管理Windows Hello 企业版
Windows Hello 企业版为组织提供了一组丰富的精细策略设置,可用于管理其设备和用户。 如前所述,可以使用组策略或使用新式管理方法(Microsoft Intune)管理和部署Windows Hello 企业版。
使用 Intune 管理Windows Hello 企业版
在Microsoft Intune中,可以将Windows Hello 企业版部署为设备配置文件的一部分。 这些配置文件用于在Windows 10和更高版本的设备上配置各种设置。 使用 Intune 中的设备配置文件,可以启用或禁用使用Windows Hello 企业版,还可以配置以下设置:
- 最小 PIN 长度
- 最大 PIN 长度
- 在 PIN 中使用小写字母
- 在 PIN 中使用大写字母
- 在 PIN 中使用特殊字符
- PIN 有效期(天数)
- 记住 PIN 历史记录
- 启用 PIN 恢复
- 使用受信任平台模块 (TPM)
- 允许生物识别身份验证
- 使用增强的反欺骗功能(如果可用)
- 本地资源的证书
还可以在 Intune 上的设备注册策略中配置Windows Hello 企业版设置。 在设备注册到 Intune 期间,这将强制执行上面列出的类似配置设置。
使用组策略管理Windows Hello 企业版
若要使用组策略管理Windows Hello 企业版,需要一个Windows 10或更高版本的工作站来运行组策略管理控制台,该工作站提供最新的Windows Hello 企业版和 PIN 复杂性组策略设置。 必须为 Windows 配置 “启用Windows Hello 企业版 组策略”设置,以允许用户尝试注册Windows Hello 企业版。 仅当此策略设置设置为“ 已启用”时,用户才能尝试注册。
可以为计算机或用户配置 “启用Windows Hello 企业版 组策略”设置,具体取决于部署计划。 对于试点部署,我们建议选择一组用户并将此组策略部署到该组。 如果同时部署了用户和计算机策略设置,则用户策略设置具有优先级。
若要使用组策略启用Windows Hello 企业版,应创建新的组策略对象, 然后在“用户配置”下展开“策略”,展开 “管理模板”、“ Windows 组件”,然后选择 “Windows Hello 企业版”。
打开此设置时,在内容窗格中,双击 “使用Windows Hello 企业版 ”,然后选择“ 启用 ”,然后选择“ 确定”。 还可以配置使用证书进行本地身份验证的选项。 还可以配置其他Windows Hello 企业版策略设置来管理Windows Hello 企业版部署。 这些策略设置是基于计算机的策略设置;因此,它们适用于使用这些策略设置从计算机登录的任何用户。 可以配置硬件安全设备、生物识别设置和 PIN 复杂性。
Windows Hello 企业版证书
Windows Hello 企业版预配执行Windows Hello 企业版身份验证证书的初始注册。 此证书将根据在Windows Hello 企业版身份验证证书模板中配置的持续时间过期。 Windows 证书自动注册已更新为在这些证书过期之前续订这些证书,这大大减少了过期用户证书的用户身份验证失败。
此过程不需要用户交互,前提是用户使用Windows Hello 企业版登录。