Windows Hello voor Bedrijven configureren op apparaten wanneer ze zich inschrijven bij Intune

Met Microsoft Intune kunt u een tenantbreed beleid maken waarmee het gebruik van Windows Hello voor Bedrijven op Windows 10 of Windows 11 apparaten wordt geconfigureerd op het moment dat deze apparaten worden ingeschreven bij Intune. Dit beleid is gericht op uw hele organisatie en ondersteunt de Out-of-Box Experience (OOBE) van Windows Autopilot.

Voor Windows 10/11-apparaten vervangt het gebruik van Windows Hello voor Bedrijven het gebruik van wachtwoorden door sterke tweeledige verificatie op apparaten. Deze verificatie bestaat uit een gebruikersreferentie die is gekoppeld aan een apparaat en gebruikmaakt van een biometrische of pincode.

Na de apparaatinschrijving of wanneer u ervoor kiest om het tenantbrede inschrijvingsbeleid niet te gebruiken, ondersteunt Intune de volgende methoden voor het beheren van Windows Hello op afzonderlijke groepen apparaten:

  • Identiteitsbeveiliging: apparaatconfiguratiebeleid bevat het profiel Identiteitsbeveiliging, dat u kunt gebruiken om groepen apparaten te configureren voor Windows Hello.

  • Beveiligingsbasislijnen: sommige instellingen voor Windows Hello kunnen worden beheerd door beveiligingsbasislijnen, zoals de basislijnen voor Microsoft Defender voor Eindpunt beveiliging of Beveiligingsbasislijn voor Windows 10 en hoger.

  • Beveiligingsbeleid voor eindpuntbeveiligingsaccounts: accountbeveiligingsbeleid bevat enkele van de instellingen die door Windows Hello worden gebruikt.

Belangrijk

Vóór de Jubileumupdate (Windows versie 1607) kunt u twee verschillende pinnen instellen die kunnen worden gebruikt om te verifiëren bij resources:

  • De pincode van het apparaat kan worden gebruikt om het apparaat te ontgrendelen en verbinding te maken met cloudresources.
  • De zakelijke pincode is gebruikt voor toegang tot Microsoft Entra resources op persoonlijke apparaten van de gebruiker (BYOD).

In de Jubileumupdate zijn deze twee pinnen samengevoegd tot één apparaatpincode. Alle Intune-configuratiebeleidsregels die u instelt om de pincode van het apparaat te beheren, en bovendien alle Windows Hello voor Bedrijven beleidsregels die u hebt geconfigureerd, stellen nu beide deze nieuwe pincodewaarde in. Als u beide beleidstypen hebt ingesteld om de pincode te beheren, wordt het Windows Hello voor Bedrijven-beleid toegepast. Om ervoor te zorgen dat beleidsconflicten worden opgelost en dat het pincodebeleid correct wordt toegepast, werkt u uw Windows Hello voor Bedrijven-beleid bij zodat deze overeenkomt met de instellingen in uw configuratiebeleid en vraagt u uw gebruikers hun apparaten te synchroniseren in de Bedrijfsportal-app.

Toegangsbeheer op basis van rollen

U moet een Intune-servicebeheerder zijn om een Windows Hello voor Bedrijven-beleid te maken of te bewerken in Windows-inschrijving. Alle andere Intune-rollen hebben alleen-lezentoegang. Zie RBAC met Microsoft Intune voor meer informatie over op rollen gebaseerd toegangsbeheer (RBAC).

Een Windows Hello voor Bedrijven-beleid maken

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Apparaten>Apparaten Windows-inschrijving>inschrijven>Windows Hello voor Bedrijven. Het deelvenster Windows Hello voor Bedrijven wordt geopend.

  3. Selecteer een van de volgende opties voor Windows Hello voor Bedrijven configureren:

    • Ingeschakeld. Selecteer deze instelling als u Windows Hello voor Bedrijven instellingen wilt configureren. Wanneer u Ingeschakeld selecteert, zijn andere instellingen voor Windows Hello zichtbaar en kunnen deze worden geconfigureerd voor apparaten.

    • Uitgeschakeld. Als u Windows Hello voor Bedrijven niet wilt inschakelen tijdens de apparaatinschrijving, selecteert u deze optie. Wanneer deze optie is uitgeschakeld, kunnen gebruikers geen Windows Hello voor Bedrijven inrichten. Als deze optie is ingesteld op Uitgeschakeld, kunt u nog steeds de volgende instellingen voor Windows Hello voor Bedrijven configureren, ook al schakelt dit beleid Windows Hello voor Bedrijven niet in.

    • Niet geconfigureerd. Selecteer deze instelling als u Intune niet wilt gebruiken om Windows Hello voor Bedrijven instellingen te beheren. Bestaande Windows Hello voor Bedrijven-instellingen op 10/11-apparaten worden niet gewijzigd. Alle andere instellingen in het deelvenster zijn niet beschikbaar.

  4. Als u Ingeschakeld hebt geselecteerd in de vorige stap, configureert u de vereiste instellingen die worden toegepast op alle ingeschreven Windows 10/11 apparaten. Nadat u deze instellingen hebt geconfigureerd, selecteert u Opslaan.

    • Een Trusted Platform Module (TPM) gebruiken:

      Een TPM-chip biedt een andere laag van gegevensbeveiliging. Kies een van de volgende waarden:

      • Vereist (standaard). Alleen apparaten met een toegankelijke TPM kunnen Windows Hello voor Bedrijven inrichten.
      • Voorkeur. Apparaten proberen eerst een TPM te gebruiken. Als deze optie niet beschikbaar is, kunnen ze softwareversleuteling gebruiken.
    • Minimale lengte van pincode en maximale lengte van pincode:

      Hiermee configureert u apparaten voor het gebruik van de minimale en maximale lengte van de pincode die u opgeeft om ervoor te zorgen dat u zich veilig kunt aanmelden. De standaardlengte van de pincode is zes tekens, maar u kunt een minimale lengte van vier tekens afdwingen. De maximale lengte van de pincode is 127 tekens.

    • Kleine letters in pincode, hoofdletters in pincode en Speciale tekens in pincode.

      U kunt een sterkere pincode afdwingen door het gebruik van hoofdletters, kleine letters en speciale tekens in de pincode te vereisen. Selecteer voor elk van de volgende opties:

      • Toegestaan. Gebruikers kunnen het tekentype in hun pincode gebruiken, maar dit is niet verplicht.

      • Vereist. Gebruikers moeten ten minste een van de tekentypen in hun pincode opnemen. Het is bijvoorbeeld gebruikelijk om ten minste één hoofdletter en één speciaal teken te vereisen.

      • Niet toegestaan (standaard). Gebruikers mogen deze tekentypen niet gebruiken in hun pincode. (Dit is ook het gedrag als de instelling niet is geconfigureerd.)

        Speciale tekens zijn onder andere: ! " # $ % & ' ( ) * + , - . / : ; < = ? > @ [ \ ] ^ _ { | } ~

    • Verloop van pincode (dagen):

      Het is een goede gewoonte om een verloopperiode voor een pincode op te geven, waarna gebruikers deze moeten wijzigen. De standaardwaarde is 41 dagen.

    • Pincodegeschiedenis onthouden:

      Hiermee wordt het hergebruik van eerder gebruikte pincodes beperkt. Standaard kunnen de laatste 5 pincodes niet opnieuw worden gebruikt.

    • Biometrische verificatie toestaan:

      Hiermee schakelt u biometrische verificatie, zoals gezichtsherkenning of vingerafdruk, in als alternatief voor een pincode voor Windows Hello voor Bedrijven. Gebruikers moeten nog steeds een zakelijke pincode configureren voor het geval biometrische verificatie mislukt. Kies uit:

      • Ja. Windows Hello voor Bedrijven staat biometrische verificatie toe.
      • Nee. Windows Hello voor Bedrijven voorkomt biometrische verificatie (voor alle accounttypen).
    • Gebruik verbeterde anti-adresvervalsing, indien beschikbaar:

      Hiermee configureert u of de anti-adresvervalsingsfuncties van Windows Hello worden gebruikt op apparaten die dit ondersteunen. Bijvoorbeeld het detecteren van een foto van een gezicht in plaats van een echt gezicht.

      Wanneer deze optie is ingesteld op Ja, moeten alle gebruikers anti-adresvervalsing gebruiken voor gezichtskenmerken wanneer dat wordt ondersteund.

    • Telefonische aanmelding toestaan:

      Als deze optie is ingesteld op Ja, kunnen gebruikers een extern paspoort gebruiken om te fungeren als een draagbaar begeleidend apparaat voor verificatie van desktopcomputers. De desktopcomputer moet worden Microsoft Entra gekoppeld en het begeleidende apparaat moet worden geconfigureerd met een Windows Hello voor Bedrijven-pincode.

    • Verbeterde aanmeldingsbeveiliging inschakelen:

      Configureer Windows Hello Verbeterde aanmeldingsbeveiliging op apparaten met compatibele hardware. Uw opties:

      • Standaard. Verbeterde aanmeldingsbeveiliging wordt ingeschakeld op systemen met compatibele hardware. Apparaatgebruikers kunnen geen externe randapparatuur gebruiken om zich aan te melden bij hun apparaat met Windows Hello.
      • Verbeterde aanmeldingsbeveiliging wordt uitgeschakeld op alle systemen. Apparaatgebruikers kunnen externe randapparatuur gebruiken die compatibel zijn met Windows Hello om zich aan te melden bij hun apparaat.
    • Gebruik beveiligingssleutels voor aanmelding:

      Wanneer deze instelling is ingesteld op Inschakelen, biedt deze instelling de mogelijkheid om op afstand Windows Hello beveiligingssleutels in te schakelen voor alle computers in de organisatie van een klant.

Windows Holographic for Business ondersteuning

Windows Holographic for Business ondersteunt de volgende instellingen voor Windows Hello voor Bedrijven:

  • Een Trusted Platform Module (TPM) gebruiken
  • Minimale lengte van pincode
  • Maximale lengte van pincode
  • Kleine letters in pincode
  • Hoofdletters in pincode
  • Speciale tekens in pincode
  • Verloop van pincode (dagen)
  • Pincodegeschiedenis onthouden

Volgende stappen

Meer informatie over Windows Hello vindt u in de volgende onderwerpen in de Windows-documentatie: