配置 Windows Hello 企业版

本文介绍在组织中配置Windows Hello 企业版的选项,以及如何实现它们。

配置选项

可以使用以下选项配置Windows Hello 企业版:

  • 配置服务提供程序 (CSP) :通常用于移动设备管理 (MDM) 解决方案管理的设备,例如Microsoft Intune。 CSP 还可以配置 预配包,这些包通常在部署时使用,或用于非托管设备。 若要配置Windows Hello 企业版,请使用 PassportForWork CSP
  • 组策略 (GPO) :用于已加入 Active Directory 或Microsoft Entra混合联接的设备,并且不由设备管理解决方案管理

策略优先级

某些Windows Hello 企业版策略可用于计算机和用户配置。 以下列表描述了Windows Hello 企业版的策略优先级:

  • 用户策略 优先于 计算机策略。 如果设置了用户策略,则忽略相应的计算机策略。 如果未设置用户策略,则使用计算机策略
  • Windows Hello 企业版策略设置是使用以下层次结构强制执行的:
    • 用户 - GPO
    • 计算机 - GPO
    • 用户 - PassportForWork CSP
    • 设备 - PassportForWork CSP
    • Exchange Active Sync - DeviceLock CSP

重要提示

如果配置 DeviceLock CSP 定义的密码长度和复杂性设置,以及 PassportForWork CSP 定义的 PIN 长度和复杂性设置,则 Windows 会强制实施管理策略集中最严格的策略。

DeviceLock CSP 利用Exchange ActiveSync策略 (EAS) 引擎。 有关详细信息,请参阅Exchange ActiveSync策略引擎概述

注意

如果未将策略显式配置为需要字母或特殊字符,用户可以选择设置字母数字 PIN。

检索Microsoft Entra租户 ID

通过 CSP 或注册表配置不同的Windows Hello 企业版策略设置需要指定注册设备的Microsoft Entra租户 ID。

若要查找租户 ID,请参阅如何查找Microsoft Entra租户 ID 或尝试以下操作,确保使用组织的帐户登录:

GET https://graph.microsoft.com/v1.0/organization?$select=id

例如,PassportForWork CSP 文档介绍如何使用 OMA-URI 配置Windows Hello 企业版选项:

./Device/Vendor/MSFT/PassportForWork/{TenantId}

配置设备时,请将 替换为TenantIDMicrosoft Entra租户 ID。 例如,如果Microsoft Entra租户 ID 为 dcd219dd-bc68-4b9b-bf0b-4a33a796be35,则 OMA-URI 将为:

./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}

使用 Microsoft Intune 配置Windows Hello 企业版

对于已加入Microsoft Entra设备和在 Intune 中注册Microsoft Entra混合加入的设备,可以使用Intune策略来管理Windows Hello 企业版。

可通过不同的方法在 Intune 中启用和配置Windows Hello 企业版:

  • 使用在租户级别应用的策略。 租户策略:
    • 仅在注册时应用,对其配置所做的任何更改不适用于已在 Intune 中注册的设备
    • 它适用于在 Intune 中注册的所有设备。 因此,通常禁用策略,并使用针对安全组的策略启用Windows Hello 企业版
  • 在设备注册 应用的设备配置策略。 在定期策略刷新间隔期间,对策略的任何更改将应用于设备。 有多种策略类型可供选择:

验证租户范围策略

若要检查注册时应用的Windows Hello 企业版策略设置,请执行以下操作:

  1. 登录到 Microsoft Intune 管理中心

  2. 选择 “设备>”Windows>Windows 注册

  3. 选择Windows Hello 企业版

  4. 验证配置Windows Hello 企业版的状态以及可能配置的任何设置

    禁用Microsoft Intune管理中心Windows Hello 企业版。

来自多个策略源的策略冲突

Windows Hello 企业版可以按 GPO 或 CSP 配置,但不能同时配置这两者。 避免将 GPO 和 CSP 策略设置混合用于Windows Hello 企业版,因为这可能会导致意外结果。 如果混合使用 GPO 和 CSP 策略设置,则在清除组策略设置之前,不会应用冲突的 CSP 设置。

重要提示

MDMWinsOverGP 策略设置不适用于Windows Hello 企业版。 MDMWinsOverGP 仅适用于策略 CSP 中的策略,而Windows Hello 企业版策略在 PassportForWork CSP 中。

注意

有关使用 Microsoft Intune 部署Windows Hello 企业版配置的详细信息,请参阅 Windows 设备设置以在 IntunePassportForWork CSP 中启用Windows Hello 企业版。

禁用Windows Hello 企业版注册

默认情况下,为已加入Microsoft Entra的设备启用Windows Hello 企业版。 如果需要禁用自动启用,可以使用不同的选项,包括:

  • 使用租户范围策略禁用Windows Hello
  • 使用 Intune 中可用的策略类型之一禁用它,同时启用注册状态页 (ESP) 。 可以将 ESP 配置为阻止用户访问桌面,直到设备收到所有必需的策略。 有关详细信息,请参阅 设置注册状态页。 要配置的策略设置是“使用Windows Hello 企业版
  • 使用禁用Windows Hello 企业版的预配包预配设备。 有关详细信息,请参阅 Windows 的预配包
  • 可在 OS 部署期间修改注册表设置以禁用Windows Hello 企业版的脚本解决方案
配置类型 详细信息
CSP (用户) 密钥路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\Policies
密钥名称UsePassportForWork
类型REG_DWORD

1 以启用
0 禁用
CSP (设备) 密钥路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\Policies
密钥名称UsePassportForWork
类型REG_DWORD

1 以启用
0 禁用
GPO (用户) 密钥路径HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWork
密钥名称Enabled
类型REG_DWORD

1 以启用
0 禁用
GPO (设备) 密钥路径KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
密钥名称Enabled
类型REG_DWORD

1 以启用
0 禁用

注意

如果存在冲突的设备策略和用户策略,则用户策略优先。 不建议创建可能与 MDM 策略冲突的本地 GPO 或注册表设置。 此冲突可能会导致意外结果。

后续步骤

有关Windows Hello 企业版策略设置的列表,请参阅Windows Hello 企业版策略设置

若要详细了解Windows Hello 企业版功能以及如何配置这些功能,请参阅: