Intune中適用于 Windows Hello 企業版 的身分識別保護設定檔設定

注意事項

Intune可支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置組態設定檔,然後選取 [ 設定目錄]。 如需詳細資訊, 請參閱設定目錄

本文說明您可以在身分識別保護設定檔中設定的Windows Hello 企業版設定。 身分識別保護設定檔是Microsoft Intune中裝置設定原則的一部分。 透過身分識別保護設定檔,您可以在Windows 10/11 裝置的離散群組上設定設定。 若要設定全租使用者Windows Hello 企業版,請參閱整合Windows Hello 企業版與Microsoft Intune中的建立Windows Hello 企業版原則節。 本節不僅說明如何建立整個租使用者的設定原則,也會描述註冊原則的設定。

您可以在Windows Hello檔的設定Windows Hello 企業版原則設定中找到這些設定的其他相關資訊。

若要深入瞭解Intune中的身分識別保護設定檔,請參閱設定身分識別保護

在您開始之前

建立組態設定檔

Windows Hello 企業版

  • 設定Windows Hello 企業版

    • 未設定 (預設) - 如果您不想使用Intune來控制Windows Hello 企業版設定,請選取此設定。 Windows 10/11 裝置上的任何現有Windows Hello 企業版設定不會變更。 窗格上的所有其他設定都無法使用。

    • 停用- 如果您不想使用 Windows Hello 企業版,請選取此設定。 畫面上的所有其他設定則無法使用。

    • 啟用- 如果您想要設定Windows Hello 企業版設定,請選取此設定。

    當設定為 [啟用] 時,可以使用下列設定:

    • 最小 PIN 碼長度
      指定裝置的最小 PIN 長度,從 4 到 127 個字元。 根據預設,此設定 為 [未設定]

    • 最大 PIN 碼長度
      指定裝置的最大 PIN 長度,從 4 到 127 個字元。 根據預設,此設定 為 [未設定]

    • PIN 中的小寫字母
      如有需要,使用者 PIN 必須包含至少一個小寫字母。 根據預設,此設定 為 [未設定]

      • 不允許 - 禁止使用者在 PIN 中使用小寫字母。 如果未設定設定,也會發生此行為。
      • 允許 - 允許使用者在 PIN 中使用小寫字母,但並非必要。
      • 必要 - 使用者必須在 PIN 中包含至少一個小寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
    • PIN 中的大寫字母
      如有需要,使用者 PIN 必須包含至少一個大寫字母。 根據預設,此設定 為 [未設定]

      • 不允許 - 禁止使用者在 PIN 中使用大寫字母。 如果未設定設定,也會發生此行為。
      • 允許 - 允許使用者在 PIN 中使用大寫字母,但並非必要。
      • 必要 - 使用者必須在 PIN 中包含至少一個大寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
    • PIN 中的特殊字元
      如有需要,使用者 PIN 必須包含至少一個特殊字元。 特殊字元包括: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • 不允許 (預設) - 禁止使用者在 PIN 中使用特殊字元。 如果未設定設定,也會發生此行為。
      • 允許 - 允許使用者在 PIN 中使用大寫字母,但並非必要。
      • 必要 - 使用者必須在 PIN 中包含至少一個大寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
    • PIN 到期日 (天)
      如果設定,系統會強制使用者在設定天數之後變更其 PIN。 使用者仍然可以在到期前主動變更其 PIN。 根據預設,此設定 為 [未設定]

    • 記住 PIN 歷程記錄
      如果設定,使用者將無法重複使用此數目的先前 PIN。 根據預設,此設定 為 [未設定]

    • 啟用 PIN 復原
      允許使用者使用Windows Hello 企業版 PIN 復原服務。

      • 啟用 - PIN 修復秘密會儲存在裝置上,而且使用者可以視需要變更其 PIN 碼。
      • 未設定 (預設) - 不會建立或儲存修復密碼。
    • 使用信賴平臺模組 (TPM)
      TPM 晶片提供額外的資料安全性層級。

      • 啟用- 只有具有可存取 TPM 的裝置才能布建Windows Hello 企業版。
      • 未設定 (預設) - 裝置會先嘗試使用 TPM。 如果 TPM 無法使用,他們可以使用軟體加密。
    • 允許生物特徵辨識驗證
      如果允許,Windows Hello 企業版可以使用手勢進行驗證,例如臉部和指紋。 使用者仍然必須在失敗時設定 PIN。

      • 啟用- Windows Hello 企業版允許生物特徵辨識驗證。
      • 未設定 (預設) - Windows Hello 企業版會防止所有帳戶類型) 的生物特徵辨識驗證 (。
    • 當可用時,請使用增強型反詐騙
      啟用時,裝置會使用增強型的反詐騙功能,例如, (偵測臉部相片,而不是真實臉部) 。

      • 啟用 - Windows 要求所有使用者在支援臉部特徵時,都使用臉部特徵的反詐騙功能。
      • 未設定 (預設) - Windows 會接受裝置上的反詐騙設定。
    • 內部部署資源的憑證

      • 啟用- 允許Windows Hello 企業版使用憑證向內部部署資源進行驗證。
      • 未設定 (預設) - 防止Windows Hello 企業版使用憑證向內部部署資源進行驗證。 相反地,裝置會使用 金鑰信任內部部署驗證的預設行為。 如需詳細資訊,請參閱 Windows Hello 檔中的內部部署驗證的使用者憑證
  • 使用安全性金鑰進行登入
    此設定適用于執行 Windows 10 1903 版或更新版本的裝置,或Windows 11。 使用它來管理使用Windows Hello安全性金鑰進行登入的支援。

    • 啟用- 使用者可以使用Windows Hello安全性金鑰作為以此原則為目標之電腦的登入認證。
    • 未設定 - 安全性金鑰已停用,且使用者無法使用這些金鑰來登入電腦。

後續步驟

指派設定檔監視其狀態