Windows Hello för företag inställningar i Configuration Manager

  • Artikel

Gäller för: Configuration Manager (aktuell gren)

Configuration Manager integreras med Windows Hello för företag. (Den här funktionen kallades tidigare Microsoft Passport for Work.) Windows Hello för företag är en alternativ inloggningsmetod för Windows 10 enheter. Den använder Active Directory eller ett Microsoft Entra konto för att ersätta ett lösenord, smartkort eller virtuellt smartkort. Med Hello för företag kan du använda en användargest för att logga in i stället för ett lösenord. En användargest kan vara en PIN-kod, biometrisk autentisering eller en extern enhet, till exempel en fingeravtrycksläsare.

Viktigt

Från och med version 2203 stöds inte längre den här åtkomstfunktionen för företagsresurser. Mer information finns i Vanliga frågor och svar om utfasning av resursåtkomst.

Active Directory Federation Services (AD FS) distribution av registreringsutfärdare (ADFS RA) är enklare, ger en bättre användarupplevelse och har en mer deterministisk certifikatregistreringsupplevelse. Använd ADFS RA för certifikatbaserad autentisering med Windows Hello för företag.

Mer information finns i Windows Hello för företag.

Obs!

Configuration Manager aktiverar inte den här valfria funktionen som standard. Du måste aktivera den här funktionen innan du använder den. Mer information finns i Aktivera valfria funktioner från uppdateringar.

Configuration Manager integreras med Windows Hello för företag på följande sätt:

  • Kontrollera vilka gester användarna kan och inte kan använda för att logga in.

  • Lagra autentiseringscertifikat i Windows Hello för företag nyckellagringsprovider (KSP). Mer information finns i Certifikatprofiler.

  • Skapa och distribuera en Windows Hello för företag profil för att styra inställningarna på domänanslutna Windows 10 enheter som kör Configuration Manager-klienten. Från och med version 1910 kan du inte använda certifikatbaserad autentisering. När du använder nyckelbaserad autentisering behöver du inte distribuera en certifikatprofil.

Konfigurera en profil

  1. I Konfigurationshanteraren-konsolen går du till arbetsytan Tillgångar och efterlevnad. Expandera Kompatibilitetsinställningar, expandera Åtkomst till företagsresurser och välj noden Windows Hello för företag Profiler.

  2. I menyfliksområdet väljer du Skapa Windows Hello för företag profil för att starta profilguiden.

  3. På sidan Allmänt anger du ett namn och en valfri beskrivning för den här profilen.

  4. På sidan Plattformar som stöds väljer du de OS-versioner som profilen ska gälla för.

  5. På sidan Inställningar konfigurerar du följande inställningar:

    • Konfigurera Windows Hello för företag: Ange om profilen aktiverar, inaktiverar eller inte konfigurerar Hello för företag.

    • Använd en betrodd plattformsmodul (TPM): En TPM ger ytterligare ett lager med datasäkerhet. Välj något av följande värden:

      • Krävs: Endast enheter med en tillgänglig TPM kan etablera Windows Hello för företag.

      • Prioriterad: Enheter försöker först använda en TPM. Om den inte är tillgänglig kan de använda programvarukryptering.

    • Autentiseringsmetod: Ställ in det här alternativet på Inte konfigurerat eller Nyckelbaserat.

      Obs!

      Från och med version 1910 stöds inte certifikatbaserad autentisering med Windows Hello för företag inställningar i Configuration Manager.

    • Konfigurera minsta PIN-kodslängd: Om du vill kräva en minsta längd för användarens PIN-kod aktiverar du det här alternativet och anger ett värde. När det är aktiverat är 4standardvärdet .

    • Konfigurera maximal PIN-kodslängd: Om du vill kräva en maximal längd för användarens PIN-kod aktiverar du det här alternativet och anger ett värde. När det är aktiverat är 127standardvärdet .

    • Kräv PIN-kods giltighetstid (dagar): Anger antalet dagar innan användaren måste ändra enhetens PIN-kod.

    • Förhindra återanvändning av tidigare PIN-koder: Tillåt inte användare att använda PIN-koder som de tidigare har använt.

    • Kräv versaler i PIN-koden: Anger om användarna måste inkludera versaler i Windows Hello för företag PIN-kod. Välj mellan:

      • Tillåts: Användare kan använda versaler i sina PIN-koder, men behöver inte göra det.

      • Obligatoriskt: Användarna måste inkludera minst ett versalt tecken i sin PIN-kod.

      • Tillåts inte: Användarna kan inte använda versaler i pin-koden.

    • Kräv gemener i PIN-koden: Anger om användarna måste inkludera gemener i Windows Hello för företag PIN-kod. Välj mellan:

      • Tillåts: Användare kan använda gemener i sina PIN-koder, men behöver inte göra det.

      • Obligatoriskt: Användarna måste inkludera minst ett gemener i sin PIN-kod.

      • Tillåts inte: Användare kan inte använda gemener i sina PIN-koder.

    • Konfigurera specialtecken: Anger användningen av specialtecken i PIN-koden. Välj mellan:

      Obs!

      Specialtecken innehåller följande uppsättning:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Tillåts: Användare kan använda specialtecken i sin PIN-kod, men behöver inte göra det.

      • Obligatoriskt: Användarna måste inkludera minst ett specialtecken i sin PIN-kod.

      • Tillåts inte: Användare kan inte använda specialtecken i sin PIN-kod. Det här beteendet är också om inställningen är Inte konfigurerad.

    • Konfigurera användningen av siffror i PIN-koden: Anger användningen av tal i PIN-koden. Välj mellan:

      • Tillåts: Användare kan använda siffror i sin PIN-kod, men behöver inte göra det.

      • Obligatoriskt: Användarna måste inkludera minst ett nummer i sin PIN-kod.

      • Tillåts inte: Användarna kan inte använda siffror i sin PIN-kod.

    • Aktivera biometriska gester: Använd biometrisk autentisering, till exempel ansiktsigenkänning eller fingeravtryck. Dessa lägen är ett alternativ till en PIN-kod för Windows Hello för företag. Användarna konfigurerar fortfarande en PIN-kod om biometrisk autentisering misslyckas.

      Om värdet är Ja tillåter Windows Hello för företag biometrisk autentisering. Om värdet är Nej förhindrar Windows Hello för företag biometrisk autentisering för alla kontotyper.

    • Använd utökat skydd mot förfalskning: Konfigurerar förbättrat skydd mot förfalskning på enheter som stöder det. Om värdet är Ja, där det stöds, kräver Windows att alla användare använder förfalskningsskydd för ansiktsdrag.

    • Använd telefoninloggning: Konfigurerar tvåfaktorautentisering med en mobiltelefon.

  6. Slutför guiden.

Följande skärmbild är ett exempel på Windows Hello för företag profilinställningar:

Windows Hello för företag principguiden som visar listan över tillgängliga inställningar

Konfigurera behörigheter

  1. Logga in på en säker administrativ arbetsstation som har följande valfria funktion installerad som domänadministratör eller motsvarande autentiseringsuppgifter: RSAT: Active Directory Domain Services och Lightweight Directory Services Tools.

  2. Öppna Active Directory - användare och datorer-konsolen.

  3. Välj domänen, gå till åtgärdsmenyn och välj Egenskaper.

  4. Växla till fliken Säkerhet och välj Avancerat.

    Tips

    Om du inte ser fliken Säkerhet stänger du egenskapsfönstret. Gå till menyn Visa och välj Avancerade funktioner.

  5. Välj Lägg till.

  6. Välj Välj ett huvudkonto och ange Key Admins.

  7. I listan Gäller för väljer du Underordnade användarobjekt.

  8. Längst ned på sidan väljer du Rensa alla.

  9. I avsnittet Egenskaper väljer du Läs msDS-KeyCredentialLink.

  10. Välj OK för att spara ändringarna och stänga alla fönster.

Nästa steg

Certifikatprofiler