使用 Intune 注册时,在设备上配置 Windows Hello 企业版

使用 Microsoft Intune,可以创建租户范围的策略,该策略在向 Intune 注册时,在 Windows 10 或 Windows 11 设备上配置 Windows Hello 企业版的使用。 此策略面向整个组织,并支持 Windows Autopilot 开箱即用体验 (OOBE) 。

对于 Windows 10/11 设备,使用 Windows Hello 商业版 可以在设备上用强大的双因素身份验证取代密码的使用。 这种身份验证包括一个与设备绑定的用户凭证,并使用生物识别或 PIN。

设备注册后,或者选择不使用租户范围的注册策略时,Intune 支持以下方法来管理离散设备组中的 Windows Hello:

  • 终结点安全帐户保护策略:若要在注册 Intune 后管理设备上的 Windows Hello,请使用 Intune 帐户保护 配置文件,该配置文件是终结点安全帐户保护策略的一部分。

  • 安全基线:Windows Hello 的某些设置可由安全基线管理,例如 Microsoft Defender for Endpoint 安全性 基线或 Windows 10 及更高版本的安全基线

  • 设置目录:终结点安全帐户保护配置文件中的设置可在 Intune 设置目录中使用。

重要

在 Windows 版本 1607) 周年更新 (之前,可以设置两个不同的 PIN,用于对资源进行身份验证:

  • 设备 PIN 可用于解锁设备并连接到云资源。
  • 工作 PIN 用于访问用户个人设备上的Microsoft Entra 资源, (BYOD) 。

在周年更新中,这两个 PIN 已合并为一个单个设备 PIN。 现在,设置用于控制设备 PIN 的任何 Intune 配置策略,以及所配置的任何 Windows Hello 企业版策略都会设置这一新的 PIN 值。 如果已设置这两个策略类型以控制 PIN,则将应用 Windows Hello 企业版策略。 为确保解决策略冲突并正确应用 PIN 策略,请更新 Windows Hello 企业版策略以匹配你的配置策略中的设置,并要求用户在公司门户应用中同步他们的设备。

基于角色的访问控制

你必须是 Intune 服务管理员才能在 Windows 注册中创建或编辑 Windows Hello 企业版策略。 所有其他 Intune 角色都具有只读访问权限。 有关 RBAC) (基于角色的访问控制的详细信息,请参阅 RBAC with Microsoft Intune

为设备注册创建 Windows Hello 企业版策略

  1. 登录到 Microsoft Intune 管理中心

  2. 转到 “设备>注册”。

  3. “Windows ”选项卡的“ 注册选项”下,选择“ Windows Hello 企业版”。 等待 Windows Hello 企业版窗格打开。

  4. 从以下“配置 Windows Hello 企业版”的选项中选择:

    • 已启用”。 如果要配置 Windows Hello 企业版设置,请选择此设置。 选择 启用 时,Windows Hello 的其他设置变为可见,并且可以为设备进行配置。

    • 已禁用”。 如果不想在设备注册过程中启用 Windows Hello 企业版,请选择此选项。 禁用后,用户无法预配 Windows Hello 企业版。 如果设置为“已禁用”,则即使此策略不启用 Windows Hello 企业版,仍可为 Windows Hello 企业版配置后续设置。

    • 未配置”。 如果不想使用 Intune 来控制 Windows Hello 企业版设置,请选择此设置。 Windows 10/11 设备上的任何现有 Windows Hello 企业版设置不会更改。 窗格中的所有其他设置将不可用。

  5. 如果在上一步中选择了“已启用”,请配置已应用于所有已注册的 Windows 10/11 设备的必需设置。 配置这些设置后,选择“保存”。

    • 使用受信任平台模块 (TPM)

      TPM 芯片提供另一层数据安全性。 选择下列值之一:

      • “必需”(默认)。 仅限可访问 TPM 的设备预配 Windows Hello 企业版。
      • “首选”。 设备首次尝试使用 TPM。 如果此选项不可用,他们可以使用软件加密。
    • 最小 PIN 长度”和“最大 PIN 长度”:

      将设备配置为使用你指定的最小和最大 PIN 长度,以帮助确保安全登录。 默认的 PIN 长度为 6 个字符,但可以强制使用 4 个字符的最小长度。 最大 PIN 长度为 127 个字符。

    • “在 PIN 中使用小写字母”、“在 PIN 中使用大写字母”和“在 PIN 中使用特殊字符”

      你可以通过要求在 PIN 中使用大写字母、小写字母和特殊字符来强制使用更强的 PIN。 对于每个 PIN,选择:

      • 允许:用户可以在其 PIN 中使用字符类型,但不是必需的。

      • 必需:用户必须在其 PIN 中包含至少一种字符类型。 例如,常见的做法是要求包含至少一个大写字母和一个特殊字符。

      • 不允许 (默认) :用户不得在其 PIN 中使用这些字符类型。 (这也是不配置此设置时的行为。)

        特殊字符包括: !“ # $ % & ' ( ) * + , - 。/ : ; < = > ?@ [ \ ] ^ _ ' { | } ~

    • PIN 有效期(天)

      比较好的一种做法是指定 PIN 的有效期,在超过此期限后,最终用户必须更改该 PIN。 默认值为 41 天。

    • 记住 PIN 历史记录

      限制重复使用以前用过的 PIN。 默认情况下,无法重用最后 5 个 PIN。

    • 允许生物识别身份验证

      启用面部识别或指纹等生物识别身份验证作为 Windows Hello 企业版 PIN 的替代方法。 如果生物识别身份验证失败,则用户仍必须配置工作 PIN。 从以下项中进行选择:

      • 。 Windows Hello 企业版允许进行生物识别身份验证。
      • 。 Windows Hello 企业版阻止生物识别身份验证(适用于所有帐户类型)。
    • 使用增强型反欺骗(如果有)

      配置是否在支持 Windows Hello 的反欺骗功能的设备上使用这些功能。 例如,检测人脸照片,而不是真实人脸。

      如果设置为“”,则 Windows 将在支持反欺骗技术时要求所有用户对面部识别功能使用此技术。

    • 允许手机登录

      如果将此选项设置为“”,则用户可以使用远程 Passport 充当用于台式计算机身份验证的便携伴侣设备。 台式计算机必须Microsoft Entra 联接,并且配套设备必须配置 Windows Hello 企业版 PIN。

    • 启用增强的登录安全性

      在具有支持硬件的设备上配置 Windows Hello 增强登录安全性 。 选项包括:

      • 具有支持硬件 (默认) 的系统上,将启用增强的登录安全性:设备用户无法使用外部外围设备通过 Windows Hello 登录到其设备。
      • 将在所有系统上禁用增强的登录安全性:设备用户可以使用与 Windows Hello 兼容的外部外围设备登录到其设备。
    • 使用安全密钥登录

      设置为 “已启用”时,此设置提供远程打开/关闭客户组织中所有计算机的 Windows Hello 安全密钥的容量。

Windows Holographic for Business 支持

Windows Holographic for Business 支持以下 Windows Hello 企业版设置:

  • 使用受信任平台模块 (TPM)
  • 最小 PIN 长度
  • 最大 PIN 长度
  • 在 PIN 中使用小写字母
  • 在 PIN 中使用大写字母
  • 在 PIN 中使用特殊字符
  • PIN 有效期(天数)
  • 记住 PIN 历史记录

后续步骤

从 Windows 文档中的以下主题了解有关 Windows Hello 的详细信息: