准备用户预配和使用Windows Hello 企业版

本文提供有关如何准备用户注册和使用Windows Hello 企业版的指导。 它还提供了有关如何向用户传达Windows Hello 企业版优势的指导。

多重身份验证

预配Windows Hello要求用户使用多重 (MFA) 进行身份验证。 确保已制定解决方案,让用户在此过程中使用 MFA。

提示

为了方便用户通信并确保成功部署Windows Hello 企业版,可以在Microsoft Entra模板中找到可自定义 (电子邮件模板、海报、培训等 ) 材料。

生物识别手势

系统可能会提示用户注册其指纹或人脸,具体取决于硬件。 为方便起见,用户应在预配过程中注册其生物识别手势。 生物识别手势可用于解锁设备,以及对需要Windows Hello 企业版的资源进行身份验证。 生物识别手势仅在已注册的设备上有效,不会存储在设备外部。

用户体验

下一个视频演示了用户使用密码登录后Windows Hello 企业版注册体验:

  1. 由于设备支持生物识别身份验证,因此系统会提示用户设置生物识别手势。 此手势可用于解锁设备,并向需要Windows Hello 企业版的资源进行身份验证。 如果用户不想设置生物识别手势,则可以跳过此步骤
  2. 系统会提示用户对组织帐户使用 Windows Hello。 用户选择 “确定”
  3. 预配流将转到注册的多重身份验证部分。 预配会通知用户,它正积极尝试通过配置的 MFA 形式与用户联系。 在身份验证成功、失败或超时之前,预配过程不会继续。MFA 失败或超时会导致错误,并要求用户重试
  4. MFA 成功之后, 预配流程将要求用户创建并验证 PIN。 此 PIN 必须观察设备上配置的任何 PIN 复杂性策略

注册Windows Hello后,用户应使用其手势 ((如 PIN 或指纹) )访问其设备和公司资源。 解锁手势仅在已注册的设备上有效。

重要提示

尽管组织可能要求用户定期更改其 Active Directory 或Microsoft Entra帐户密码,但更改其密码对 Hello 没有影响。

下一个视频演示了Windows Hello 企业版注册体验,这是现成体验 (OOBE) 过程的一部分:

  1. 用户加入设备以Microsoft Entra ID,并在加入过程中提示进行 MFA
  2. 设备由Microsoft Intune管理,并应用Windows Hello 企业版策略设置
  3. 加载用户配置文件后,但在授予对桌面的访问权限之前,用户必须注册Windows Hello