在組織中實作 Microsoft Passport
您可以在執行 Windows 10 的裝置上,建立將會實作 Microsoft Passport 的群組原則或行動裝置管理 (MDM) 原則。
重要事項
群組原則設定 [開啟 PIN 登入] 不適用於 Windows 10。使用 [Microsoft Passport for Work]**** 原則設定管理 PIN。
Passport 的群組原則設定
下表列出您可以在您的工作地點針對 Passport 用途設定的群組原則設定。這些原則設定可在 [電腦設定] > [原則]**** > [系統管理範本] > [Windows 元件]**** > [Microsoft Passport for Work] 中取得。
| 原則 | 選項 | |
|---|---|---|
| 使用 Microsoft Passport for Work |
未設定:使用者可以佈建 Passport for Work 以加密其網域密碼。 已啟用:裝置會使用金鑰或憑證,為所有使用者佈建 Passport for Work。 已停用:裝置不會為任何使用者佈建 Passport for Work。 | |
| 使用硬體安全性裝置 |
未設定:若 TPM 可用,將會使用 TPM 佈建 Passport for Work;若 TPM 無法使用,則會使用軟體佈建。 已啟用:只會使用 TPM 佈建 Passport for Work。 已停用:若 TPM 可用,將會使用 TPM 佈建 Passport for Work;若 TPM 無法使用,則會使用軟體佈建。 | |
| 使用生物識別技術 |
未設定:生物特徵辨識技術可做為取代 PIN 的手勢。 已啟用:生物特徵辨識技術可做為取代 PIN 的手勢。 已停用:只有 PIN 可做為手勢。 | |
| PIN 複雜度 | 需要有數字 |
未設定:使用者必須在其 PIN 中包含一個數字。 已啟用:使用者必須在其 PIN 中包含一個數字。 已停用:使用者無法在其 PIN 中使用數字。 |
| 使用有小寫字母 |
未設定:使用者無法在其 PIN 中使用小寫字母。 已啟用:使用者必須在其 PIN 中至少包含一個小寫字母。 已停用:使用者無法在其 PIN 中使用小寫字母。 | |
| 最大 PIN 長度 |
未設定:PIN 長度必須小於或等於 127。 已啟用:PIN 長度必須小於或等於您指定的數字。 已停用:PIN 長度必須小於或等於 127。 | |
| 最小 PIN 長度 |
未設定:PIN 長度必須大於或等於 4。 已啟用:PIN 長度必須大於或等於您指定的數字。 已停用:PIN 長度必須大於或等於 4。 | |
| 到期 |
未設定:PIN 不會到期。 已啟用:PIN 可以設定為在 1 到 730 之間的任何天數後到期,或者 PIN 可以設定為永遠不會到期 (透過將原則設定為 0)。 已停用:PIN 不會到期。 | |
| 歷程記錄 |
未設定:不會儲存之前的 PIN。 已啟用:指定可以與無法重複使用的使用者帳戶相關聯的之前 PIN 數目。 已停用:不會儲存之前的 PIN。 注意 目前的 PIN 包含在 PIN 歷程記錄中。 | |
| 需要有特殊字元 |
未設定:使用者無法在其 PIN 中包含特殊字元。 已啟用:使用者必須在其 PIN 中至少包含一個特殊字元。 已停用:使用者無法在其 PIN 中包含特殊字元。 | |
| 需要有大寫字母 |
未設定:使用者無法在其 PIN 中包含大寫字母。 已啟用:使用者必須在其 PIN 中至少包含一個大寫字母。 已停用:使用者無法在其 PIN 中包含大寫字母。 | |
| Remote Passport |
使用 Remote Passport 注意 僅適用於桌上型電腦。手機登入目前受限於特定 Technology Adoption Program (TAP) 參與者。 |
未設定:停用 Remote Passport。 已啟用:使用者可以使用已註冊的可攜式裝置做為隨附裝置以進行桌上型電腦驗證。 已停用:停用 Remote Passport。 |
Passport 的 MDM 原則設定
下表列出您可以在您的工作地點針對 Passport 用途設定的 MDM 原則設定。這些 MDM 原則設定使用 PassportForWork 設定服務提供者 (CSP)。
| 原則 | 領域 | 預設值 | 選項 | |
|---|---|---|---|---|
| UsePassportForWork | 裝置 | True |
True:會為裝置上的所有使用者佈建 Passport。 False:使用者將無法佈建 Passport。 注意 如果啟用 Passport,然後將原則變更為 False,先前設定 Passport 的使用者可以繼續使用,但將無法在其他裝置上設定 Passport。 | |
| RequireSecurityDevice | 裝置 | False |
True:只會使用 TPM 佈建 Passport。 False:若 TPM 可用,將會使用 TPM 佈建 Passport;若 TPM 無法使用,則會使用軟體佈建。 | |
| 生物特徵辨識 |
UseBiometrics | 裝置 | False |
True:生物特徵辨識技術可做為取代 PIN 的手勢以進行網域登入。 False:只有 PIN 可做為手勢以進行網域登入。 |
|
FacialFeaturesUser EnhancedAntiSpoofing | 裝置 | 未設定 |
未設定:使用者可以選擇是否要開啟增強型反詐騙。 True:在支援增強型反詐騙的裝置上需要有增強型反詐騙。 False:使用者無法開啟增強型反詐騙。 | |
| PINComplexity | ||||
| 數字 | 裝置或使用者 | 2 |
1:不允許數字。 2:至少需要一個數字。 | |
| 小寫字母 | 裝置或使用者 | 1 |
1:不允許小寫字母。 2:至少需要一個小寫字母。 | |
| 最大 PIN 長度 | 裝置或使用者 | 127 |
可以設定的最大長度為 127。最大長度不可以小於最小設定。 | |
| 最小 PIN 長度 | 裝置或使用者 | 4 |
可以設定的最小長度為 4。最小長度不可以超過最大設定。 | |
| 到期 | 裝置或使用者 | 0 |
整數值會指定系統要求使用者變更之前可以使用 PIN 的時間 (天數)。您可以為此原則設定設定的最大數字為 730。您可以為此原則設定設定的最小數字為 0。如果此原則設定為 0,則使用者的 PIN 將永遠不會到期。 | |
| 歷程記錄 | 裝置或使用者 | 0 |
整數值,指定可以與無法重複使用的使用者帳戶相關聯的之前 PIN 數目。您可以為此原則設定設定的最大數字為 50。您可以為此原則設定設定的最小數字為 0。如果此原則設定為 0,則不需要儲存之前的 PIN。 | |
| 特殊字元 | 裝置或使用者 | 1 |
1:不允許特殊字元。 2:至少需要一個特殊字元。 | |
| 大寫字母 | 裝置或使用者 | 1 |
1:不允許大寫字母 2:至少需要一個大寫字母 | |
| Remote |
UseRemotePassport 注意 僅適用於桌上型電腦。手機登入目前受限於特定 Technology Adoption Program (TAP) 參與者。 | 裝置或使用者 | False |
True:啟用 Remote Passport。 False:停用 Remote Passport。 |
注意
如果原則沒有設定為明確要求字母或特殊字元,使用者會受限只能建立數字 PIN。
先決條件
您需要此軟體才能在您的企業中設定 Microsoft Passport 原則。
| Microsoft Passport 模式 | Azure AD | Active Directory (AD) 內部部署 (適用於生產版本的 Windows Server 2016 Technical Preview) | Active AD/AD 混合式 (適用於生產版本的 Windows Server 2016 Technical Preview) |
|---|---|---|---|
| 金鑰型驗證 | Azure AD 訂用帳戶 |
|
|
| 憑證式驗證 |
|
|
|
Configuration Manager 和 MDM 提供管理 Passport 原則的能力,以及部署並管理受 Passport 保護之憑證的能力。
Azure AD 提供向您的企業註冊裝置,並針對組織帳戶佈建 Passport 的能力。
若網域控制站是執行 Windows 10,且 Microsoft Passport 在 Windows 10 AD FS 中佈建服務,Active Directory 可提供使用受 Passport 保護之金鑰來授權使用者與裝置的功能。
Passport for BYOD
Passport 可以在您的員工用於工作的個人裝置上使用 MDM 進行管理。在個人裝置上,使用者可以建立用於解除鎖定裝置的個人 Passport PIN,以及用於存取工作資源的另一個工作 PIN。
工作 PIN 的管理方式是使用您可以在組織擁有的裝置上用來管理 Passport 的相同 Passport 原則。個人 PIN 則是另外使用 DeviceLock 原則進行管理。DeviceLock 原則可以用來控制長度、複雜度、歷程記錄,以及到期的需求,而且可以使用原則設定服務提供者進行設定。
相關主題
使用 Microsoft Passport 管理身分識別驗證