nu beide deze nieuwe pincodewaarde in. Als u beide beleidstypen hebt ingesteld om de pincode te beheren, wordt het beleid voor Windows Hello voor Bedrijven toegepast. Om ervoor te zorgen dat beleidsconflicten worden opgelost en dat het pincodebeleid correct wordt toegepast, werkt u uw Beleid voor Windows Hello voor Bedrijven bij zodat deze overeenkomt met de instellingen in uw configuratiebeleid en vraagt u uw gebruikers hun apparaten te synchroniseren in de bedrijfsportal-app.

Toegangsbeheer op basis van rollen

U moet een Intune-servicebeheerder zijn om een Windows Hello voor Bedrijven-beleid te maken of te bewerken in Windows-inschrijving. Alle andere Intune-rollen hebben alleen-lezentoegang. Zie RBAC met Microsoft Intune voor meer informatie over op rollen gebaseerd toegangsbeheer (RBAC).

Een Windows Hello voor Bedrijven-beleid maken voor apparaatinschrijving

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Ga naarApparaatinschrijving>.

  3. Selecteer op het tabblad Windows onder Inschrijvingsoptiesde optie Windows Hello voor Bedrijven. Wacht totdat het deelvenster Windows Hello voor Bedrijven wordt geopend.

  4. Selecteer een van de volgende opties voor Windows Hello voor Bedrijven configureren:

    • Ingeschakeld. Selecteer deze instelling als u de instellingen van Windows Hello voor Bedrijven wilt configureren. Wanneer u Ingeschakeld selecteert, zijn andere instellingen voor Windows Hello zichtbaar en kunnen ze worden geconfigureerd voor apparaten.

    • Uitgeschakeld. Als u Windows Hello voor Bedrijven niet wilt inschakelen tijdens de apparaatinschrijving, selecteert u deze optie. Wanneer dit is uitgeschakeld, kunnen gebruikers Windows Hello voor Bedrijven niet inrichten. Als deze optie is ingesteld op Uitgeschakeld, kunt u nog steeds de volgende instellingen voor Windows Hello voor Bedrijven configureren, ook al wordt Windows Hello voor Bedrijven niet ingeschakeld met dit beleid.

    • Niet geconfigureerd. Selecteer deze instelling als u Intune niet wilt gebruiken om de instellingen van Windows Hello voor Bedrijven te beheren. Bestaande instellingen voor Windows Hello voor Bedrijven op Windows 10/11-apparaten worden niet gewijzigd. Alle andere instellingen in het deelvenster zijn niet beschikbaar.

  5. Als u Ingeschakeld hebt geselecteerd in de vorige stap, configureert u de vereiste instellingen die worden toegepast op alle ingeschreven Windows 10/11-apparaten. Nadat u deze instellingen hebt geconfigureerd, selecteert u Opslaan.

    • Een Trusted Platform Module (TPM) gebruiken:

      Een TPM-chip biedt een andere laag van gegevensbeveiliging. Kies een van de volgende waarden:

      • Vereist (standaard). Alleen apparaten met een toegankelijke TPM kunnen Windows Hello voor Bedrijven inrichten.
      • Voorkeur. Apparaten proberen eerst een TPM te gebruiken. Als deze optie niet beschikbaar is, kunnen ze softwareversleuteling gebruiken.
    • Minimale lengte van pincode en maximale lengte van pincode:

      Hiermee configureert u apparaten voor het gebruik van de minimale en maximale lengte van de pincode die u opgeeft om ervoor te zorgen dat u zich veilig kunt aanmelden. De standaardlengte van de pincode is zes tekens, maar u kunt een minimale lengte van vier tekens afdwingen. De maximale lengte van de pincode is 127 tekens.

    • Kleine letters in pincode, hoofdletters in pincode en Speciale tekens in pincode.

      U kunt een sterkere pincode afdwingen door het gebruik van hoofdletters, kleine letters en speciale tekens in de pincode te vereisen. Selecteer voor elk van de volgende opties:

      • Toegestaan: gebruikers kunnen het tekentype gebruiken in hun pincode, maar dit is niet verplicht.

      • Vereist: gebruikers moeten ten minste een van de tekentypen in hun pincode opnemen. Het is bijvoorbeeld gebruikelijk om ten minste één hoofdletter en één speciaal teken te vereisen.

      • Niet toegestaan (standaard): gebruikers mogen deze tekentypen niet gebruiken in hun pincode. (Dit is ook het gedrag als de instelling niet is geconfigureerd.)

        Speciale tekens zijn onder andere: ! " # $ % & ' ( ) * + , - . / : ; < = ? > @ [ \ ] ^ _ { | } ~

    • Verloop van pincode (dagen):

      Het is een goede gewoonte om een verloopperiode voor een pincode op te geven, waarna gebruikers deze moeten wijzigen. De standaardwaarde is 41 dagen.

    • Pincodegeschiedenis onthouden:

      Hiermee wordt het hergebruik van eerder gebruikte pincodes beperkt. Standaard kunnen de laatste 5 pincodes niet opnieuw worden gebruikt.

    • Biometrische verificatie toestaan:

      Hiermee schakelt u biometrische verificatie, zoals gezichtsherkenning of vingerafdruk, in als alternatief voor een pincode voor Windows Hello voor Bedrijven. Gebruikers moeten nog steeds een zakelijke pincode configureren voor het geval biometrische verificatie mislukt. Kies uit:

      • Ja. Windows Hello voor Bedrijven staat biometrische verificatie toe.
      • Nee. Windows Hello voor Bedrijven voorkomt biometrische verificatie (voor alle accounttypen).
    • Gebruik verbeterde anti-adresvervalsing, indien beschikbaar:

      Hiermee configureert u of de anti-adresvervalsingsfuncties van Windows Hello worden gebruikt op apparaten die dit ondersteunen. Bijvoorbeeld het detecteren van een foto van een gezicht in plaats van een echt gezicht.

      Wanneer deze optie is ingesteld op Ja, moeten alle gebruikers anti-adresvervalsing gebruiken voor gezichtskenmerken wanneer dat wordt ondersteund.

    • Telefonische aanmelding toestaan:

      Als deze optie is ingesteld op Ja, kunnen gebruikers een extern paspoort gebruiken om te fungeren als een draagbaar begeleidend apparaat voor verificatie van desktopcomputers. De desktopcomputer moet zijn gekoppeld aan Microsoft Entra en het begeleidende apparaat moet zijn geconfigureerd met een pincode voor Windows Hello voor Bedrijven.

    • Verbeterde aanmeldingsbeveiliging inschakelen:

      Verbeterde aanmeldingsbeveiliging voor Windows Hello configureren op apparaten met compatibele hardware. Uw opties:

      • Verbeterde aanmeldingsbeveiliging wordt ingeschakeld op systemen met compatibele hardware (standaard): apparaatgebruikers kunnen geen externe randapparatuur gebruiken om zich aan te melden bij hun apparaat met Windows Hello.
      • Verbeterde aanmeldingsbeveiliging wordt uitgeschakeld op alle systemen: apparaatgebruikers kunnen externe randapparatuur gebruiken die compatibel is met Windows Hello om zich aan te melden bij hun apparaat.
    • Gebruik beveiligingssleutels voor aanmelding:

      Als deze instelling is ingesteld op Ingeschakeld, biedt deze instelling de mogelijkheid om Windows Hello-beveiligingssleutels op afstand in of uit te schakelen voor alle computers in de organisatie van een klant.

Ondersteuning voor Windows Holographic for Business

Windows Holographic for Business ondersteunt de volgende instellingen voor Windows Hello voor Bedrijven:

  • Een Trusted Platform Module (TPM) gebruiken
  • Minimale lengte van pincode
  • Maximale lengte van pincode
  • Kleine letters in pincode
  • Hoofdletters in pincode
  • Speciale tekens in pincode
  • Verloop van pincode (dagen)
  • Pincodegeschiedenis onthouden

Volgende stappen

Meer informatie over Windows Hello vindt u in de volgende onderwerpen in de Windows-documentatie: