Konfigurowanie usługi Windows Hello dla firm na urządzeniach podczas rejestrowania w usłudze Intune

Za pomocą usługi Microsoft Intune można utworzyć zasady dla całej dzierżawy, które konfigurują korzystanie z funkcji Windows Hello dla firm na urządzeniach z systemem Windows 10 lub Windows 11 w czasie rejestrowania tych urządzeń w usłudze Intune. Te zasady są przeznaczone dla całej organizacji i obsługują wbudowane środowisko rozwiązania Windows Autopilot (OOBE).

W przypadku urządzeń z systemem Windows 10/11 użycie funkcji Windows Hello dla firm zastępuje używanie haseł silnym uwierzytelnianiem dwuskładnikowym na urządzeniach. To uwierzytelnianie składa się z poświadczeń użytkownika powiązanych z urządzeniem i używających danych biometrycznych lub numeru PIN.

Po zarejestrowaniu urządzenia lub jeśli nie chcesz korzystać z zasad rejestracji dla całej dzierżawy, usługa Intune obsługuje następujące metody zarządzania funkcją Windows Hello w oddzielnych grupach urządzeń:

• Zasady ochrony konta zabezpieczeń punktu końcowego: aby zarządzać usługą Windows Hello na urządzeniach po zarejestrowaniu się w usłudze Intune, użyj profilu ochrony konta usługi Intune, który jest częścią zasad ochrony konta zabezpieczeń punktu końcowego.

• Punkty odniesienia zabezpieczeń: niektóre ustawienia funkcji Windows Hello mogą być zarządzane przez punkty odniesienia zabezpieczeń, takie jak punkty odniesienia dla zabezpieczeń punktu końcowego w usłudze Microsoft Defender lub Punkt odniesienia zabezpieczeń dla systemu Windows 10 lub nowszych.

• Katalog ustawień: ustawienia z profilów ochrony konta zabezpieczeń punktu końcowego są dostępne w katalogu ustawień usługi Intune.

Ważna

Przed rocznicową aktualizacją (Windows w wersji 1607) można było ustawić dwa różne numery PIN, których można użyć do uwierzytelniania w zasobach:

• Numer PIN urządzenia może służyć do odblokowywania urządzenia i nawiązywania połączenia z zasobami w chmurze.
• Służbowy numer PIN był używany do uzyskiwania dostępu do zasobów usługi Microsoft Entra na urządzeniu osobistym użytkownika (BYOD).

W rocznicowej aktualizacji te dwa numery PIN zostały scalone w jeden numer PIN urządzenia. Wszystkie zasady konfiguracji usługi Intune ustawione w celu kontrolowania numeru PIN urządzenia, a ponadto wszystkie skonfigurowane zasady usługi Windows Hello dla firm ustawiają teraz tę nową wartość numeru PIN. Jeśli ustawiono oba typy zasad w celu kontrolowania numeru PIN, zostaną zastosowane zasady usługi Windows Hello dla firm. Aby upewnić się, że konflikty zasad są rozwiązywane i że zasady numeru PIN są stosowane prawidłowo, zaktualizuj zasady usługi Windows Hello dla firm, aby były zgodne z ustawieniami w zasadach konfiguracji, i poproś użytkowników o zsynchronizowanie urządzeń w aplikacji Portal firmy.

Kontrola dostępu oparta na rolach

Aby utworzyć lub edytować zasady usługi Windows Hello dla firm w rejestracji systemu Windows, musisz być administratorem usługi Intune. Wszystkie inne role usługi Intune mają dostęp tylko do odczytu. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach (RBAC), zobacz RBAC with Microsoft Intune (Kontrola dostępu oparta na rolach w usłudze Microsoft Intune).

Tworzenie zasad usługi Windows Hello dla firm na potrzeby rejestracji urządzeń

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Przejdź dopozycji Rejestracjaurządzeń>.

3. Na karcie Windows w obszarze Opcje rejestracji wybierz pozycję Windows Hello dla firm. Poczekaj na otwarcie okienka Windows Hello dla firm.

4. Wybierz jedną z następujących opcji konfigurowania usługi Windows Hello dla firm:

   • Włączone. Wybierz to ustawienie, jeśli chcesz skonfigurować ustawienia usługi Windows Hello dla firm. Po wybraniu pozycji Włączone inne ustawienia funkcji Windows Hello są widoczne i można je skonfigurować dla urządzeń.

   • Wyłączone. Jeśli nie chcesz włączać usługi Windows Hello dla firm podczas rejestracji urządzeń, wybierz tę opcję. Po wyłączeniu użytkownicy nie mogą aprowizować usługi Windows Hello dla firm. Po ustawieniu opcji Wyłączone nadal można skonfigurować kolejne ustawienia usługi Windows Hello dla firm, mimo że te zasady nie będą włączać funkcji Windows Hello dla firm.

   • Nie skonfigurowano. Wybierz to ustawienie, jeśli nie chcesz używać usługi Intune do kontrolowania ustawień usługi Windows Hello dla firm. Żadne istniejące ustawienia usługi Windows Hello dla firm na urządzeniach z systemem Windows 10/11 nie ulegają zmianie. Wszystkie inne ustawienia w okienku są niedostępne.

5. Jeśli w poprzednim kroku wybrano opcję Włączone, skonfiguruj wymagane ustawienia, które są stosowane do wszystkich zarejestrowanych urządzeń z systemem Windows 10/11. Po skonfigurowaniu tych ustawień wybierz pozycję Zapisz.

   • Użyj modułu TPM (Trusted Platform Module):

     Mikroukład modułu TPM zapewnia kolejną warstwę zabezpieczeń danych. Wybierz jedną z następujących wartości:

     • Wymagane (wartość domyślna). Tylko urządzenia z dostępnym modułem TPM mogą aprowizować usługę Windows Hello dla firm.
     • Preferowane. Urządzenia najpierw próbują użyć modułu TPM. Jeśli ta opcja nie jest dostępna, mogą użyć szyfrowania oprogramowania.

   • Minimalna długość numeru PIN i maksymalna długość numeru PIN:

     Konfiguruje urządzenia tak, aby używały określonych minimalnych i maksymalnych długości numeru PIN w celu zapewnienia bezpiecznego logowania. Domyślna długość numeru PIN to sześć znaków, ale można wymusić minimalną długość czterech znaków. Maksymalna długość numeru PIN wynosi 127 znaków.

   • Małe litery w numerze PIN, wielkie litery w numerze PIN i znaki specjalne w numerze PIN.

     Możesz wymusić silniejszy numer PIN, wymagając użycia wielkich liter, małych liter i znaków specjalnych w numerze PIN. Dla każdego wybierz pozycję z:

     • Dozwolone: użytkownicy mogą używać typu znaku w numerze PIN, ale nie jest to obowiązkowe.

     • Wymagane: użytkownicy muszą zawierać co najmniej jeden z typów znaków w numerze PIN. Na przykład powszechną praktyką jest wymaganie co najmniej jednej wielkiej litery i jednego znaku specjalnego.

     • Niedozwolone (ustawienie domyślne): użytkownicy nie mogą używać tych typów znaków w numerze PIN. (Jest to również zachowanie, jeśli ustawienie nie jest skonfigurowane).

       Znaki specjalne to: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

   • Wygaśnięcie numeru PIN (dni)::

     Dobrym rozwiązaniem jest określenie okresu wygaśnięcia numeru PIN, po którym użytkownicy muszą go zmienić. Wartość domyślna to 41 dni.

   • Pamiętaj historię numeru PIN:

     Ogranicza ponowne użycie wcześniej używanych numerów PIN. Domyślnie nie można użyć ostatnich 5 numerów PIN.

   • Zezwalaj na uwierzytelnianie biometryczne:

     Umożliwia uwierzytelnianie biometryczne, takie jak rozpoznawanie twarzy lub odcisk palca, jako alternatywę dla numeru PIN dla usługi Windows Hello dla firm. Użytkownicy muszą nadal konfigurować służbowy numer PIN w przypadku niepowodzenia uwierzytelniania biometrycznego. Wybierz jedną z następujących opcji:

     • Tak. Funkcja Windows Hello dla firm umożliwia uwierzytelnianie biometryczne.
     • Nie. Funkcja Windows Hello dla firm uniemożliwia uwierzytelnianie biometryczne (dla wszystkich typów kont).

   • Użyj rozszerzonej ochrony przed fałszowaniem, jeśli jest dostępna:

     Określa, czy funkcje ochrony przed fałszowaniem funkcji Windows Hello są używane na obsługiwanych urządzeniach. Na przykład wykrywanie zdjęcia twarzy zamiast prawdziwej twarzy.

     Po ustawieniu opcji Tak system Windows wymaga, aby wszyscy użytkownicy korzystali z funkcji ochrony przed fałszowaniem twarzy, gdy jest to obsługiwane.

   • Zezwalaj na logowanie telefoniczne:

     Jeśli ta opcja jest ustawiona na Wartość Tak, użytkownicy mogą używać paszportu zdalnego, aby służyć jako przenośne urządzenie towarzyszące do uwierzytelniania komputera stacjonarnego. Komputer stacjonarny musi być przyłączony do usługi Microsoft Entra, a urządzenie towarzyszące musi być skonfigurowane przy użyciu numeru PIN usługi Windows Hello dla firm.

   • Włącz rozszerzone zabezpieczenia logowania:

     Skonfiguruj rozszerzone zabezpieczenia logowania funkcji Windows Hello na urządzeniach z obsługą sprzętu. Dostępne opcje:

     • Rozszerzone zabezpieczenia logowania zostaną włączone w systemach z obsługą sprzętu (domyślnie): użytkownicy urządzeń nie mogą używać zewnętrznych urządzeń peryferyjnych do logowania się do urządzenia za pomocą funkcji Windows Hello.
     • Rozszerzone zabezpieczenia logowania zostaną wyłączone we wszystkich systemach: użytkownicy urządzeń mogą używać zewnętrznych urządzeń peryferyjnych zgodnych z funkcją Windows Hello, aby zalogować się do swojego urządzenia.

   • Użyj kluczy zabezpieczeń na potrzeby logowania:

     Po ustawieniu opcji Włączone to ustawienie zapewnia pojemność zdalnego włączania/wyłączania kluczy zabezpieczeń funkcji Windows Hello dla wszystkich komputerów w organizacji klienta.

Obsługa systemu Windows Holographic for Business

System Windows Holographic for Business obsługuje następujące ustawienia usługi Windows Hello dla firm:

• Korzystanie z modułu TPM (Trusted Platform Module)
• Minimalna długość numeru PIN
• Maksymalna długość numeru PIN
• Małe litery w numerze PIN
• Wielkie litery w numerze PIN
• Znaki specjalne w numerze PIN
• Wygaśnięcie numeru PIN (dni)
• Zapamiętywanie historii numeru PIN

Następne kroki

Dowiedz się więcej o funkcji Windows Hello z następujących tematów w dokumentacji systemu Windows:

• Planowanie wdrożenia usługi Windows Hello dla firm
• Omówienie wymagań wstępnych dotyczących wdrażania usługi Windows Hello dla firm