共用方式為


Intune for Windows Hello 企業版中的身分識別保護配置檔設定

重要事項

在 2024 年 7 月,下列用於身分識別保護和帳戶保護的 Intune 配置檔已被取代,並由名為 帳戶保護的新合併配置檔取代。 此較新的配置檔可在端點安全性的帳戶保護原則節點中找到,而且是唯一可為身分識別和帳戶保護建立新原則實例的配置檔範本。 此新配置檔中的設定也可透過設定目錄取得。

您已建立之下列舊版設定檔的任何實體仍可供使用和編輯:

  • 身分識別保護 – 先前可從裝置>設定>建立>新原則>Windows 10 和更新版本>>本Identity Protection 取得
  • 帳戶保護 (預覽) – 先前可從 Endpoint Security>帳戶保護>Windows 10 和更新版本>的帳戶保護 ( 預覽)

注意事項

Intune 可能支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄

本文說明您可以使用身分識別保護配置檔管理的 Windows Hello 企業版設定。 身分識別保護配置檔是 Microsoft Intune 中裝置設定原則的一部分。 不過,自 2024 年 7 月起,身分識別 保護 的裝置組態配置檔會由 帳戶保護的端點安全性配置檔取代。 雖然您可以繼續使用先前建立的身分識別保護配置檔,但 Intune 不再支援建立新的實例。 相反地,若要管理身分識別保護的設定,請使用端點安全性 帳戶保護原則

透過身分識別保護配置檔,您可以在不同的 Windows 10/11 裝置群組上設定設定。 若要在裝置註冊期間設定整個 Windows Hello 企業版租使用者,請參閱整合 Windows Hello 企業版與 Microsoft Intune 中的建立 Windows Hello 企業版原則。

本文說明註冊原則的設定。

您可以在 Windows Hello 檔的設定 Windows Hello 企業版原則設定中找到這些設定的其他相關信息。

Windows Hello 企業版

下列設定詳細數據僅適用於 2024 年 7 月淘汰的 Identity Protection 裝置組態配置檔範本。

  • 設定 Windows Hello 企業版

    • 未設定 (預設) - 如果您不想使用 Intune 來控制 Windows Hello 企業版設定,請選取此設定。 Windows 10/11 裝置上任何現有的 Windows Hello 企業版設定不會變更。 窗格上的所有其他設定都無法使用。

    • 停用 - 如果您不想要使用 Windows Hello 企業版,請選取此設定。 畫面上的所有其他設定則無法使用。

    • 啟用 - 如果您想要設定 Windows Hello 企業版設定,請選取此設定。

    當設定為 [啟用] 時,可以使用下列設定:

    • 最小 PIN 碼長度
      指定裝置的最小 PIN 長度,從 4 到 127 個字元。 根據預設,此設定 為 [未設定]

    • 最大 PIN 碼長度
      指定裝置的最大 PIN 長度,從 4 到 127 個字元。 根據預設,此設定 為 [未設定]

    • PIN 中的小寫字母
      如有需要,使用者 PIN 必須包含至少一個小寫字母。 根據預設,此設定 為 [未設定]

      • 不允許 - 禁止使用者在 PIN 中使用小寫字母。 如果未設定設定,也會發生此行為。
      • 允許 - 允許使用者在 PIN 中使用小寫字母,但並非必要。
      • 必要 - 用戶必須在 PIN 中包含至少一個小寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
    • PIN 中的大寫字母
      如有需要,使用者 PIN 必須包含至少一個大寫字母。 根據預設,此設定 為 [未設定]

      • 不允許 - 禁止使用者在 PIN 中使用大寫字母。 如果未設定設定,也會發生此行為。
      • 允許 - 允許使用者在 PIN 中使用大寫字母,但並非必要。
      • 必要 - 用戶必須在 PIN 中包含至少一個大寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
    • PIN 中的特殊字元
      如有需要,使用者 PIN 必須包含至少一個特殊字元。 特殊字元包括: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • 不允許 (預設) - 禁止使用者在 PIN 中使用特殊字元。 如果未設定設定,也會發生此行為。
      • 允許 - 允許使用者在 PIN 中使用大寫字母,但並非必要。
      • 必要 - 用戶必須在 PIN 中包含至少一個大寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
    • PIN 到期日 (天)
      如果設定,系統會強制用戶在設定天數之後變更其 PIN。 使用者仍然可以在到期前主動變更其 PIN。 根據預設,此設定 為 [未設定]

    • 記住 PIN 歷程記錄
      如果設定,使用者將無法重複使用此數目的先前 PIN。 根據預設,此設定 為 [未設定]

    • 啟用 PIN 復原
      允許使用者使用 Windows Hello 企業版 PIN 復原服務。

      • 啟用 - PIN 修復秘密會儲存在裝置上,而且使用者可以視需要變更其 PIN 碼。
      • 未設定 (預設) - 不會建立或儲存修復密碼。
    • 使用信賴平臺模組 (TPM)
      TPM 晶片提供額外的數據安全性層級。

      • 啟用 - 只有具有可存取 TPM 的裝置才能佈建 Windows Hello 企業版。
      • 未設定 (預設) - 裝置會先嘗試使用 TPM。 如果 TPM 無法使用,他們可以使用軟體加密。
    • 允許生物特徵辨識驗證
      如果允許,Windows Hello 企業版可以使用手勢進行驗證,例如臉部和指紋。 使用者仍然必須在失敗時設定 PIN。

      • 啟用 - Windows Hello 企業版允許生物特徵辨識驗證。
      • 未設定 (預設) - Windows Hello 企業版會防止所有帳戶類型) 的生物特徵辨識驗證 (。
    • 當可用時,請使用增強型反詐騙
      啟用時,裝置會使用增強型的反詐騙功能,例如, (偵測臉部相片,而不是真實臉部) 。

      • 啟用 - Windows 要求所有使用者在支援臉部特徵時,都使用反詐騙功能。
      • 未設定 (預設) - Windows 會接受裝置上的反詐騙設定。
    • 內部部署資源的憑證

      • 啟用 - 允許 Windows Hello 企業版使用憑證向內部部署資源進行驗證。
      • 未設定 (預設) - 防止 Windows Hello 企業版使用憑證向內部部署資源進行驗證。 相反地,裝置會使用 密鑰信任內部部署驗證的預設行為。 如需詳細資訊,請參閱 Windows Hello 檔中的內部部署 驗證用戶憑證
  • 使用安全性金鑰進行登入
    此設定適用於執行 Windows 10 1903 版或更新版本或 Windows 11 的裝置。 使用它來管理使用 Windows Hello 安全性金鑰進行登入的支援。

    • 啟用 - 使用者可以使用 Windows Hello 安全性金鑰作為以此原則為目標之計算機的登入認證。
    • 未設定 - 安全性金鑰已停用,且使用者無法使用這些金鑰來登入電腦。

後續步驟

指派配置檔監視其狀態