Ustawienia profilu ochrony tożsamości w usłudze Intune dla Windows Hello dla firm

  • Artykuł

Uwaga

Usługa Intune może obsługiwać więcej ustawień niż ustawienia wymienione w tym artykule. Nie wszystkie ustawienia są udokumentowane i nie zostaną udokumentowane. Aby wyświetlić ustawienia, które można skonfigurować, utwórz zasady konfiguracji urządzenia i wybierz pozycję Katalog ustawień. Aby uzyskać więcej informacji, przejdź do katalogu ustawień.

W tym artykule opisano ustawienia Windows Hello dla firm, które można skonfigurować w profilu ochrony tożsamości. Profile ochrony tożsamości są częścią zasad konfiguracji urządzeń w Microsoft Intune. Za pomocą profilu ochrony tożsamości można skonfigurować ustawienia dla odrębnych grup urządzeń Windows 10/11. Aby skonfigurować Windows Hello dla firm całej dzierżawy w ramach rejestracji urządzeń, zobacz sekcję Tworzenie zasad Windows Hello dla firm w temacie Integrowanie Windows Hello dla firm z Microsoft Intune. W tej sekcji opisano nie tylko sposób tworzenia zasad konfiguracji dla całej dzierżawy, ale także opisano ustawienia zasad rejestracji.

Dodatkowe informacje o tych ustawieniach można znaleźć w temacie Konfigurowanie ustawień zasad Windows Hello dla firm w dokumentacji Windows Hello.

Aby dowiedzieć się więcej na temat profilów ochrony tożsamości w usłudze Intune, zobacz Konfigurowanie ochrony tożsamości.

Przed rozpoczęciem

Utwórz profil konfiguracji.

Windows Hello dla firm

  • Skonfiguruj Windows Hello dla firm:

    • Nie skonfigurowano (ustawienie domyślne) — wybierz to ustawienie, jeśli nie chcesz używać usługi Intune do kontrolowania ustawień Windows Hello dla firm. Żadne istniejące ustawienia Windows Hello dla firm na urządzeniach Windows 10/11 nie są zmieniane. Wszystkie inne ustawienia w okienku są niedostępne.

    • Wyłącz — jeśli nie chcesz używać Windows Hello dla firm, wybierz to ustawienie. Wszystkie inne ustawienia na ekranie są wtedy niedostępne.

    • Włącz — wybierz to ustawienie, jeśli chcesz skonfigurować ustawienia Windows Hello dla firm.

    Po ustawieniu opcji Włącz dostępne są następujące ustawienia:

    • Minimalna długość numeru PIN
      Określ minimalną długość numeru PIN dla urządzeń z zakresu od 4 do 127 znaków. Domyślnie to ustawienie nie jest skonfigurowane.

    • Maksymalna długość numeru PIN
      Określ maksymalną długość numeru PIN dla urządzeń z zakresu od czterech do 127 znaków. Domyślnie to ustawienie nie jest skonfigurowane.

    • Małe litery w numerze PIN
      W razie potrzeby numer PIN użytkownika musi zawierać co najmniej jedną małą literę. Domyślnie to ustawienie nie jest skonfigurowane.

      • Niedozwolone — uniemożliwia użytkownikom używanie małych liter w numerze PIN. To zachowanie występuje również wtedy, gdy ustawienie nie jest skonfigurowane.
      • Dozwolone — zezwalaj użytkownikom na używanie małych liter w numerze PIN, ale nie jest to wymagane.
      • Wymagane — użytkownicy muszą zawierać co najmniej jedną małą literę w numerze PIN. Na przykład powszechną praktyką jest wymaganie co najmniej jednej wielkiej litery i jednego znaku specjalnego.

    • Wielkie litery w numerze PIN
      W razie potrzeby numer PIN użytkownika musi zawierać co najmniej jedną wielką literę. Domyślnie to ustawienie nie jest skonfigurowane.

      • Niedozwolone — blokuj użytkownikom możliwość używania wielkich liter w numerze PIN. To zachowanie występuje również wtedy, gdy ustawienie nie jest skonfigurowane.
      • Dozwolone — zezwalaj użytkownikom na używanie wielkich liter w numerze PIN, ale nie jest to wymagane.
      • Wymagane — użytkownicy muszą zawierać co najmniej jedną wielką literę w numerze PIN. Na przykład powszechną praktyką jest wymaganie co najmniej jednej wielkiej litery i jednego znaku specjalnego.

    • Znaki specjalne w numerze PIN
      W razie potrzeby numer PIN użytkownika musi zawierać co najmniej jeden znak specjalny. Znaki specjalne obejmują: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Niedozwolone (ustawienie domyślne) — uniemożliwia użytkownikom używanie znaków specjalnych w numerze PIN. To zachowanie występuje również wtedy, gdy ustawienie nie jest skonfigurowane.
      • Dozwolone — zezwalaj użytkownikom na używanie wielkich liter w numerze PIN, ale nie jest to wymagane.
      • Wymagane — użytkownicy muszą zawierać co najmniej jedną wielką literę w numerze PIN. Na przykład powszechną praktyką jest wymaganie co najmniej jednej wielkiej litery i jednego znaku specjalnego.

    • Wygaśnięcie numeru PIN (dni)
      Jeśli konfiguracja zostanie skonfigurowana, użytkownik będzie zmuszony do zmiany numeru PIN po określonej liczbie dni. Użytkownik może nadal proaktywnie zmieniać swój numer PIN przed wygaśnięciem. Domyślnie to ustawienie nie jest skonfigurowane.

    • Zapamiętywanie historii numeru PIN
      W przypadku skonfigurowania użytkownik nie będzie mógł ponownie użyć tej liczby poprzednich numerów PIN. Domyślnie to ustawienie nie jest skonfigurowane.

    • Włączanie odzyskiwania numeru PIN
      Umożliwia użytkownikowi korzystanie z usługi odzyskiwania numeru PIN Windows Hello dla firm.

      • Włącz — wpis tajny odzyskiwania numeru PIN jest przechowywany na urządzeniu, a użytkownik może w razie potrzeby zmienić swój numer PIN.
      • Nie skonfigurowano (wartość domyślna) — wpis tajny odzyskiwania nie jest tworzony ani przechowywany.

    • Korzystanie z modułu TPM (Trusted Platform Module)
      Mikroukład modułu TPM zapewnia dodatkową warstwę zabezpieczeń danych.

      • Włącz — tylko urządzenia z dostępnym modułem TPM mogą aprowizować Windows Hello dla firm.
      • Nie skonfigurowano (ustawienie domyślne) — urządzenia najpierw próbują użyć modułu TPM. Jeśli moduł TPM nie jest dostępny, może użyć szyfrowania oprogramowania.

    • Zezwalaj na uwierzytelnianie biometryczne
      Jeśli jest to dozwolone, Windows Hello dla firm może uwierzytelniać się przy użyciu gestów, takich jak twarz i odcisk palca. Użytkownicy muszą nadal konfigurować numer PIN w przypadku awarii.

      • Włącz — Windows Hello dla firm umożliwia uwierzytelnianie biometryczne.
      • Nie skonfigurowano (ustawienie domyślne) — Windows Hello dla firm uniemożliwia uwierzytelnianie biometryczne (dla wszystkich typów kont).

    • Używanie rozszerzonej ochrony przed fałszowaniem, jeśli jest dostępna
      Jeśli ta opcja jest włączona, urządzenia używają rozszerzonej ochrony przed fałszowaniem, jeśli jest dostępna (na przykład wykrywanie zdjęcia twarzy zamiast prawdziwej twarzy).

      • Włącz — system Windows wymaga, aby wszyscy użytkownicy korzystali z funkcji ochrony przed fałszowaniem twarzy, gdy jest to obsługiwane.
      • Nie skonfigurowano (ustawienie domyślne) — system Windows obsługuje konfiguracje chroniące przed fałszowaniem na urządzeniu.

    • Certyfikat dla zasobów lokalnych

      • Włącz — umożliwia Windows Hello dla firm używanie certyfikatów do uwierzytelniania w zasobach lokalnych.
      • Nie skonfigurowano (ustawienie domyślne) — uniemożliwia Windows Hello dla firm używanie certyfikatów do uwierzytelniania w zasobach lokalnych. Zamiast tego urządzenia używają domyślnego zachowania uwierzytelniania lokalnego zaufania kluczy. Aby uzyskać więcej informacji, zobacz Certyfikat użytkownika na potrzeby uwierzytelniania lokalnego w dokumentacji Windows Hello.

  • Używanie kluczy zabezpieczeń do logowania
    To ustawienie jest dostępne dla urządzeń z systemem Windows 10 wersji 1903 lub nowszej lub Windows 11. Służy do zarządzania obsługą korzystania z Windows Hello kluczy zabezpieczeń na potrzeby logowania.

    • Włącz — użytkownicy mogą używać klucza zabezpieczeń Windows Hello jako poświadczenia logowania dla komputerów objętych tymi zasadami.
    • Nie skonfigurowano — klucze zabezpieczeń są wyłączone, a użytkownicy nie mogą ich używać do logowania się na komputerach.

Następne kroki

Przypisz profil i monitoruj jego stan.