Intune 中適用於 Windows Hello 企業版 的身分識別保護配置檔設定

  • 發行項

注意事項

Intune 可能支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄

本文說明您可以在 Identity Protection 設定檔中設定的 Windows Hello 企業版 設定。 身分識別保護配置檔是 Microsoft Intune 中裝置設定原則的一部分。 使用身分識別保護配置檔,您可以在 Windows 10/11 裝置的離散群組上設定設定。 若要設定全租使用者 Windows Hello 企業版,請參閱整合 Windows Hello 企業版 與 Microsoft Intune 中的建立 Windows Hello 企業版 原則節。 本節不僅說明如何建立整個租用戶的設定原則,也會描述註冊原則的設定。

您可以在 Windows Hello 檔的設定 Windows Hello 企業版 原則設定中找到有關這些設定的其他資訊。

若要深入瞭解 Intune 中的身分識別保護配置檔,請參閱 設定身分識別保護

開始之前

建立組態配置檔

Windows Hello 企業版

  • 設定 Windows Hello 企業版

    • 未設定 (預設) - 如果您不想使用 Intune 來控制 Windows Hello 企業版 設定,請選取此設定。 Windows 10/11 裝置上的任何現有 Windows Hello 企業版 設定不會變更。 窗格上的所有其他設定都無法使用。

    • 停用 - 如果您不想使用 Windows Hello 企業版,請選取此設定。 畫面上的所有其他設定則無法使用。

    • 啟用 - 如果您想要設定 Windows Hello 企業版 設定,請選取此設定。

    當設定為 [啟用] 時,可以使用下列設定:

    • 最小 PIN 碼長度
      指定裝置的最小 PIN 長度,從 4 到 127 個字元。 根據預設,此設定 為 [未設定]

    • 最大 PIN 碼長度
      指定裝置的最大 PIN 長度,從 4 到 127 個字元。 根據預設,此設定 為 [未設定]

    • PIN 中的小寫字母
      如有需要,使用者 PIN 必須包含至少一個小寫字母。 根據預設,此設定 為 [未設定]

      • 不允許 - 禁止使用者在 PIN 中使用小寫字母。 如果未設定設定,也會發生此行為。
      • 允許 - 允許使用者在 PIN 中使用小寫字母,但並非必要。
      • 必要 - 用戶必須在 PIN 中包含至少一個小寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。

    • PIN 中的大寫字母
      如有需要,使用者 PIN 必須包含至少一個大寫字母。 根據預設,此設定 為 [未設定]

      • 不允許 - 禁止使用者在 PIN 中使用大寫字母。 如果未設定設定,也會發生此行為。
      • 允許 - 允許使用者在 PIN 中使用大寫字母,但並非必要。
      • 必要 - 用戶必須在 PIN 中包含至少一個大寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。

    • PIN 中的特殊字元
      如有需要,使用者 PIN 必須包含至少一個特殊字元。 特殊字元包括: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • 不允許 (預設) - 禁止使用者在 PIN 中使用特殊字元。 如果未設定設定,也會發生此行為。
      • 允許 - 允許使用者在 PIN 中使用大寫字母,但並非必要。
      • 必要 - 用戶必須在 PIN 中包含至少一個大寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。

    • PIN 到期日 (天)
      如果設定,系統會強制用戶在設定天數之後變更其 PIN。 使用者仍然可以在到期前主動變更其 PIN。 根據預設,此設定 為 [未設定]

    • 記住 PIN 歷程記錄
      如果設定,使用者將無法重複使用此數目的先前 PIN。 根據預設,此設定 為 [未設定]

    • 啟用 PIN 復原
      允許使用者使用 Windows Hello 企業版 PIN 復原服務。

      • 啟用 - PIN 修復秘密會儲存在裝置上,而且使用者可以視需要變更其 PIN 碼。
      • 未設定 (預設) - 不會建立或儲存修復密碼。

    • 使用信賴平臺模組 (TPM)
      TPM 晶片提供額外的數據安全性層級。

      • 啟用 - 只有具有可存取 TPM 的裝置才能布建 Windows Hello 企業版。
      • 未設定 (預設) - 裝置會先嘗試使用 TPM。 如果 TPM 無法使用,他們可以使用軟體加密。

    • 允許生物特徵辨識驗證
      如果允許,Windows Hello 企業版 可以使用手勢進行驗證,例如臉部和指紋。 使用者仍然必須在失敗時設定 PIN。

      • 啟用 - Windows Hello 企業版 允許生物特徵辨識驗證。
      • 未設定 (預設) - Windows Hello 企業版 防止所有帳戶類型) 的生物特徵辨識驗證 (。

    • 當可用時,請使用增強型反詐騙
      啟用時,裝置會使用增強型的反詐騙功能,例如, (偵測臉部相片,而不是真實臉部) 。

      • 啟用 - Windows 要求所有使用者在支援臉部特徵時,都使用反詐騙功能。
      • 未設定 (預設) - Windows 會接受裝置上的反詐騙設定。

    • 內部部署資源的憑證

      • 啟用 - 允許 Windows Hello 企業版 使用憑證向內部部署資源進行驗證。
      • 未設定 (預設) - 防止 Windows Hello 企業版 使用憑證向內部部署資源進行驗證。 相反地,裝置會使用 密鑰信任內部部署驗證的預設行為。 如需詳細資訊,請參閱 Windows Hello 檔中的內部部署驗證的用戶憑證

  • 使用安全性金鑰進行登入
    此設定適用於執行 Windows 10 1903 版或更新版本的裝置,或 Windows 11。 使用它來管理使用 Windows Hello 安全性金鑰進行登入的支援。

    • 啟用 - 使用者可以使用 Windows Hello 安全性金鑰作為以此原則為目標之計算機的登入認證。
    • 未設定 - 安全性金鑰已停用,且使用者無法使用這些金鑰來登入電腦。

後續步驟

指派配置檔監視其狀態