Intune for Windows Hello 企業版中的身分識別保護配置檔設定
重要事項
在 2024 年 7 月,下列用於身分識別保護和帳戶保護的 Intune 配置檔已被取代,並由名為 帳戶保護的新合併配置檔取代。 此較新的配置檔可在端點安全性的帳戶保護原則節點中找到,而且是唯一可為身分識別和帳戶保護建立新原則實例的配置檔範本。 此新配置檔中的設定也可透過設定目錄取得。
您已建立之下列舊版設定檔的任何實體仍可供使用和編輯:
- 身分識別保護 – 先前可從裝置>設定>建立>新原則>Windows 10 和更新版本>範>本Identity Protection 取得
- 帳戶保護 (預覽) – 先前可從 Endpoint Security>帳戶保護>Windows 10 和更新版本>的帳戶保護 ( 預覽)
注意事項
Intune 可能支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄。
本文說明您可以使用身分識別保護配置檔管理的 Windows Hello 企業版設定。 身分識別保護配置檔是 Microsoft Intune 中裝置設定原則的一部分。 不過,自 2024 年 7 月起,身分識別 保護 的裝置組態配置檔會由 帳戶保護的端點安全性配置檔取代。 雖然您可以繼續使用先前建立的身分識別保護配置檔,但 Intune 不再支援建立新的實例。 相反地,若要管理身分識別保護的設定,請使用端點安全性 帳戶保護原則。
透過身分識別保護配置檔,您可以在不同的 Windows 10/11 裝置群組上設定設定。 若要在裝置註冊期間設定整個 Windows Hello 企業版租使用者,請參閱整合 Windows Hello 企業版與 Microsoft Intune 中的建立 Windows Hello 企業版原則。
本文說明註冊原則的設定。
您可以在 Windows Hello 檔的設定 Windows Hello 企業版原則設定中找到這些設定的其他相關信息。
Windows Hello 企業版
下列設定詳細數據僅適用於 2024 年 7 月淘汰的 Identity Protection 裝置組態配置檔範本。
設定 Windows Hello 企業版:
未設定 (預設) - 如果您不想使用 Intune 來控制 Windows Hello 企業版設定,請選取此設定。 Windows 10/11 裝置上任何現有的 Windows Hello 企業版設定不會變更。 窗格上的所有其他設定都無法使用。
停用 - 如果您不想要使用 Windows Hello 企業版,請選取此設定。 畫面上的所有其他設定則無法使用。
啟用 - 如果您想要設定 Windows Hello 企業版設定,請選取此設定。
當設定為 [啟用] 時,可以使用下列設定:
最小 PIN 碼長度
指定裝置的最小 PIN 長度,從 4 到 127 個字元。 根據預設,此設定 為 [未設定]。最大 PIN 碼長度
指定裝置的最大 PIN 長度,從 4 到 127 個字元。 根據預設,此設定 為 [未設定]。PIN 中的小寫字母
如有需要,使用者 PIN 必須包含至少一個小寫字母。 根據預設,此設定 為 [未設定]。- 不允許 - 禁止使用者在 PIN 中使用小寫字母。 如果未設定設定,也會發生此行為。
- 允許 - 允許使用者在 PIN 中使用小寫字母,但並非必要。
- 必要 - 用戶必須在 PIN 中包含至少一個小寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
PIN 中的大寫字母
如有需要,使用者 PIN 必須包含至少一個大寫字母。 根據預設,此設定 為 [未設定]。- 不允許 - 禁止使用者在 PIN 中使用大寫字母。 如果未設定設定,也會發生此行為。
- 允許 - 允許使用者在 PIN 中使用大寫字母,但並非必要。
- 必要 - 用戶必須在 PIN 中包含至少一個大寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
PIN 中的特殊字元
如有需要,使用者 PIN 必須包含至少一個特殊字元。 特殊字元包括:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- 不允許 (預設) - 禁止使用者在 PIN 中使用特殊字元。 如果未設定設定,也會發生此行為。
- 允許 - 允許使用者在 PIN 中使用大寫字母,但並非必要。
- 必要 - 用戶必須在 PIN 中包含至少一個大寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
PIN 到期日 (天)
如果設定,系統會強制用戶在設定天數之後變更其 PIN。 使用者仍然可以在到期前主動變更其 PIN。 根據預設,此設定 為 [未設定]。記住 PIN 歷程記錄
如果設定,使用者將無法重複使用此數目的先前 PIN。 根據預設,此設定 為 [未設定]。啟用 PIN 復原
允許使用者使用 Windows Hello 企業版 PIN 復原服務。- 啟用 - PIN 修復秘密會儲存在裝置上,而且使用者可以視需要變更其 PIN 碼。
- 未設定 (預設) - 不會建立或儲存修復密碼。
使用信賴平臺模組 (TPM)
TPM 晶片提供額外的數據安全性層級。- 啟用 - 只有具有可存取 TPM 的裝置才能佈建 Windows Hello 企業版。
- 未設定 (預設) - 裝置會先嘗試使用 TPM。 如果 TPM 無法使用,他們可以使用軟體加密。
允許生物特徵辨識驗證
如果允許,Windows Hello 企業版可以使用手勢進行驗證,例如臉部和指紋。 使用者仍然必須在失敗時設定 PIN。- 啟用 - Windows Hello 企業版允許生物特徵辨識驗證。
- 未設定 (預設) - Windows Hello 企業版會防止所有帳戶類型) 的生物特徵辨識驗證 (。
當可用時,請使用增強型反詐騙
啟用時,裝置會使用增強型的反詐騙功能,例如, (偵測臉部相片,而不是真實臉部) 。- 啟用 - Windows 要求所有使用者在支援臉部特徵時,都使用反詐騙功能。
- 未設定 (預設) - Windows 會接受裝置上的反詐騙設定。
內部部署資源的憑證
- 啟用 - 允許 Windows Hello 企業版使用憑證向內部部署資源進行驗證。
- 未設定 (預設) - 防止 Windows Hello 企業版使用憑證向內部部署資源進行驗證。 相反地,裝置會使用 密鑰信任內部部署驗證的預設行為。 如需詳細資訊,請參閱 Windows Hello 檔中的內部部署 驗證用戶憑證 。
使用安全性金鑰進行登入
此設定適用於執行 Windows 10 1903 版或更新版本或 Windows 11 的裝置。 使用它來管理使用 Windows Hello 安全性金鑰進行登入的支援。- 啟用 - 使用者可以使用 Windows Hello 安全性金鑰作為以此原則為目標之計算機的登入認證。
- 未設定 - 安全性金鑰已停用,且使用者無法使用這些金鑰來登入電腦。