准备用户预配和使用Windows Hello 企业版

• 适用于:

  ✅ Windows 11, ✅ Windows 10

本文提供有关如何准备用户注册和使用Windows Hello 企业版的指导。 它还提供了有关如何向用户传达Windows Hello 企业版优势的指导。

多重身份验证

预配Windows Hello要求用户使用多重 (MFA) 进行身份验证。 确保已制定解决方案，让用户在此过程中使用 MFA。

提示

为了方便用户通信并确保成功部署Windows Hello 企业版，可以在Microsoft Entra模板中找到可自定义 (电子邮件模板、海报、培训等 ) 材料。

生物识别手势

系统可能会提示用户注册其指纹或人脸，具体取决于硬件。 为方便起见，用户应在预配过程中注册其生物识别手势。 生物识别手势可用于解锁设备，以及对需要Windows Hello 企业版的资源进行身份验证。 生物识别手势仅在已注册的设备上有效，不会存储在设备外部。

用户体验

下一个视频演示了用户使用密码登录后Windows Hello 企业版注册体验：

1. 由于设备支持生物识别身份验证，因此系统会提示用户设置生物识别手势。 此手势可用于解锁设备，并向需要Windows Hello 企业版的资源进行身份验证。 如果用户不想设置生物识别手势，则可以跳过此步骤
2. 系统会提示用户对组织帐户使用 Windows Hello。 用户选择 “确定”
3. 预配流将转到注册的多重身份验证部分。 预配会通知用户，它正积极尝试通过配置的 MFA 形式与用户联系。 在身份验证成功、失败或超时之前，预配过程不会继续。MFA 失败或超时会导致错误，并要求用户重试
4. MFA 成功之后, 预配流程将要求用户创建并验证 PIN。 此 PIN 必须观察设备上配置的任何 PIN 复杂性策略

注册Windows Hello后，用户应使用其手势 (（如 PIN 或指纹) ）访问其设备和公司资源。 解锁手势仅在已注册的设备上有效。

重要提示

尽管组织可能要求用户定期更改其 Active Directory 或Microsoft Entra帐户密码，但更改其密码对 Hello 没有影响。

下一个视频演示了Windows Hello 企业版注册体验，这是现成体验 (OOBE) 过程的一部分：

1. 用户加入设备以Microsoft Entra ID，并在加入过程中提示进行 MFA
2. 设备由Microsoft Intune管理，并应用Windows Hello 企业版策略设置
3. 加载用户配置文件后，但在授予对桌面的访问权限之前，用户必须注册Windows Hello