使用 Microsoft Intune,您可以建立全租用戶原則,以在裝置上註冊 Windows Hello 企業版時,在這些裝置上使用。 此原則以整個組織為目標,並支援 Windows Autopilot 現成體驗 (OOBE) 。
針對 Windows 裝置,使用 Windows Hello 企業版會取代在裝置上使用強式雙因素驗證來取代密碼的使用。 此驗證包含繫結至裝置的使用者認證,並使用生物特徵辨識或 PIN。
在裝置註冊之後,或當您選擇不使用全租用戶註冊原則時,Intune 支援下列方法來管理離散裝置群組上的 Windows Hello:
端點安全性帳戶保護原則:若要在裝置註冊 Intune 之後管理裝置上的 Windows Hello 設定,請使用 Intune 帳戶保護配置檔,這是端點安全性帳戶保護原則的一部分。
安全性基準:Windows Hello 的某些設定可以由安全性基準管理,例如適用於端點的 Microsoft Defender 安全性的基準或 Windows 10 和更新版本的安全性基準。
設定目錄:端點安全性帳戶保護配置檔的設定可在 Intune 設定目錄中使用。
重要事項
在週年更新 (Windows 1607 版) 之前,您可以設定兩個不同的 PIN,可用來向資源進行驗證:
- 裝置 PIN 可用於解鎖裝置並連線到雲端資源。
- 工作 PIN 用於 (BYOD) 存取使用者個人裝置上的Microsoft Entra資源。
在週年更新中,這兩個 PIN 碼合併為一個裝置 PIN。 您設定為控制裝置 PIN 的任何 Intune 設定原則,以及您設定的任何 Windows Hello 企業版原則,現在都會設定此新的 PIN 值。 如果您已設定這兩個原則類型來控制 PIN,則會套用 Windows Hello 企業版原則。 若要確保原則衝突已解決,且 PIN 原則已正確套用,請更新您的 Windows Hello 企業版原則,以符合組態原則中的設定,並要求使用者在公司入口網站應用程式中同步處理其裝置。
角色型存取控制
您必須是 Intune 服務系統管理員,才能在 Windows 註冊中建立或編輯 Windows Hello 企業版原則。 所有其他 Intune 角色都有唯讀存取權。 如需角色型存取控制 (RBAC) 的詳細資訊,請參閱 使用 Microsoft Intune 的 RBAC。
建立裝置註冊的 Windows Hello 企業版原則
移至 [裝置>註冊]。
在 [Windows] 索引標籤的 [註冊選項] 底下,選取 [Windows Hello 企業版]。 等候 Windows Hello 企業版窗格開啟。
從下列設定 Windows Hello 企業版選項中選取:
已啟用。 如果您想要設定 Windows Hello 企業版設定,請選取此設定。 當您選取 [已啟用] 時,會顯示 Windows Hello 的其他設定,而且可以針對裝置進行設定。
已停用。 如果您不想在裝置註冊期間啟用 Windows Hello 企業版,請選取此選項。 停用時,使用者無法布建 Windows Hello 企業版。 設定為 [已停用] 時,您仍然可以設定 Windows Hello 企業版的後續設定,即使此原則不會啟用 Windows Hello 企業版。
未設定。 如果您不想使用 Intune 來控制 Windows Hello 企業版設定,請選取此設定。 Windows 裝置上任何現有的 Windows Hello 企業版設定都不會變更。 窗格上的所有其他設定都無法使用。
如果您在上一個步驟中選取了 [已啟用] ,請設定套用至所有已註冊 Windows 裝置的必要設定。 設定這些設定之後,請選取 [儲存]。
使用可信任的平台模組 (TPM) :
TPM 晶片提供了另一層資料安全。 請選擇下列其中一個值:
- 預設) (必要。 只有具有可存取 TPM 的裝置才能布建 Windows Hello 企業版。
- 首選。 裝置會先嘗試使用 TPM。 如果此選項無法使用,他們可以使用軟體加密。
最小 PIN 碼長度和最大 PIN 碼長度:
將裝置設定為使用您指定的最小和最大 PIN 長度,以協助確保安全登入。 預設 PIN 長度為 6 個字元,但您可以強制執行最小長度為 4 個字元。 PIN 長度上限為 127 個字元。
PIN 中的小寫字母、 PIN 中的大寫字母和 PIN 中的特殊字元。
您可以要求在 PIN 中使用大寫字母、小寫字母和特殊字元,以強制執行更強的 PIN。 對於每個項目,請從下列項目中選取:
允許:使用者可以在其 PIN 中使用字元類型,但這不是強制性的。
必要:使用者必須在其 PIN 中包含至少一種字元類型。 例如,通常需要至少一個大寫字母和一個特殊字元。
預設) 不允許 (:使用者不得在其 PIN 中使用這些字元類型。 (如果未設定設定,這也是行為 )
特殊字符包括: !“ # $ % & ' ( ) * + , - ./ : ; < = > ?@ [ \ ] ^ _ ' { | } ~
PIN 碼有效期 (天) :
最好指定 PIN 的到期期限,之後使用者必須變更它。 預設值為 41 天。
記住 PIN 歷史記錄:
限制重複使用先前使用的 PIN。 根據預設,無法重複使用最後 5 個 PIN。
允許生物辨識驗證:
啟用生物特徵辨識驗證,例如臉部辨識或指紋,作為 Windows Hello 企業版 PIN 的替代方案。 使用者仍必須設定工作 PIN,以防生物特徵驗證失敗。 從以下選項中選擇:
- 是。 Windows Hello 企業版允許生物特徵辨識驗證。
- 否。 Windows Hello for Business 可防止) 所有帳戶類型 (生物特徵驗證。
使用增強型反詐騙 (如果可用):
設定是否在支援 Windows Hello 的裝置上使用反詐騙功能。 例如,偵測臉部照片而不是真臉。
設定為 [ 是] 時,Windows 會要求所有使用者在支援時針對臉部特徵使用反詐騙。
允許手機登入:
如果此選項設定為 是,使用者可以使用遠端護照作為桌上型電腦驗證的可攜式配套裝置。 桌上型電腦必須加入 Microsoft Entra,而且隨附裝置必須設定 Windows Hello 企業版 PIN。
啟用增強的登入安全性:
在具有支援硬體的裝置上設定 Windows Hello 增強型登入安全性。 選項包括:
- 增強的登入安全性會在具有功能硬體的系統上啟用 (預設) :裝置使用者無法使用外部周邊裝置登入其裝置,並Windows Hello。
- 增強的登入安全性將會在所有系統上停用:裝置使用者可以使用與 Windows Hello 相容的外部周邊裝置來登入其裝置。
使用安全金鑰登入:
設定為 [已啟用] 時,此設定可提供遠端開啟/關閉客戶組織中所有電腦的 Windows Hello 安全性金鑰的容量。
Windows Holographic for Business 支援
Windows Holographic for Business 支援 Windows Hello 企業版的下列設定:
- 使用信賴平臺模組 (TPM)
- 最小 PIN 碼長度
- 最大 PIN 碼長度
- PIN 中的小寫字母
- PIN 中的大寫字母
- PIN 中的特殊字元
- PIN 到期日 (天)
- 記住 PIN 歷程記錄
後續步驟
從 Windows Hello 檔中的下列主題深入瞭解 Windows Hello: