Konfigurera Windows Hello för företag på enheter när de registreras med Intune

Med Microsoft Intune kan du skapa en princip för hela klientorganisationen som konfigurerar användning av Windows Hello för företag på Windows 10 eller Windows 11 enheter när enheterna registreras i Intune. Den här principen riktar sig till hela organisationen och stöder OOBE (Windows Autopilot out-of-box-experience).

För Windows 10/11-enheter ersätter användningen av Windows Hello för företag användningen av lösenord med stark tvåfaktorsautentisering på enheter. Den här autentiseringen består av en användarautentiseringsuppgift som är kopplad till en enhet och använder en biometrisk eller PIN-kod.

Efter enhetsregistreringen, eller när du väljer att inte använda registreringsprincipen för hela klientorganisationen, stöder Intune följande metoder för att hantera Windows Hello på diskreta grupper av enheter:

• Identitetsskydd – Enhetskonfigurationsprincipen innehåller identitetsskyddsprofilen, som du kan använda för att konfigurera grupper av enheter för Windows Hello.

• Säkerhetsbaslinjer: Vissa inställningar för Windows Hello kan hanteras av säkerhetsbaslinjer som baslinjer för Microsoft Defender för Endpoint säkerhet eller säkerhetsbaslinje för Windows 10 och senare.

• Endpoint Security Kontoskyddsprincip: Kontoskyddsprinciper innehåller några av de inställningar som används av Windows Hello.

Viktigt

Före Anniversary Update (Windows version 1607) kan du ange två olika PIN-koder som kan användas för att autentisera till resurser:

• Enhetens PIN-kod kan användas för att låsa upp enheten och ansluta till molnresurser.
• PIN-koden för arbetet användes för att komma åt Microsoft Entra resurser på användarens personliga enheter (BYOD).

I Anniversary Update sammanfogades dessa två PIN-koder till en enda PIN-kod för enheten. Alla Intune-konfigurationsprinciper som du anger för att styra enhetens PIN-kod, och dessutom alla Windows Hello för företag principer som du har konfigurerat, anger nu båda detta nya PIN-värde. Om du har angett båda principtyperna för att styra PIN-koden tillämpas Windows Hello för företag principen. För att säkerställa att principkonflikter är lösta och att PIN-principen tillämpas korrekt uppdaterar du din Windows Hello för företag princip så att den matchar inställningarna i konfigurationsprincipen och ber användarna att synkronisera sina enheter i Företagsportal appen.

Rollbaserad åtkomstkontroll

Du måste vara Intune-tjänstadministratör för att kunna skapa eller redigera en Windows Hello för företag princip i Windows-registrering. Alla andra Intune-roller har skrivskyddad åtkomst. Mer information om rollbaserad åtkomstkontroll (RBAC) finns i RBAC med Microsoft Intune.

Skapa en Windows Hello för företag princip

1. Logga in på Microsoft Intune administrationscenter.

2. Gå till Enheter>Registrera enheter>Windows-registrering>Windows Hello för företag. Fönstret Windows Hello för företag öppnas.

3. Välj bland följande alternativ för Konfigurera Windows Hello för företag:

   • Aktiverad. Välj den här inställningen om du vill konfigurera Windows Hello för företag inställningar. När du väljer Aktiverad visas andra inställningar för Windows Hello och kan konfigureras för enheter.

   • Inaktiverad. Om du inte vill aktivera Windows Hello för företag under enhetsregistreringen väljer du det här alternativet. När det är inaktiverat kan användarna inte etablera Windows Hello för företag. När inställningen är Inaktiverad kan du fortfarande konfigurera efterföljande inställningar för Windows Hello för företag även om den här principen inte aktiverar Windows Hello för företag.

   • Inte konfigurerat. Välj den här inställningen om du inte vill använda Intune för att styra Windows Hello för företag inställningar. Befintliga Windows Hello för företag inställningar på 10/11-enheter ändras inte. Alla andra inställningar i fönstret är inte tillgängliga.

4. Om du valde Aktiverad i föregående steg konfigurerar du de inställningar som krävs för alla registrerade Windows 10/11-enheter. När du har konfigurerat de här inställningarna väljer du Spara.

   • Använd en betrodd plattformsmodul (TPM):

     Ett TPM-chip ger ett annat lager av datasäkerhet. Välj något av följande värden:

     • Krävs (standard). Endast enheter med en tillgänglig TPM kan etablera Windows Hello för företag.
     • Rekommenderas. Enheterna försöker först använda en TPM. Om det här alternativet inte är tillgängligt kan de använda programvarukryptering.

   • Minsta PIN-kodslängd och maximal PIN-kodslängd:

     Konfigurerar enheter att använda de minsta och högsta PIN-kodslängderna som du anger för att säkerställa säker inloggning. Standardlängden för PIN-koden är sex tecken, men du kan framtvinga en minsta längd på fyra tecken. Den maximala PIN-kodslängden är 127 tecken.

   • Gemener i PIN-kod, versaler i PIN-kod och Specialtecken i PIN-kod.

     Du kan framtvinga en starkare PIN-kod genom att kräva användning av versaler, gemener och specialtecken i PIN-koden. För var och en väljer du från:

     • Tillåts. Användare kan använda teckentypen i sin PIN-kod, men det är inte obligatoriskt.

     • Krävs. Användarna måste inkludera minst en av teckentyperna i sin PIN-kod. Det är till exempel vanligt att kräva minst en versal bokstav och ett specialtecken.

     • Tillåts inte (standard). Användarna får inte använda dessa teckentyper i sin PIN-kod. (Detta är också beteendet om inställningen inte har konfigurerats.)

       Specialtecken är: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

   • PIN-kodens giltighetstid (dagar):

     Det är en bra idé att ange en förfalloperiod för en PIN-kod, varefter användarna måste ändra den. Standardvärdet är 41 dagar.

   • Kom ihåg PIN-historik:

     Begränsar återanvändningen av tidigare använda PIN-koder. Som standard kan de senaste 5 PIN-koderna inte återanvändas.

   • Tillåt biometrisk autentisering:

     Aktiverar biometrisk autentisering, till exempel ansiktsigenkänning eller fingeravtryck, som ett alternativ till en PIN-kod för Windows Hello för företag. Användarna måste fortfarande konfigurera en arbets-PIN-kod om biometrisk autentisering misslyckas. Välj mellan:

     • Ja. Windows Hello för företag tillåter biometrisk autentisering.
     • Nej. Windows Hello för företag förhindrar biometrisk autentisering (för alla kontotyper).

   • Använd utökat skydd mot förfalskning när det är tillgängligt:

     Konfigurerar om förfalskningsskyddsfunktionerna i Windows Hello används på enheter som stöder det. Det kan till exempel vara att identifiera ett foto av ett ansikte i stället för ett riktigt ansikte.

     När värdet är Ja kräver Windows att alla användare använder förfalskningsskydd för ansiktsdrag när det stöds.

   • Tillåt telefoninloggning:

     Om det här alternativet är inställt på Ja kan användarna använda ett fjärrpass för att fungera som en bärbar kompletterande enhet för autentisering på stationär dator. Skrivbordsdatorn måste vara Microsoft Entra ansluten och den tillhörande enheten måste konfigureras med en Windows Hello för företag PIN-kod.

   • Aktivera förbättrad inloggningssäkerhet:

     Konfigurera Windows Hello förbättrad inloggningssäkerhet på enheter med kompatibel maskinvara. Dina alternativ:

     • Standard. Förbättrad inloggningssäkerhet aktiveras på system med kompatibel maskinvara. Enhetsanvändare kan inte använda extern kringutrustning för att logga in på sin enhet med Windows Hello.
     • Förbättrad inloggningssäkerhet inaktiveras på alla system. Enhetsanvändare kan använda extern kringutrustning som är kompatibla med Windows Hello för att logga in på enheten.

   • Använd säkerhetsnycklar för inloggning:

     När inställningen är inställd på Aktivera ger den här inställningen kapacitet för fjärraktivering av på/av Windows Hello säkerhetsnycklar för alla datorer i en kunds organisation.

Windows Holographic for Business support

Windows Holographic for Business stöder följande inställningar för Windows Hello för företag:

• Använda en betrodd plattformsmodul (TPM)
• Minsta PIN-kodslängd
• Maximal PIN-kodslängd
• Gemener i PIN-kod
• Versaler i PIN-kod
• Specialtecken i PIN-kod
• PIN-kodens giltighetstid (dagar)
• Kom ihåg PIN-historik

Nästa steg

Läs mer om Windows Hello från följande ämnen i Windows-dokumentationen:

• Planera en Windows Hello för företag distribution
• Översikt över Windows Hello för företag distributionskrav