使用身分識別保護配置檔在 Microsoft Intune 中管理 Windows Hello 企業版
Microsoft Intune 會使用裝置設定的 身分識別保護 配置檔,在受控 Windows 裝置上管理 Windows Hello 企業版。 Windows Hello 企業 版是一種透過取代密碼、智慧卡和虛擬智慧卡來登入 Windows 裝置的方法。
適用於:
- Windows 10
- Windows 11
當您使用 Intune Identity Protection 配置檔來管理 Windows Hello 企業版設定時,您可以.
- 為裝置和使用者啟用 Windows Hello 企業版
- 設定裝置 PIN 需求,包括最小或最大 PIN 長度
- 允許使用者可以 (或無法使用) 登入裝置的手勢,例如指紋
這項功能適用於執行下列動作的裝置:
除了身分識別保護配置檔之外,Intune 還支援下列選項來管理 Windows Hello 企業版的設定:
- 在裝置註冊期間:設定全租用戶原則,以在裝置向 Intune 註冊時將 Windows Hello 設定套用至裝置。
- 安全性基準:Windows Hello 的某些設定可以透過 Intune 的安全性基準來管理,例如 適用於端點的 Microsoft Defender 安全 性基準或 適用於 Windows 10 和更新版本的安全性基準。
- 端點安全性帳戶保護原則:帳戶保護原則包含 Windows Hello 使用的一些設定。
注意事項
針對想要設定 Windows Holographic for Business 的客戶,請使用 DeviceLock CSP
本文說明如何建立身分識別保護的裝置組態配置檔。 如需所有設定及其用途的清單,請參閱 啟用 Windows Hello 企業版的 Windows 裝置設定。
重要事項
由於 Intune 如何判斷 Windows Hello 企業版原則的範圍和適用性,因此裝置可能會因為套用原則而記錄 事件標識碼 454 。 當原則成功套用 (並強制執行) 時,可以放心地忽略此) 。
建立裝置配置檔
選 取 [裝置>管理裝置>] [組態>建立]。
輸入下列內容:
- 平台:選 取 [Windows 10 和更新版本]。
- 配置檔:選取 [範本身>分識別保護]。
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱:輸入新配置檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。
- 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
選取 [下一步] 繼續。
在 [組態設定] 中,進行下列設定:
設定 Windows Hello 企業版:選擇您要如何設定 Windows Hello 企業版:
未設定 (預設) :在裝置上布建 Windows Hello 企業 版。 僅將身分識別保護配置檔指派給使用者時,裝置內容預設為 [未設定]。
已停用:如果您不想使用 Windows Hello 企業版,請選取此選項。 此選項會停用所有使用者的 Windows Hello 企業版。
已啟用:選擇此選項以在 Intune 中 布建和設定 Windows Hello 企業版設定。 輸入您要設定的設定。 如需所有設定及其用途的清單,請參閱 - 啟用 Windows Hello 企業版的 Windows 裝置設定。
使用安全性金鑰進行登入:啟用 Windows Hello 安全性金鑰作為租使用者中所有電腦的登入認證。
- Enable
- 未設定 預設 ()
選取 [下一步] 繼續。
在 [ 指派] 中,選取將接收此配置檔的使用者和裝置群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
重要事項
若要允許將多個使用者布建到裝置,請指定將 Windows Hello 企業版原則套用至裝置。 如果原則只套用至使用者,則只能將一個使用者布建到裝置。
選取[下一步]。
在 [適用性規則] 中,使用 [規則]、[屬性] 和 [值] 選項來定義此設定檔在指派群組中套用的方式。 Intune 會將設定檔套用至符合所輸入規則的裝置。 如需適用性規則的詳細資訊,請參閱適用性規則。
選取 [下一步]。
在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。
後續步驟
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應