共用方式為


在組織中實作 Microsoft Passport

您可以在執行 Windows 10 的裝置上,建立將會實作 Microsoft Passport 的群組原則或行動裝置管理 (MDM) 原則。

重要事項  

群組原則設定 [開啟 PIN 登入] 不適用於 Windows 10。使用 [Microsoft Passport for Work]**** 原則設定管理 PIN。

 

Passport 的群組原則設定

下表列出您可以在您的工作地點針對 Passport 用途設定的群組原則設定。這些原則設定可在 [電腦設定] > [原則]**** > [系統管理範本] > [Windows 元件]**** > [Microsoft Passport for Work] 中取得。

原則選項
使用 Microsoft Passport for Work

未設定:使用者可以佈建 Passport for Work 以加密其網域密碼。

已啟用:裝置會使用金鑰或憑證,為所有使用者佈建 Passport for Work。

已停用:裝置不會為任何使用者佈建 Passport for Work。

使用硬體安全性裝置

未設定:若 TPM 可用,將會使用 TPM 佈建 Passport for Work;若 TPM 無法使用,則會使用軟體佈建。

已啟用:只會使用 TPM 佈建 Passport for Work。

已停用:若 TPM 可用,將會使用 TPM 佈建 Passport for Work;若 TPM 無法使用,則會使用軟體佈建。

使用生物識別技術

未設定:生物特徵辨識技術可做為取代 PIN 的手勢。

已啟用:生物特徵辨識技術可做為取代 PIN 的手勢。

已停用:只有 PIN 可做為手勢。

PIN 複雜度需要有數字

未設定:使用者必須在其 PIN 中包含一個數字。

已啟用:使用者必須在其 PIN 中包含一個數字。

已停用:使用者無法在其 PIN 中使用數字。

使用有小寫字母

未設定:使用者無法在其 PIN 中使用小寫字母。

已啟用:使用者必須在其 PIN 中至少包含一個小寫字母。

已停用:使用者無法在其 PIN 中使用小寫字母。

最大 PIN 長度

未設定:PIN 長度必須小於或等於 127。

已啟用:PIN 長度必須小於或等於您指定的數字。

已停用:PIN 長度必須小於或等於 127。

最小 PIN 長度

未設定:PIN 長度必須大於或等於 4。

已啟用:PIN 長度必須大於或等於您指定的數字。

已停用:PIN 長度必須大於或等於 4。

到期

未設定:PIN 不會到期。

已啟用:PIN 可以設定為在 1 到 730 之間的任何天數後到期,或者 PIN 可以設定為永遠不會到期 (透過將原則設定為 0)。

已停用:PIN 不會到期。

歷程記錄

未設定:不會儲存之前的 PIN。

已啟用:指定可以與無法重複使用的使用者帳戶相關聯的之前 PIN 數目。

已停用:不會儲存之前的 PIN。

注意  目前的 PIN 包含在 PIN 歷程記錄中。
 
需要有特殊字元

未設定:使用者無法在其 PIN 中包含特殊字元。

已啟用:使用者必須在其 PIN 中至少包含一個特殊字元。

已停用:使用者無法在其 PIN 中包含特殊字元。

需要有大寫字母

未設定:使用者無法在其 PIN 中包含大寫字母。

已啟用:使用者必須在其 PIN 中至少包含一個大寫字母。

已停用:使用者無法在其 PIN 中包含大寫字母。

Remote Passport

使用 Remote Passport

注意  僅適用於桌上型電腦。手機登入目前受限於特定 Technology Adoption Program (TAP) 參與者。
 

未設定:停用 Remote Passport。

已啟用:使用者可以使用已註冊的可攜式裝置做為隨附裝置以進行桌上型電腦驗證。

已停用:停用 Remote Passport。

 

Passport 的 MDM 原則設定

下表列出您可以在您的工作地點針對 Passport 用途設定的 MDM 原則設定。這些 MDM 原則設定使用 PassportForWork 設定服務提供者 (CSP)

原則領域預設值選項
UsePassportForWork裝置True

True:會為裝置上的所有使用者佈建 Passport。

False:使用者將無法佈建 Passport。

注意  如果啟用 Passport,然後將原則變更為 False,先前設定 Passport 的使用者可以繼續使用,但將無法在其他裝置上設定 Passport。
 
RequireSecurityDevice裝置False

True:只會使用 TPM 佈建 Passport。

False:若 TPM 可用,將會使用 TPM 佈建 Passport;若 TPM 無法使用,則會使用軟體佈建。

生物特徵辨識

UseBiometrics

裝置False

True:生物特徵辨識技術可做為取代 PIN 的手勢以進行網域登入。

False:只有 PIN 可做為手勢以進行網域登入。

FacialFeaturesUser

EnhancedAntiSpoofing

裝置未設定

未設定:使用者可以選擇是否要開啟增強型反詐騙。

True:在支援增強型反詐騙的裝置上需要有增強型反詐騙。

False:使用者無法開啟增強型反詐騙。

PINComplexity
數字裝置或使用者2

1:不允許數字。

2:至少需要一個數字。

小寫字母裝置或使用者1

1:不允許小寫字母。

2:至少需要一個小寫字母。

最大 PIN 長度裝置或使用者127

可以設定的最大長度為 127。最大長度不可以小於最小設定。

最小 PIN 長度裝置或使用者4

可以設定的最小長度為 4。最小長度不可以超過最大設定。

到期裝置或使用者0

整數值會指定系統要求使用者變更之前可以使用 PIN 的時間 (天數)。您可以為此原則設定設定的最大數字為 730。您可以為此原則設定設定的最小數字為 0。如果此原則設定為 0,則使用者的 PIN 將永遠不會到期。

歷程記錄裝置或使用者0

整數值,指定可以與無法重複使用的使用者帳戶相關聯的之前 PIN 數目。您可以為此原則設定設定的最大數字為 50。您可以為此原則設定設定的最小數字為 0。如果此原則設定為 0,則不需要儲存之前的 PIN。

特殊字元裝置或使用者1

1:不允許特殊字元。

2:至少需要一個特殊字元。

大寫字母裝置或使用者1

1:不允許大寫字母

2:至少需要一個大寫字母

Remote

UseRemotePassport

注意  僅適用於桌上型電腦。手機登入目前受限於特定 Technology Adoption Program (TAP) 參與者。
 
裝置或使用者False

True:啟用 Remote Passport

False:停用 Remote Passport

 

注意  

如果原則沒有設定為明確要求字母或特殊字元,使用者會受限只能建立數字 PIN。

 

先決條件

您需要此軟體才能在您的企業中設定 Microsoft Passport 原則。

Microsoft Passport 模式 Azure AD Active Directory (AD) 內部部署 (適用於生產版本的 Windows Server 2016 Technical Preview) Active AD/AD 混合式 (適用於生產版本的 Windows Server 2016 Technical Preview)
金鑰型驗證 Azure AD 訂用帳戶
  • Active Directory Federation Service (AD FS) (Windows Server 2016 Technical Preview)
  • 幾部現場 Windows Server 2016 Technical Preview 網域控制站
  • Microsoft System Center 2012 R2 Configuration Manager SP2
  • Azure AD 訂用帳戶
  • Azure AD Connect
  • 幾部現場 Windows Server 2016 Technical Preview 網域控制站
  • 管理解決方案,例如 Configuration Manager、群組原則或 MDM
  • 不具備網路裝置註冊服務 (NDES) 的 Active Directory 憑證服務 (AD CS)
憑證式驗證
  • Azure AD 訂用帳戶
  • Intune 或非 Microsoft 行動裝置管理 (MDM) 解決方案
  • PKI 基礎結構
  • ADFS (Windows Server 2016 Technical Preview)
  • Active Directory 網域服務 (AD DS) Windows Server 2016 Technical Preview 結構描述
  • PKI 基礎結構
  • Configuration Manager SP2、Intune,或非 Microsoft MDM 解決方案
  • Azure AD 訂用帳戶
  • Azure AD Connect
  • 具備 NDES 的 AD CS
  • Configuration Manager (最新分支) 或適用於已加入網域憑證註冊的 Configuration Manager 2016 Technical Preview,或適用於未加入網域裝置的 InTune,或支援 Passport for Work 的非 Microsoft MDM 服務

 

Configuration Manager 和 MDM 提供管理 Passport 原則的能力,以及部署並管理受 Passport 保護之憑證的能力。

Azure AD 提供向您的企業註冊裝置,並針對組織帳戶佈建 Passport 的能力。

若網域控制站是執行 Windows 10,且 Microsoft Passport 在 Windows 10 AD FS 中佈建服務,Active Directory 可提供使用受 Passport 保護之金鑰來授權使用者與裝置的功能。

Passport for BYOD

Passport 可以在您的員工用於工作的個人裝置上使用 MDM 進行管理。在個人裝置上,使用者可以建立用於解除鎖定裝置的個人 Passport PIN,以及用於存取工作資源的另一個工作 PIN。

工作 PIN 的管理方式是使用您可以在組織擁有的裝置上用來管理 Passport 的相同 Passport 原則。個人 PIN 則是另外使用 DeviceLock 原則進行管理。DeviceLock 原則可以用來控制長度、複雜度、歷程記錄,以及到期的需求,而且可以使用原則設定服務提供者進行設定。

相關主題

企業中的 Windows Hello 生物識別技術

為什麼 PIN 更勝於密碼

使用 Microsoft Passport 管理身分識別驗證

讓使用者準備使用 Microsoft Passport

Microsoft Passport 與密碼變更

PIN 建立期間的 Microsoft Passport 錯誤

事件識別碼 300 - 已順利建立 Passport