Konfigurowanie Windows Hello dla firm na urządzeniach podczas rejestrowania w usłudze Intune

  • Artykuł

Za pomocą Microsoft Intune można utworzyć zasady dla całej dzierżawy, które konfigurują korzystanie z Windows Hello dla firm na urządzeniach Windows 10 lub Windows 11 w czasie rejestrowania tych urządzeń w usłudze Intune. Te zasady są przeznaczone dla całej organizacji i obsługują wbudowane środowisko rozwiązania Windows Autopilot (OOBE).

W przypadku urządzeń Windows 10/11 użycie Windows Hello dla firm zastępuje używanie haseł silnym uwierzytelnianiem dwuskładnikowym na urządzeniach. To uwierzytelnianie składa się z poświadczeń użytkownika powiązanych z urządzeniem i używających danych biometrycznych lub numeru PIN.

Po zarejestrowaniu urządzenia lub jeśli nie chcesz korzystać z zasad rejestracji dla całej dzierżawy, usługa Intune obsługuje następujące metody zarządzania Windows Hello w oddzielnych grupach urządzeń:

  • Ochrona tożsamości — zasady konfiguracji urządzeń obejmują profil ochrony tożsamości, którego można użyć do konfigurowania grup urządzeń dla Windows Hello.

  • Punkty odniesienia zabezpieczeń: niektóre ustawienia Windows Hello mogą być zarządzane przez punkty odniesienia zabezpieczeń, takie jak punkty odniesienia zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender lub punkt odniesienia zabezpieczeń dla Windows 10 i nowszych.

  • Zasady ochrony konta zabezpieczeń punktu końcowego: zasady ochrony konta obejmują niektóre ustawienia używane przez Windows Hello.

Ważna

Przed rocznicową aktualizacją (Windows w wersji 1607) można było ustawić dwa różne numery PIN, których można użyć do uwierzytelniania w zasobach:

  • Numer PIN urządzenia może służyć do odblokowywania urządzenia i nawiązywania połączenia z zasobami w chmurze.
  • Służbowy numer PIN został użyty do uzyskiwania dostępu do zasobów Microsoft Entra na urządzeniach osobistych użytkownika (BYOD).

W rocznicowej aktualizacji te dwa numery PIN zostały scalone w jeden numer PIN urządzenia. Wszystkie zasady konfiguracji usługi Intune ustawione w celu kontrolowania numeru PIN urządzenia, a ponadto wszystkie skonfigurowane zasady Windows Hello dla firm teraz ustawiają tę nową wartość numeru PIN. Jeśli ustawiono oba typy zasad do kontrolowania numeru PIN, zostaną zastosowane zasady Windows Hello dla firm. Aby upewnić się, że konflikty zasad są rozwiązywane i że zasady numeru PIN są stosowane prawidłowo, zaktualizuj zasady Windows Hello dla firm, aby były zgodne z ustawieniami w zasadach konfiguracji, i poproś użytkowników o zsynchronizowanie urządzeń w aplikacji Portal firmy.

Kontrola dostępu oparta na rolach

Aby utworzyć lub edytować zasady Windows Hello dla firm w rejestracji systemu Windows, musisz być administratorem usługi Intune. Wszystkie inne role usługi Intune mają dostęp tylko do odczytu. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach (RBAC), zobacz RBAC with Microsoft Intune (Kontrola dostępu oparta na rolach z Microsoft Intune).

Tworzenie zasad Windows Hello dla firm

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Przejdź do pozycji Urządzenia Rejestrowanie> urządzeńRejestracja>systemu> Windows Windows Hello dla firm. Zostanie otwarte okienko Windows Hello dla firm.

  3. Wybierz jedną z następujących opcji, aby skonfigurować Windows Hello dla firm:

    • Włączone. Wybierz to ustawienie, jeśli chcesz skonfigurować ustawienia Windows Hello dla firm. Po wybraniu pozycji Włączone inne ustawienia dla Windows Hello są widoczne i można je skonfigurować dla urządzeń.

    • Wyłączone. Jeśli nie chcesz włączać Windows Hello dla firm podczas rejestracji urządzenia, wybierz tę opcję. Po wyłączeniu użytkownicy nie mogą aprowizować Windows Hello dla firm. Po ustawieniu opcji Wyłączone nadal można skonfigurować kolejne ustawienia dla Windows Hello dla firm, mimo że te zasady nie będą włączać Windows Hello dla firm.

    • Nie skonfigurowano. Wybierz to ustawienie, jeśli nie chcesz używać usługi Intune do kontrolowania ustawień Windows Hello dla firm. Żadne istniejące ustawienia Windows Hello dla firm na urządzeniach 10/11 nie są zmieniane. Wszystkie inne ustawienia w okienku są niedostępne.

  4. Jeśli w poprzednim kroku wybrano opcję Włączone, skonfiguruj wymagane ustawienia, które są stosowane do wszystkich zarejestrowanych urządzeń Windows 10/11. Po skonfigurowaniu tych ustawień wybierz pozycję Zapisz.

    • Użyj modułu TPM (Trusted Platform Module):

      Mikroukład modułu TPM zapewnia kolejną warstwę zabezpieczeń danych. Wybierz jedną z następujących wartości:

      • Wymagane (wartość domyślna). Tylko urządzenia z dostępnym modułem TPM mogą aprowizować Windows Hello dla firm.
      • Preferowane. Urządzenia najpierw próbują użyć modułu TPM. Jeśli ta opcja nie jest dostępna, mogą użyć szyfrowania oprogramowania.

    • Minimalna długość numeru PIN i maksymalna długość numeru PIN:

      Konfiguruje urządzenia tak, aby używały określonych minimalnych i maksymalnych długości numeru PIN w celu zapewnienia bezpiecznego logowania. Domyślna długość numeru PIN to sześć znaków, ale można wymusić minimalną długość czterech znaków. Maksymalna długość numeru PIN wynosi 127 znaków.

    • Małe litery w numerze PIN, wielkie litery w numerze PIN i znaki specjalne w numerze PIN.

      Możesz wymusić silniejszy numer PIN, wymagając użycia wielkich liter, małych liter i znaków specjalnych w numerze PIN. Dla każdego wybierz pozycję z:

      • Dozwolone. Użytkownicy mogą używać typu znaku w numerze PIN, ale nie jest to obowiązkowe.

      • Wymagane. Użytkownicy muszą uwzględnić co najmniej jeden z typów znaków w numerze PIN. Na przykład powszechną praktyką jest wymaganie co najmniej jednej wielkiej litery i jednego znaku specjalnego.

      • Niedozwolone (wartość domyślna). Użytkownicy nie mogą używać tych typów znaków w numerze PIN. (Jest to również zachowanie, jeśli ustawienie nie jest skonfigurowane).

        Znaki specjalne to: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

    • Wygaśnięcie numeru PIN (dni)::

      Dobrym rozwiązaniem jest określenie okresu wygaśnięcia numeru PIN, po którym użytkownicy muszą go zmienić. Wartość domyślna to 41 dni.

    • Pamiętaj historię numeru PIN:

      Ogranicza ponowne użycie wcześniej używanych numerów PIN. Domyślnie nie można użyć ostatnich 5 numerów PIN.

    • Zezwalaj na uwierzytelnianie biometryczne:

      Umożliwia uwierzytelnianie biometryczne, takie jak rozpoznawanie twarzy lub odcisk palca, jako alternatywę dla numeru PIN dla Windows Hello dla firm. Użytkownicy muszą nadal konfigurować służbowy numer PIN w przypadku niepowodzenia uwierzytelniania biometrycznego. Wybierz jedną z następujących opcji:

      • Tak. Windows Hello dla firm umożliwia uwierzytelnianie biometryczne.
      • Nie. Windows Hello dla firm uniemożliwia uwierzytelnianie biometryczne (dla wszystkich typów kont).

    • Użyj rozszerzonej ochrony przed fałszowaniem, jeśli jest dostępna:

      Określa, czy funkcje ochrony przed fałszowaniem Windows Hello są używane na obsługiwanych urządzeniach. Na przykład wykrywanie zdjęcia twarzy zamiast prawdziwej twarzy.

      Po ustawieniu opcji Tak system Windows wymaga, aby wszyscy użytkownicy korzystali z funkcji ochrony przed fałszowaniem twarzy, gdy jest to obsługiwane.

    • Zezwalaj na logowanie telefoniczne:

      Jeśli ta opcja jest ustawiona na Wartość Tak, użytkownicy mogą używać paszportu zdalnego, aby służyć jako przenośne urządzenie towarzyszące do uwierzytelniania komputera stacjonarnego. Komputer stacjonarny musi być Microsoft Entra przyłączony, a urządzenie towarzyszące musi być skonfigurowane przy użyciu numeru PIN Windows Hello dla firm.

    • Włącz rozszerzone zabezpieczenia logowania:

      Skonfiguruj Windows Hello rozszerzone zabezpieczenia logowania na urządzeniach z obsługą sprzętu. Dostępne opcje:

      • Domyślny. Rozszerzone zabezpieczenia logowania zostaną włączone w systemach z obsługą sprzętu. Użytkownicy urządzeń nie mogą używać zewnętrznych urządzeń peryferyjnych do logowania się do urządzenia przy użyciu Windows Hello.
      • Rozszerzone zabezpieczenia logowania zostaną wyłączone we wszystkich systemach. Użytkownicy urządzeń mogą używać zewnętrznych urządzeń peryferyjnych zgodnych z Windows Hello, aby zalogować się do swojego urządzenia.

    • Użyj kluczy zabezpieczeń na potrzeby logowania:

      Po ustawieniu opcji Włącz to ustawienie zapewnia pojemność zdalnego włączania/wyłączania Windows Hello kluczy zabezpieczeń dla wszystkich komputerów w organizacji klienta.

obsługa Windows Holographic for Business

Windows Holographic for Business obsługuje następujące ustawienia dla Windows Hello dla firm:

  • Korzystanie z modułu TPM (Trusted Platform Module)
  • Minimalna długość numeru PIN
  • Maksymalna długość numeru PIN
  • Małe litery w numerze PIN
  • Wielkie litery w numerze PIN
  • Znaki specjalne w numerze PIN
  • Wygaśnięcie numeru PIN (dni)
  • Zapamiętywanie historii numeru PIN

Następne kroki

Dowiedz się więcej o Windows Hello z następujących tematów w dokumentacji systemu Windows: