配置凭据提供程序 GUID(如人脸和指纹提供程序 GUID)的逗号分隔列表,以用作第一个和第二个解锁因素。 如果将受信任的信号提供程序指定为解锁因素之一,则还应配置以 xml 格式的逗号分隔的信号规则列表,以便验证每种信号类型。
如果启用此策略设置,用户必须使用每个列表中的一个因素才能成功解锁。 如果禁用或未配置此策略设置,用户可以继续使用现有选项进行解锁。
|
路径 |
CSP |
./Device/Vendor/MSFT/PassportForWork/ DeviceUnlock |
Gpo |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
有关详细信息,请参阅 多重解锁。
为每个信号类型配置以 xml 格式的逗号分隔的信号规则列表。
- 如果启用此策略设置,则会评估信号规则以检测用户缺席并自动锁定设备
- 如果禁用或未配置设置,用户可以继续使用现有选项进行锁定
|
路径 |
CSP |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/ DynamicLock |
Gpo |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
使用硬件安全设备
受信任的平台模块 (TPM) 提供了比软件更多的安全优势,因为受它保护的数据不能在其他设备上使用。
- 如果启用此策略设置,Windows Hello 企业版预配仅在具有可用 1.2 或 2.0 TPM 的设备上进行。 可以选择性地排除 TPM 修订版 1.2 模块,这会阻止在这些设备上Windows Hello 企业版预配
提示
TPM 1.2 规范仅允许使用 RSA 和 SHA-1 哈希算法。 TPM 1.2 实现在策略设置上有所不同,这可能会导致支持问题,因为锁定策略不同。 建议从Windows Hello 企业版预配中排除 TPM 1.2 设备。
- 如果禁用或未配置此策略设置,TPM 仍然是首选,但如果 TPM 不可工作或不可用,则所有设备都可以使用软件预配Windows Hello 企业版。
|
路径 |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ RequireSecurityDevice
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/ TPM12 |
Gpo |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
使用证书进行本地身份验证
使用此策略设置可配置Windows Hello 企业版以注册用于本地身份验证的登录证书。
- 如果启用此策略设置,Windows Hello 企业版注册用于本地身份验证的登录证书
- 如果禁用或未配置此策略设置,Windows Hello 企业版将使用密钥或 Kerberos 票证 (,具体取决于本地身份验证的其他策略设置)
|
路径 |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCertificateForOnPremAuth |
Gpo |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版
用户配置>管理模板>Windows 组件>Windows Hello 企业版 |
使用云信任进行本地身份验证
使用此策略设置可将Windows Hello 企业版配置为使用云 Kerberos 信任模型。
- 如果启用此策略设置,Windows Hello 企业版使用从身份验证检索到Microsoft Entra ID的 Kerberos 票证进行本地身份验证
- 如果禁用或未配置此策略设置,Windows Hello 企业版使用密钥或证书 (具体取决于本地身份验证的其他策略设置)
|
路径 |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCloudTrustForOnPremAuth |
Gpo |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
注意
云 Kerberos 信任与证书信任不兼容。 如果启用了证书信任策略设置,则优先于此策略设置。
使用 Windows Hello 企业版
- 如果启用此策略,设备将使用密钥或证书为所有用户预配Windows Hello 企业版
- 如果禁用此策略设置,则设备不会为任何用户预配Windows Hello 企业版
- 如果未配置此策略设置,用户可以预配Windows Hello 企业版
使用非 Microsoft 解决方案预配Windows Hello 企业版时,请选择“登录后不开始Windows Hello预配”选项:
- 如果在登录后选择“不开始Windows Hello预配”,Windows Hello 企业版不会在用户登录后自动开始预配
- 如果未选择“登录后不开始Windows Hello预配”,Windows Hello 企业版用户登录后自动开始预配
|
路径 |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UsePassportForWork
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ DisablePostLogonProvisioning |
Gpo |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版
用户配置>管理模板>Windows 组件>Windows Hello 企业版 |
到期
此设置指定在系统要求用户更改 PIN 之前可以使用 PIN 的时间段 (天) 。 PIN 可以设置为在 1 到 730 之间的任意天数后过期,或者,如果策略设置为 0,则 PIN 可以设置为永不过期。
默认值为 0。
历史记录
此设置指定可以关联到不能重复使用的用户帐户的过去 PIN 数。 此策略通过确保不持续重复使用旧的 PIN 来增强安全性。 该值必须介于 0 到 50 个 PIN 之间。 如果此策略设置为 0,则不需要存储以前的 PIN。
默认值为 0。
注意
PIN 历史记录不会通过 PIN 重置保留。
最大 PIN 长度
最大 PIN 长度配置 PIN 允许的最大字符数。 可为此策略设置配置的最大数目为 127。 可配置的最小数字必须大于最小 PIN 长度策略设置中配置的数字或数字 4,以较大者为准。 如果配置此策略设置,则 PIN 长度必须小于或等于此数字。
如果禁用或未配置此策略设置,则 PIN 长度必须小于或等于 127。
注意
如果未满足上述指定的最大 PIN 长度的条件,则默认值将同时用于最大和最小 PIN 长度。
最小 PIN 长度
最小 PIN 长度配置 PIN 所需的最小字符数。 可为此策略设置配置的最小数目为 4。 可以配置的最大数字必须小于“最大 PIN 长度”策略设置中配置的数字或数字 127(以最低值为准)。
如果配置此策略设置,则 PIN 长度必须大于或等于此数字。
如果禁用或未配置此策略设置,则 PIN 长度必须大于或等于 6。
注意
如果未满足上述指定最小 PIN 长度的条件,则默认值将同时用于最大和最小 PIN 长度。
需要数字
使用此策略设置配置 PIN 中数字的使用:
- 如果启用此策略设置,Windows 要求用户在 PIN 中至少包含一位数字
- 如果禁用此策略设置,Windows 不允许用户在其 PIN 中包含数字
- 如果未配置此策略设置,Windows 允许(但不要求)PIN 中的数字
需要小写字母
使用此策略设置可配置在 PIN 中使用小写字母:
- 如果启用此策略设置,Windows 要求用户在 PIN 中至少包含一个小写字母
- 如果禁用此策略设置,Windows 不允许用户在 PIN 中包含小写字母
- 如果未配置此策略设置,Windows 允许(但不要求)在 PIN 中小写字母
需要特殊字符
范围:计算机
使用此策略设置可配置 PIN 中特殊字符的使用。 特殊字符包括以下集:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- 如果启用此策略设置,Windows 会要求用户在其 PIN 中包含至少一个特殊字符
- 如果禁用此策略设置,Windows 不允许用户在 PIN 中包含特殊字符
- 如果未配置此策略设置,Windows 允许(但不要求)PIN 中的特殊字符
需要大写字母
使用此策略设置可配置在 PIN 中使用大写字母:
- 如果启用此策略设置,Windows 要求用户在 PIN 中至少包含一个大写字母
- 如果禁用此策略设置,Windows 不允许用户在 PIN 中包含大写字母
- 如果未配置此策略设置,则 Windows 允许(但不要求)PIN 中的大写字母
使用 PIN 恢复
PIN 恢复允许用户使用Windows Hello 企业版 PIN 恢复服务更改忘记的 PIN,而不会丢失任何关联的凭据或证书,包括与设备上的用户个人帐户关联的任何密钥。
为此,PIN 恢复服务对存储在设备上的恢复机密进行加密,并且需要 PIN 恢复服务和设备进行解密。
PIN 恢复要求用户执行多重身份验证才能Microsoft Entra ID。
- 如果启用此策略设置,Windows Hello 企业版使用 PIN 恢复服务
- 如果禁用或未配置此策略设置,则 Windows 不会创建或存储 PIN 恢复机密。 如果用户忘记了其 PIN,则必须删除其现有 PIN 并创建一个新 PIN,并且必须重新注册旧 PIN 提供访问权限的任何服务
|
路径 |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ EnablePinRecovery ./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ EnablePinRecovery |
Gpo |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
有关详细信息,请参阅 PIN 重置。
此策略设置确定Windows Hello人脸身份验证是否需要增强的反欺骗。
- 如果启用此设置,Windows 需要对人脸身份验证使用增强的反欺骗
重要提示
这会在不支持增强型反欺骗的设备上禁用人脸身份验证。
- 如果禁用或未配置此设置,则 Windows 不需要增强的防欺骗功能进行人脸身份验证
使用支持的外围设备启用 ESS
增强的登录安全性 (ESS) 通过使用专用硬件和软件组件(例如基于虚拟化的安全性 (VBS) 和受信任的平台模块 2.0)为生物识别数据添加了一层安全层。
使用 ESS 时,Windows Hello生物识别 (人脸和指纹) 模板数据和匹配操作与受信任的硬件或指定的内存区域隔离,并且操作系统的其余部分无法访问或篡改它们。 由于传感器和算法之间的通信通道也受到保护,因此恶意软件无法注入或重播数据来模拟用户登录或将用户锁定在其计算机之外。
如果启用此策略,则可以配置以下值:
0
:使用外围设备或内置非 ESS 传感器启用 ESS。 允许对支持外围Windows Hello设备的身份验证操作,但受当前功能限制的限制。 在混合了生物识别设备的设备上启用 ESS,例如支持 ESS 的指纹读取器和支持 ESS 的非 ESS 相机。 因此,不建议使用此设置
1
:在没有外围设备或内置非 ESS 传感器的情况下启用 ESS。 阻止任何外围生物识别设备的身份验证操作,并且不适用于Windows Hello。 建议使用此设置实现最高安全性
如果禁用或未配置此设置,则会在 ESS 设备上阻止非 ESS 传感器。
有关详细信息,请参阅 增强的登录安全性如何保护生物识别数据。
使用生物识别
Windows Hello 企业版允许用户使用人脸和指纹等生物识别手势作为 PIN 手势的替代方法。 但是,用户仍必须配置 PIN 才能在发生故障时使用。
- 如果启用或未配置此策略设置,Windows Hello 企业版允许使用生物识别手势
- 如果禁用此策略设置,Windows Hello 企业版会阻止使用生物识别手势
注意
禁用此策略可防止用户在设备上使用所有帐户类型的生物识别手势。
|
路径 |
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/ UseBiometrics |
Gpo |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
允许枚举所有用户的模拟智能卡
Windows 阻止同一设备上的用户为其他用户枚举预配Windows Hello 企业版凭据。 如果启用此策略设置,则 Windows 允许设备的所有用户枚举所有Windows Hello 企业版凭据,但仍要求每个用户提供自己的身份验证因素。 如果禁用或未配置此策略设置,Windows 不允许为同一设备上的其他用户枚举预配Windows Hello 企业版凭据。
此策略设置专为在单个设备上注册 特权 帐户 和非特权帐户的 单个用户而设计。 用户拥有这两个凭据,这使他们能够使用非特权凭据登录,但可以在不注销的情况下执行提升的任务。此策略设置与启用“关闭智能卡仿真策略设置时预配Windows Hello 企业版凭据”不兼容。
|
路径 |
CSP |
不可用 |
Gpo |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
关闭智能卡仿真
Windows Hello 企业版自动提供智能卡仿真,以便与启用智能卡的应用程序兼容。
- 如果启用此策略设置,Windows Hello 企业版预配与智能卡应用程序不兼容Windows Hello 企业版凭据
- 如果禁用或未配置此策略设置,Windows Hello 企业版预配与智能卡应用程序兼容的Windows Hello 企业版凭据
重要提示
此策略在创建时影响Windows Hello 企业版凭据。 在应用此策略之前创建的凭据将继续提供智能卡仿真。 若要更改现有凭据,请启用此策略设置,并从“设置”中选择“ 我忘记了 PIN ”。
|
路径 |
CSP |
不可用 |
Gpo |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
将Windows Hello 企业版证书用作智能卡证书
此策略设置旨在允许与仅依赖于智能卡证书的应用程序兼容。
- 如果启用此策略设置,应用程序会将Windows Hello 企业版证书用作智能卡证书。 要求用户授权使用证书私钥时,生物识别因素不可用
- 如果禁用或未配置此策略设置,应用程序不会将Windows Hello 企业版证书用作智能卡证书,并且当用户被要求授权使用证书私钥时,生物识别因素可用
此策略设置与启用“关闭智能卡仿真”时预配的Windows Hello 企业版凭据不兼容。