使用 Intune 注册时,在设备上配置Windows Hello 企业版
使用 Microsoft Intune,可以创建一个租户范围的策略,该策略在注册Intune时配置Windows 10或Windows 11设备上Windows Hello 企业版的使用。 此策略面向整个组织,并支持 Windows Autopilot 开箱即用体验 (OOBE) 。
对于 Windows 10/11 设备,使用 Windows Hello 商业版 可以在设备上用强大的双因素身份验证取代密码的使用。 这种身份验证包括一个与设备绑定的用户凭证,并使用生物识别或 PIN。
设备注册后或选择不使用租户范围的注册策略时,Intune支持以下方法来管理设备组中的Windows Hello:
标识保护 - 设备配置策略包括标识保护配置文件,可用于为Windows Hello配置设备组。
安全基线:Windows Hello的某些设置可以由安全基线管理,例如Microsoft Defender for Endpoint安全性基线或Windows 10及更高版本的安全基线。
终结点安全帐户保护策略:帐户保护策略包括Windows Hello使用的一些设置。
重要
在 Windows 版本 1607) 周年更新 (之前,可以设置两个不同的 PIN,用于对资源进行身份验证:
- 设备 PIN 可用于解锁设备并连接到云资源。
- 工作 PIN 用于访问用户个人设备上的Microsoft Entra资源 (BYOD) 。
在周年更新中,这两个 PIN 已合并为一个单个设备 PIN。 现在,设置用于控制设备 PIN 的任何 Intune 配置策略,以及所配置的任何 Windows Hello 企业版策略都会设置这一新的 PIN 值。 如果已设置这两个策略类型以控制 PIN,则将应用 Windows Hello 企业版策略。 为确保解决策略冲突并正确应用 PIN 策略,请更新 Windows Hello 企业版策略以匹配你的配置策略中的设置,并要求用户在公司门户应用中同步他们的设备。
基于角色的访问控制
你必须是Intune服务管理员才能在 Windows 注册中创建或编辑Windows Hello 企业版策略。 所有其他Intune角色都具有只读访问权限。 有关基于角色的访问控制 (RBAC) 的详细信息,请参阅 RBAC with Microsoft Intune。
创建 Windows Hello 企业版策略
转到 “设备>注册”。
在“Windows”选项卡的“注册选项”下,选择“Windows Hello 企业版”。 等待打开Windows Hello 企业版窗格。
从以下“配置 Windows Hello 企业版”的选项中选择:
“已启用”。 如果要配置 Windows Hello 企业版设置,请选择此设置。 选择 启用 时,Windows Hello 的其他设置变为可见,并且可以为设备进行配置。
“已禁用”。 如果不想在设备注册过程中启用 Windows Hello 企业版,请选择此选项。 禁用后,用户无法预配 Windows Hello 企业版。 如果设置为“已禁用”,则即使此策略不启用 Windows Hello 企业版,仍可为 Windows Hello 企业版配置后续设置。
“未配置”。 如果不想使用 Intune 来控制 Windows Hello 企业版设置,请选择此设置。 Windows 10/11 设备上的任何现有Windows Hello 企业版设置不会更改。 窗格中的所有其他设置将不可用。
如果在上一步中选择了“已启用”,请配置已应用于所有已注册的 Windows 10/11 设备的必需设置。 配置这些设置后,选择“保存”。
使用受信任平台模块 (TPM):
TPM 芯片提供另一层数据安全性。 选择下列值之一:
- “必需”(默认)。 仅限可访问 TPM 的设备预配 Windows Hello 企业版。
- “首选”。 设备首次尝试使用 TPM。 如果此选项不可用,他们可以使用软件加密。
“最小 PIN 长度”和“最大 PIN 长度”:
将设备配置为使用你指定的最小和最大 PIN 长度,以帮助确保安全登录。 默认的 PIN 长度为 6 个字符,但可以强制使用 4 个字符的最小长度。 最大 PIN 长度为 127 个字符。
“在 PIN 中使用小写字母”、“在 PIN 中使用大写字母”和“在 PIN 中使用特殊字符”。
你可以通过要求在 PIN 中使用大写字母、小写字母和特殊字符来强制使用更强的 PIN。 对于每个 PIN,选择:
允许:用户可以在其 PIN 中使用字符类型,但不是必需的。
必需:用户必须在其 PIN 中包含至少一种字符类型。 例如,常见的做法是要求包含至少一个大写字母和一个特殊字符。
不允许 (默认) :用户不得在其 PIN 中使用这些字符类型。 (这也是不配置此设置时的行为。)
特殊字符包括: !“ # $ % & ' ( ) * + , - 。/ : ; < = > ?@ [ \ ] ^ _ ' { | } ~
PIN 有效期(天):
比较好的一种做法是指定 PIN 的有效期,在超过此期限后,最终用户必须更改该 PIN。 默认值为 41 天。
记住 PIN 历史记录:
限制重复使用以前用过的 PIN。 默认情况下,无法重用最后 5 个 PIN。
允许生物识别身份验证:
启用面部识别或指纹等生物识别身份验证作为 Windows Hello 企业版 PIN 的替代方法。 如果生物识别身份验证失败,则用户仍必须配置工作 PIN。 从以下项中进行选择:
- 是。 Windows Hello 企业版允许进行生物识别身份验证。
- 否。 Windows Hello 企业版阻止生物识别身份验证(适用于所有帐户类型)。
使用增强型反欺骗(如果有):
配置是否在支持 Windows Hello 的反欺骗功能的设备上使用这些功能。 例如,检测人脸照片,而不是真实人脸。
如果设置为“是”,则 Windows 将在支持反欺骗技术时要求所有用户对面部识别功能使用此技术。
允许手机登录:
如果将此选项设置为“是”,则用户可以使用远程 Passport 充当用于台式计算机身份验证的便携伴侣设备。 台式计算机必须Microsoft Entra联接,并且必须使用Windows Hello 企业版 PIN 配置配套设备。
启用增强的登录安全性:
在具有支持的硬件的设备上配置Windows Hello增强的登录安全性。 选项包括:
- 在具有支持硬件 (默认) 的系统上,将启用增强的登录安全性:设备用户无法使用外部外围设备通过Windows Hello登录其设备。
- 将在所有系统上禁用增强的登录安全性:设备用户可以使用与Windows Hello兼容的外部外围设备登录到其设备。
使用安全密钥登录:
设置为“已启用”时,此设置提供远程打开/关闭Windows Hello客户组织中所有计算机的安全密钥的容量。
Windows Holographic for Business 支持
Windows Holographic for Business 支持以下 Windows Hello 企业版设置:
- 使用受信任平台模块 (TPM)
- 最小 PIN 长度
- 最大 PIN 长度
- 在 PIN 中使用小写字母
- 在 PIN 中使用大写字母
- 在 PIN 中使用特殊字符
- PIN 有效期(天数)
- 记住 PIN 历史记录
后续步骤
在 Windows 文档中,详细了解以下主题的Windows Hello:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈