Configuration Manager中的Windows Hello 企業版設定

  • 文章

適用於:Configuration Manager (目前的分支)

Configuration Manager與Windows Hello 企業版整合。 (這項功能先前稱為 Microsoft Passport for Work.) Windows Hello 企業版 是Windows 10裝置的替代登入方法。 它會使用 Active Directory 或Microsoft Entra帳戶來取代密碼、智慧卡或虛擬智慧卡。 Hello 企業版可讓您使用 使用者手勢 登入,而不是密碼。 使用者手勢可能是 PIN、生物特徵辨識驗證或外部裝置,例如指紋辨識器。

重要事項

從 2203 版開始,不再支援此公司資源存取功能。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。

Active Directory 同盟服務註冊授權單位 (ADFS RA) 部署更簡單、提供更好的使用者體驗,並具有更具決定性的憑證註冊體驗。 搭配使用 ADFS RA 進行憑證式驗證與Windows Hello 企業版。

如需詳細資訊,請參閱 Windows Hello 企業版

注意事項

Configuration Manager預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能

Configuration Manager以下列方式與Windows Hello 企業版整合:

  • 控制使用者可以和無法用來登入的手勢。

  • 將驗證憑證儲存在Windows Hello 企業版金鑰儲存提供者 (KSP) 中。 如需詳細資訊,請參閱 憑證設定檔

  • 建立並部署Windows Hello 企業版設定檔,以在已加入網域的裝置上控制其設定,Windows 10執行Configuration Manager用戶端的裝置。 從 1910 版開始,您無法使用憑證式驗證。 使用金鑰型驗證時,您不需要部署憑證設定檔。

設定設定檔

  1. 在 Configuration Manager 主控台中,移至 [資產與合規性] 工作區。 依序展開 [相容性設定] 和[公司資源存取],然後選取 [Windows Hello 企業版設定檔]節點。

  2. 在功能區中,選取 [建立Windows Hello 企業版設定檔] 以啟動設定檔精靈。

  3. 在 [一 般] 頁面上,指定此設定檔的名稱和選擇性描述。

  4. 在 [ 支援的平臺] 頁面上,選取應套用此設定檔的 OS 版本。

  5. 在 [ 設定] 頁面上,設定下列設定:

    • 設定Windows Hello 企業版:指定此設定檔是否啟用、停用或未設定 Hello 企業版。

    • 使用信賴平臺模組 (TPM) :TPM 提供額外的資料安全性層級。 請選擇下列其中一個值:

      • 必要:只有具有可存取 TPM 的裝置才能布建Windows Hello 企業版。

      • 慣用:裝置會先嘗試使用 TPM。 如果無法使用,他們可以使用軟體加密。

    • 驗證方法:將此選項設定為 [未設定 ] 或 [金鑰型]

      注意事項

      從 1910 版開始,不支援在 Configuration Manager 中使用Windows Hello 企業版設定的憑證式驗證。

    • 設定 PIN 長度下限:如果您想要要求使用者 PIN 的最小長度,請啟用此選項並指定值。 啟用時,預設值為 4

    • 設定 PIN 長度上限:如果您想要要求使用者 PIN 的最大長度,請啟用此選項並指定值。 啟用時,預設值為 127

    • 需要 PIN 到期 (天) :指定使用者必須變更裝置 PIN 的天數。

    • 防止重複使用先前的 PIN:不允許使用者使用先前使用的 PIN。

    • PIN 中需要大寫字母:指定使用者是否必須在WINDOWS HELLO 企業版 PIN 中包含大寫字母。 從下列專案中選擇:

      • 允許:使用者可以在 PIN 中使用大寫字元,但不需要這麼做。

      • 必要:使用者必須在 PIN 中包含至少一個大寫字元。

      • 不允許:使用者無法在其 PIN 中使用大寫字元。

    • PIN 中需要小寫字母:指定使用者是否必須在WINDOWS HELLO 企業版 PIN 中包含小寫字母。 從下列專案中選擇:

      • 允許:使用者可以在 PIN 中使用小寫字元,但不需要這麼做。

      • 必要:使用者必須在 PIN 中包含至少一個小寫字元。

      • 不允許:使用者無法在其 PIN 中使用小寫字元。

    • 設定特殊字元:指定在 PIN 中使用特殊字元。 從下列專案中選擇:

      注意事項

      特殊字元包括下列集合:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • 允許:使用者可以在 PIN 中使用特殊字元,但不需要這麼做。

      • 必要:使用者必須在 PIN 中包含至少一個特殊字元。

      • 不允許:使用者無法在其 PIN 中使用特殊字元。 如果 設定未設定,則此行為也是 。

    • 在 PIN 中設定數位的使用:指定在 PIN 中使用數位。 從下列專案中選擇:

      • 允許:使用者可以在 PIN 中使用數位,但不需要。

      • 必要:使用者必須在 PIN 中包含至少一個數位。

      • 不允許:使用者無法在其 PIN 中使用數位。

    • 啟用生物特徵辨識手勢:使用生物特徵辨識驗證,例如臉部辨識或指紋。 這些模式是 PIN 的替代Windows Hello 企業版。 如果生物特徵辨識驗證失敗,使用者仍會設定 PIN。

      如果設定為[是],Windows Hello 企業版允許生物特徵辨識驗證。 如果設定為[否],Windows Hello 企業版會防止所有帳戶類型的生物特徵辨識驗證。

    • 使用增強型反詐騙:在支援此功能的裝置上設定增強型反詐騙功能。 如果設定為 [是],如果支援,Windows 會要求所有使用者針對臉部特徵使用反詐騙功能。

    • 使用電話登入:使用行動電話設定雙因素驗證。

  6. 完成精靈。

下列螢幕擷取畫面是Windows Hello 企業版設定檔設定的範例:

Windows Hello 企業版原則精靈],其中顯示可用設定的清單

設定許可權

  1. 身為網域系統管理員或對等認證,登入已安裝下列選擇性功能的安全系統管理工作站:RSAT:Active Directory 網域服務和輕量型目錄服務工具。

  2. 開啟Active Directory 消費者和電腦主控台。

  3. 選取網域,移至 [ 動作 功能表],然後選取 [ 屬性]

  4. 切換至 [ 安全性] 索引 標籤,然後選取 [ 進階]

    提示

    如果您沒有看到 [ 安全 性] 索引標籤,請關閉 [屬性] 視窗。 移至 [ 檢視] 功能表,然後選取 [ 進階功能]

  5. 選取 新增

  6. 選擇 [選取主體 ],然後輸入 Key Admins

  7. 從 [ 套用至] 清單中,選取 [ 子系使用者物件]

  8. 在頁面底部,選取 [ 全部清除]

  9. 在 [ 屬性] 區 段中,選取 [讀取 msDS-KeyCredentialLink]

  10. 選取 [確定 ] 以儲存變更並關閉所有視窗。

後續步驟

憑證設定檔