Configuration Manager中的Windows Hello 企業版設定
適用於:Configuration Manager (目前的分支)
Configuration Manager與Windows Hello 企業版整合。 (這項功能先前稱為 Microsoft Passport for Work.) Windows Hello 企業版 是Windows 10裝置的替代登入方法。 它會使用 Active Directory 或Microsoft Entra帳戶來取代密碼、智慧卡或虛擬智慧卡。 Hello 企業版可讓您使用 使用者手勢 登入,而不是密碼。 使用者手勢可能是 PIN、生物特徵辨識驗證或外部裝置,例如指紋辨識器。
重要事項
從 2203 版開始,不再支援此公司資源存取功能。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。
Active Directory 同盟服務註冊授權單位 (ADFS RA) 部署更簡單、提供更好的使用者體驗,並具有更具決定性的憑證註冊體驗。 搭配使用 ADFS RA 進行憑證式驗證與Windows Hello 企業版。
如需詳細資訊,請參閱 Windows Hello 企業版。
注意事項
Configuration Manager預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能。
Configuration Manager以下列方式與Windows Hello 企業版整合:
控制使用者可以和無法用來登入的手勢。
將驗證憑證儲存在Windows Hello 企業版金鑰儲存提供者 (KSP) 中。 如需詳細資訊,請參閱 憑證設定檔。
建立並部署Windows Hello 企業版設定檔,以在已加入網域的裝置上控制其設定,Windows 10執行Configuration Manager用戶端的裝置。 從 1910 版開始,您無法使用憑證式驗證。 使用金鑰型驗證時,您不需要部署憑證設定檔。
設定設定檔
在 Configuration Manager 主控台中,移至 [資產與合規性] 工作區。 依序展開 [相容性設定] 和[公司資源存取],然後選取 [Windows Hello 企業版設定檔]節點。
在功能區中,選取 [建立Windows Hello 企業版設定檔] 以啟動設定檔精靈。
在 [一 般] 頁面上,指定此設定檔的名稱和選擇性描述。
在 [ 支援的平臺] 頁面上,選取應套用此設定檔的 OS 版本。
在 [ 設定] 頁面上,設定下列設定:
設定Windows Hello 企業版:指定此設定檔是否啟用、停用或未設定 Hello 企業版。
使用信賴平臺模組 (TPM) :TPM 提供額外的資料安全性層級。 請選擇下列其中一個值:
必要:只有具有可存取 TPM 的裝置才能布建Windows Hello 企業版。
慣用:裝置會先嘗試使用 TPM。 如果無法使用,他們可以使用軟體加密。
驗證方法:將此選項設定為 [未設定 ] 或 [金鑰型]。
注意事項
從 1910 版開始,不支援在 Configuration Manager 中使用Windows Hello 企業版設定的憑證式驗證。
設定 PIN 長度下限:如果您想要要求使用者 PIN 的最小長度,請啟用此選項並指定值。 啟用時,預設值為
4
。設定 PIN 長度上限:如果您想要要求使用者 PIN 的最大長度,請啟用此選項並指定值。 啟用時,預設值為
127
。需要 PIN 到期 (天) :指定使用者必須變更裝置 PIN 的天數。
防止重複使用先前的 PIN:不允許使用者使用先前使用的 PIN。
PIN 中需要大寫字母:指定使用者是否必須在WINDOWS HELLO 企業版 PIN 中包含大寫字母。 從下列專案中選擇:
允許:使用者可以在 PIN 中使用大寫字元,但不需要這麼做。
必要:使用者必須在 PIN 中包含至少一個大寫字元。
不允許:使用者無法在其 PIN 中使用大寫字元。
PIN 中需要小寫字母:指定使用者是否必須在WINDOWS HELLO 企業版 PIN 中包含小寫字母。 從下列專案中選擇:
允許:使用者可以在 PIN 中使用小寫字元,但不需要這麼做。
必要:使用者必須在 PIN 中包含至少一個小寫字元。
不允許:使用者無法在其 PIN 中使用小寫字元。
設定特殊字元:指定在 PIN 中使用特殊字元。 從下列專案中選擇:
注意事項
特殊字元包括下列集合:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
允許:使用者可以在 PIN 中使用特殊字元,但不需要這麼做。
必要:使用者必須在 PIN 中包含至少一個特殊字元。
不允許:使用者無法在其 PIN 中使用特殊字元。 如果 設定未設定,則此行為也是 。
在 PIN 中設定數位的使用:指定在 PIN 中使用數位。 從下列專案中選擇:
允許:使用者可以在 PIN 中使用數位,但不需要。
必要:使用者必須在 PIN 中包含至少一個數位。
不允許:使用者無法在其 PIN 中使用數位。
啟用生物特徵辨識手勢:使用生物特徵辨識驗證,例如臉部辨識或指紋。 這些模式是 PIN 的替代Windows Hello 企業版。 如果生物特徵辨識驗證失敗,使用者仍會設定 PIN。
如果設定為[是],Windows Hello 企業版允許生物特徵辨識驗證。 如果設定為[否],Windows Hello 企業版會防止所有帳戶類型的生物特徵辨識驗證。
使用增強型反詐騙:在支援此功能的裝置上設定增強型反詐騙功能。 如果設定為 [是],如果支援,Windows 會要求所有使用者針對臉部特徵使用反詐騙功能。
使用電話登入:使用行動電話設定雙因素驗證。
完成精靈。
下列螢幕擷取畫面是Windows Hello 企業版設定檔設定的範例:
設定許可權
身為網域系統管理員或對等認證,登入已安裝下列選擇性功能的安全系統管理工作站:RSAT:Active Directory 網域服務和輕量型目錄服務工具。
開啟Active Directory 消費者和電腦主控台。
選取網域,移至 [ 動作 功能表],然後選取 [ 屬性]。
切換至 [ 安全性] 索引 標籤,然後選取 [ 進階]。
提示
如果您沒有看到 [ 安全 性] 索引標籤,請關閉 [屬性] 視窗。 移至 [ 檢視] 功能表,然後選取 [ 進階功能]。
選取 新增。
選擇 [選取主體 ],然後輸入
Key Admins
。從 [ 套用至] 清單中,選取 [ 子系使用者物件]。
在頁面底部,選取 [ 全部清除]。
在 [ 屬性] 區 段中,選取 [讀取 msDS-KeyCredentialLink]。
選取 [確定 ] 以儲存變更並關閉所有視窗。