通过

Intune for Windows Hello 企业版 中的标识保护配置文件设置

  • 项目

注意

Intune 支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到 设置目录

本文介绍可在标识保护配置文件中配置的Windows Hello 企业版设置。 标识保护配置文件是 Microsoft Intune 中的设备配置策略的一部分。 使用标识保护配置文件,可以在Windows 10/11 设备的离散组上配置设置。 若要在租户范围内配置Windows Hello 企业版,作为设备注册的一部分,请参阅将Windows Hello 企业版与Microsoft Intune集成中的创建Windows Hello 企业版策略部分。 本部分不仅介绍如何创建租户范围的配置策略,还介绍了注册策略的设置。

有关这些设置的其他信息,请参阅Windows Hello文档中的配置Windows Hello 企业版策略设置

若要详细了解 Intune 中的标识保护配置文件,请参阅 配置标识保护

开始之前

创建配置文件

Windows Hello 企业版

  • 配置Windows Hello 企业版

    • 未配置 (默认) - 如果不想使用 Intune 控制Windows Hello 企业版设置,请选择此设置。 不会更改 Windows 10/11 设备上的任何现有Windows Hello 企业版设置。 窗格中的所有其他设置将不可用。

    • 禁用 - 如果不想使用Windows Hello 企业版,请选择此设置。 然后,屏幕上的所有其他设置都不可用。

    • 启用 - 如果要配置Windows Hello 企业版设置,请选择此设置。

    设置为 “启用”时,以下设置可用:

    • 最小 PIN 长度
      指定设备的最小 PIN 长度,介于 4 到 127 个字符之间。 默认情况下,此设置为 “未配置”。

    • 最大 PIN 长度
      指定设备的最大 PIN 长度,从 4 到 127 个字符。 默认情况下,此设置为 “未配置”。

    • 在 PIN 中使用小写字母
      如果需要,用户 PIN 必须至少包含一个小写字母。 默认情况下,此设置为 “未配置”。

      • 不允许 - 阻止用户在 PIN 中使用小写字母。 如果未配置设置,也会发生此行为。
      • 允许 - 允许用户在 PIN 中使用小写字母,但不是必需的。
      • 必需 - 用户必须在 PIN 中包含至少一个小写字母。 例如,常见的做法是要求包含至少一个大写字母和一个特殊字符。

    • 在 PIN 中使用大写字母
      如果需要,用户 PIN 必须至少包含一个大写字母。 默认情况下,此设置为 “未配置”。

      • 不允许 - 阻止用户在 PIN 中使用大写字母。 如果未配置设置,也会发生此行为。
      • 允许 - 允许用户在 PIN 中使用大写字母,但不是必需的。
      • 必需 - 用户必须在 PIN 中包含至少一个大写字母。 例如,常见的做法是要求包含至少一个大写字母和一个特殊字符。

    • 在 PIN 中使用特殊字符
      如果需要,用户 PIN 必须至少包含一个特殊字符。 特殊字符包括: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • 不允许 (默认) - 阻止用户在 PIN 中使用特殊字符。 如果未配置设置,也会发生此行为。
      • 允许 - 允许用户在 PIN 中使用大写字母,但不是必需的。
      • 必需 - 用户必须在 PIN 中包含至少一个大写字母。 例如,常见的做法是要求包含至少一个大写字母和一个特殊字符。

    • PIN 有效期(天数)
      如果已配置,则会强制用户在设置的天数后更改其 PIN。 用户仍然可以在过期前主动更改其 PIN。 默认情况下,此设置为 “未配置”。

    • 记住 PIN 历史记录
      如果已配置,用户将无法重复使用此数目的以前 PIN。 默认情况下,此设置为 “未配置”。

    • 启用 PIN 恢复
      允许用户使用Windows Hello 企业版 PIN 恢复服务。

      • 启用 - PIN 恢复机密存储在设备上,用户可以根据需要更改其 PIN。
      • 未配置 (默认) - 不会创建或存储恢复机密。

    • 使用受信任的平台模块 (TPM)
      TPM 芯片额外提供了一层数据安全。

      • 启用 - 只有具有可访问 TPM 的设备才能预配Windows Hello 企业版。
      • 未配置 (默认) - 设备首次尝试使用 TPM。 如果 TPM 不可用,则可以使用软件加密。

    • 允许生物识别身份验证
      如果允许,Windows Hello 企业版可以使用手势(如人脸和指纹)进行身份验证。 如果失败,用户仍必须配置 PIN。

      • 启用 - Windows Hello 企业版允许生物识别身份验证。
      • (默认) 配置 - Windows Hello 企业版阻止所有帐户类型的生物识别身份验证 () 。

    • 使用增强的反欺骗(如果可用)
      如果启用,设备将使用增强的反欺骗功能(如果可用 (例如,检测人脸的照片而不是真实人脸) 。

      • 启用 - Windows 要求所有用户在支持面部功能时对面部功能使用反欺骗功能。
      • 未配置 (默认) - Windows 遵循设备上的反欺骗配置。

    • 本地资源的证书

      • 启用 - 允许Windows Hello 企业版使用证书对本地资源进行身份验证。
      • 配置 (默认) - 阻止Windows Hello 企业版使用证书对本地资源进行身份验证。 相反,设备使用 密钥信任本地身份验证的默认行为。 有关详细信息,请参阅Windows Hello文档中用于本地身份验证的用户证书

  • 使用安全密钥进行登录
    此设置适用于运行 Windows 10 版本 1903 或更高版本的设备,或者Windows 11。 使用它来管理对使用Windows Hello安全密钥进行登录的支持。

    • 启用 - 用户可以将Windows Hello安全密钥用作使用此策略面向的电脑的登录凭据。
    • 未配置 - 安全密钥已禁用,用户无法使用它们登录到电脑。

后续步骤

分配配置文件监视其状态