Настройка Windows Hello для бизнеса на устройствах при регистрации в Intune

  • Статья

С помощью Microsoft Intune можно создать политику на уровне клиента, которая настраивает использование Windows Hello для бизнеса на Windows 10 или Windows 11 устройствах во время регистрации этих устройств в Intune. Эта политика ориентирована на всю организацию и поддерживает встроенный интерфейс Windows Autopilot (OOBE).

Для устройств с Windows 10/11 использование Windows Hello для бизнеса заменяет использование паролей с двухфакторной проверкой подлинности на устройствах. Эта проверка подлинности включает учетные данные пользователей, связанные с устройством и применяет биометрические данные или ПИН-код.

После регистрации устройства или если вы решили не использовать политику регистрации на уровне клиента, Intune поддерживает следующие методы управления Windows Hello на дискретных группах устройств:

  • Защита идентификации. Политика конфигурации устройств включает профиль защиты идентификации, который можно использовать для настройки групп устройств для Windows Hello.

  • Базовые показатели безопасности. Некоторыми параметрами для Windows Hello можно управлять с помощью базовых показателей безопасности, таких как базовые показатели безопасности Microsoft Defender для конечной точки или базовые показатели безопасности для Windows 10 и более поздних версий.

  • Политика защиты учетных записей безопасности конечных точек. Политики защиты учетных записей включают некоторые параметры, используемые Windows Hello.

Важно!

До юбилейного обновления (Windows версии 1607) можно было задать два разных ПИН-кода, которые можно было использовать для проверки подлинности ресурсов:

  • ПИН-код устройства. Использовался для разблокировки устройства и подключения к ресурсам в облаке.
  • Рабочий ПИН-код использовался для доступа к ресурсам Microsoft Entra на личных устройствах пользователя (BYOD).

В юбилейном обновлении эти два ПИН-кода объединены в один ПИН-код устройства. Все политики конфигурации Intune, настроенные для управления ПИН-кодом устройства, а также все настроенные политики Windows Hello для бизнеса теперь используют одинаковый ПИН-код. Если вы настроили оба типа политик для управления ПИН-кодом, применяется политика Windows Hello для бизнеса. Чтобы обеспечить разрешение конфликтов политик и правильное применение политики ПИН-кода, обновите политику Windows Hello для бизнеса, чтобы она соответствовала параметрам политики конфигурации, и попросите пользователей синхронизировать свои устройства в приложении корпоративного портала.

Управление доступом на основе ролей

Чтобы создать или изменить политику Windows Hello для бизнеса в регистрации Windows, необходимо быть администратором службы Intune. Все остальные роли Intune имеют доступ только для чтения. Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе RBAC с Microsoft Intune.

Создание политики Windows Hello для бизнеса

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Устройства>Регистрация устройств>Регистрация Windows>Windows Hello для бизнеса. Откроется панель Windows Hello для бизнеса.

  3. Выберите один из следующих вариантов для параметра Настроить Windows Hello для бизнеса.

    • Включено. Выберите этот параметр, если вы хотите настроить параметры Windows Hello для бизнеса. При выборе значения Включено отображаются другие параметры Windows Hello, которые можно настроить для устройств.

    • Отключено. Выберите этот параметр, если вы не хотите использовать Windows Hello для бизнеса во время регистрации устройства. Если он отключен, пользователи не смогут выполнять подготовку Windows Hello для бизнеса. Если задано значение Отключено, можно по-прежнему настроить последующие параметры для Windows Hello для бизнеса, даже если эта политика не включает Windows Hello для бизнеса.

    • Не настроено. Выберите этот параметр, если вы не хотите использовать Intune для управления параметрами Windows Hello для бизнеса. Существующие параметры Windows Hello для бизнеса на устройствах с Windows 10/11 не изменятся. После этого все остальные параметры на панели будут отключены.

  4. Если на предыдущем шаге вы выбрали вариант Включено, настройте необходимые параметры, которые будут применяться ко всем зарегистрированным устройствам с Windows 10/11. Настроив эти параметры, нажмите Сохранить.

    • Использовать доверенный платформенный модуль (TPM).

      Микросхема TPM обеспечивает еще один уровень защиты данных. Выберите одно из следующих значений:

      • Обязательный (по умолчанию). Подготовку Windows Hello для бизнеса поддерживают только устройства с доступным доверенным платформенным модулем.
      • Предпочитаемый. Устройства сначала пытаются использовать доверенный платформенный модуль. Если этот параметр недоступен, они могут использовать программное шифрование.

    • Минимальная длина ПИН-кода и Максимальная длина ПИН-кода.

      Настройте для устройств минимальную и максимальную длину ПИН-кода, чтобы обеспечить защищенный вход. По умолчанию длина ПИН-кода равна шести символам, но вы можете установить минимальную длину, равную четырем символам. Максимальная длина ПИН-кода составляет 127 символов.

    • Строчные буквы в ПИН-коде, Прописные буквы в ПИН-коде и Специальные символы в ПИН-коде.

      Кроме того, можно повысить надежность ПИН-кодов, потребовав использовать в них строчные и прописные буквы, а также специальные символы. Для каждого выберите один из следующих вариантов:

      • Разрешено. Пользователи могут использовать символы указанных типов в ПИН-кодах, но это не обязательно.

      • Обязательное поле. Пользователи должны включить по меньшей мере один символ указанного типа в свой ПИН-код. Например, зачастую требуется включать по крайней мере одну прописную букву и один специальный символ.

      • Не разрешено (по умолчанию). Пользователи не могут включать символы указанного типа в свой ПИН-код (это поведение также используется, если параметр не настроен).

        Специальные символы: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

    • Срок действия ПИН-кода (в днях).

      Рекомендуется указывать срок действия ПИН-кода, по истечении которого пользователю необходимо сменить его. Значение по умолчанию — 41 день.

    • Remember PIN history (Хранить историю ПИН-кодов).

      Этот параметр используется для запрета повторного применения ПИН-кодов, которые уже использовались ранее. По умолчанию нельзя использовать повторно последние 5 ПИН-кодов.

    • Разрешить биометрическую проверку подлинности.

      Включает биометрическую проверку подлинности (например, распознавание лиц или отпечатков пальцев) в качестве альтернативы использованию ПИН-кода для Windows Hello для бизнеса. На случай сбоя биометрической проверки подлинности пользователи по-прежнему должны настраивать рабочий ПИН-код. Варианты:

      • Да. Windows Hello для бизнеса разрешает использовать биометрическую проверку подлинности.
      • Нет. Windows Hello для бизнеса запрещает использовать биометрическую проверку подлинности (для всех типов учетных записей).

    • Использовать расширенную защиту от спуфинга, когда возможно.

      Указывает, будут ли параметры защиты от спуфинга Windows Hello использоваться на устройствах, поддерживающих ее. Например, определяет фотографию лица, а не реальное лицо.

      Если задано значение Да, Windows требует, чтобы все пользователи прибегали к функции защиты от спуфинга в случае применения возможностей распознавания лиц (если поддерживается).

    • Allow phone sign-in (Разрешить вход с телефона):

      Если этому параметру присвоено значение Да, пользователи могут использовать удаленную службу Passport в качестве переносимого устройства-компаньона для проверки подлинности настольного компьютера. Настольный компьютер должен быть Microsoft Entra присоединен, а устройство-компаньон должно быть настроено с помощью ПИН-кода Windows Hello для бизнеса.

    • Включите расширенную безопасность входа:

      Настройка Windows Hello расширенной безопасности входа на устройствах с поддержкой оборудования. Доступны следующие параметры:

      • Значение, используемое по умолчанию. Улучшенная безопасность входа будет включена в системах с поддержкой оборудования. Пользователи устройств не могут использовать внешние периферийные устройства для входа на свое устройство с помощью Windows Hello.
      • Улучшенная безопасность входа будет отключена во всех системах. Пользователи устройств могут использовать внешние периферийные устройства, совместимые с Windows Hello, для входа на свое устройство.

    • Использовать ключи безопасности для входа.

      Если этот параметр включен, он позволяет удаленно включать или отключать ключи безопасности Windows Hello для всех компьютеров в организации клиента.

Поддержка Windows Holographic for Business

Windows Holographic for Business поддерживает следующие параметры Windows Hello для бизнеса:

  • Использовать доверенный платформенный модуль (TPM)
  • Минимальная длина ПИН
  • Максимальная длина ПИН-кода
  • Строчные буквы в ПИН-коде
  • Прописные буквы в ПИН-коде
  • Специальные символы в ПИН-коде
  • Срок действия ПИН-кода (в днях)
  • Хранить историю ПИН-кодов

Дальнейшие действия

Дополнительные сведения о Windows Hello из следующих тем см. в документации по Windows: