Vállalati Windows Hello konfigurálása az eszközökön, amikor regisztrálnak az Intune
A Microsoft Intune segítségével bérlőszintű szabályzatot hozhat létre, amely konfigurálja a Vállalati Windows Hello használatát Windows 10 vagy Windows 11 eszközökön, amikor az eszközök regisztrálnak az Intune. Ez a szabályzat a teljes szervezetet célozza, és támogatja a Windows Autopilot kezdőélményt (OOBE).
A Windows 10/11-es eszközök esetében a Vállalati Windows Hello használata a jelszavak használatát erős kétfaktoros hitelesítésre cseréli az eszközökön. Ez a hitelesítés olyan felhasználói hitelesítő adatokból áll, amelyek egy eszközhöz kapcsolódnak, és biometrikus vagy PIN-kódot használnak.
Az eszközregisztrációt követően, vagy ha úgy dönt, hogy nem használja a bérlőszintű regisztrációs szabályzatot, Intune a következő módszereket támogatja a különálló eszközcsoportok Windows Hello kezelésére:
Végpontbiztonsági fiókvédelmi szabályzat: A Windows Hello beállításainak a Intune való regisztrálását követően történő kezeléséhez használja az Intune Fiókvédelmi profilt, amely a végpontbiztonsági fiókvédelmi szabályzat része.
Biztonsági alapkonfigurációk: A Windows Hello egyes beállításait olyan biztonsági alapkonfigurációk kezelhetik, mint az Végponthoz készült Microsoft Defender biztonsági alapkonfigurációi vagy Windows 10 és újabb biztonsági alapkonfigurációk.
Beállításkatalógus: A végpontbiztonsági fiókvédelmi profilok beállításai a Intune beállításkatalógusában érhetők el.
Fontos
Az évfordulós frissítés (Windows 1607-es verzió) előtt két különböző PIN-kódot állíthat be az erőforrások hitelesítéséhez:
- Az eszköz PIN-kódjának használatával feloldható az eszköz zárolása, és csatlakozhat a felhőbeli erőforrásokhoz.
- A munkahelyi PIN-kódot a felhasználó személyes eszközén (BYOD) Microsoft Entra erőforrások eléréséhez használták.
Az évfordulós frissítésben ezt a két PIN-kódot egyetlen eszköz PIN-kódjába egyesítették. Az eszköz PIN-kódjának vezérléséhez beállított Intune konfigurációs szabályzatok, valamint az Ön által konfigurált Vállalati Windows Hello szabályzatok, most már mindkettő ezt az új PIN-kódot állítja be. Ha mindkét házirendtípust beállította a PIN-kód szabályozására, a rendszer alkalmazza a Vállalati Windows Hello házirendet. A szabályzatütközések feloldásának és a PIN-kód-szabályzat megfelelő alkalmazásának biztosításához frissítse a Vállalati Windows Hello-szabályzatot a konfigurációs szabályzat beállításainak megfelelően, és kérje meg a felhasználókat, hogy szinkronizálják eszközeiket az Céges portál alkalmazásban.
Szerepköralapú hozzáférés-vezérlés
Vállalati Windows Hello-szabályzat létrehozásához vagy szerkesztéséhez Intune szolgáltatásadminisztrátornak kell lennie a Windows-regisztrációban. Minden más Intune szerepkör csak olvasási hozzáféréssel rendelkezik. A szerepköralapú hozzáférés-vezérléssel (RBAC) kapcsolatos további információkért lásd: RBAC with Microsoft Intune.
Vállalati Windows Hello-szabályzat létrehozása az eszközregisztrációhoz
Jelentkezzen be a Microsoft Intune felügyeleti központba.
Lépjen az Eszközök>regisztrálása területre.
A Windows lap Regisztrációs beállítások területén válassza a Vállalati Windows Hello lehetőséget. Várjon, amíg megnyílik a Vállalati Windows Hello panel.
A Vállalati Windows Hello konfigurálásához válasszon az alábbi lehetőségek közül:
Engedélyezve. Válassza ezt a beállítást, ha Vállalati Windows Hello beállításokat szeretné konfigurálni. Ha az Engedélyezve lehetőséget választja, a Windows Hello egyéb beállításai is láthatók lesznek, és konfigurálhatók az eszközökhöz.
Letiltva. Ha nem szeretné engedélyezni a Vállalati Windows Hello az eszközregisztráció során, válassza ezt a lehetőséget. Ha le van tiltva, a felhasználók nem építhetnek ki Vállalati Windows Hello. Ha a Letiltva értékre van állítva, akkor is konfigurálhatja a Vállalati Windows Hello további beállításait, még akkor is, ha ez a szabályzat nem engedélyezi Vállalati Windows Hello.
Nincs konfigurálva. Válassza ezt a beállítást, ha nem szeretné Intune használni a Vállalati Windows Hello beállításainak vezérléséhez. A Windows 10/11-eszközök meglévő Vállalati Windows Hello beállításai nem változnak. A panelen lévő összes többi beállítás nem érhető el.
Ha az előző lépésben az Engedélyezve lehetőséget választotta, konfigurálja az összes regisztrált Windows 10/11-eszközön alkalmazott szükséges beállításokat. Miután konfigurálta ezeket a beállításokat, válassza a Mentés lehetőséget.
Platformmegbízhatósági modul (TPM) használata:
A TPM-lapka az adatbiztonság egy másik rétegét biztosítja. Válasszon az alábbi értékek közül:
- Kötelező (alapértelmezett). Csak az akadálymentes TPM-et használó eszközök építhetnek ki Vállalati Windows Hello.
- Előnyben részesített. Az eszközök először TPM-et próbálnak használni. Ha ez a lehetőség nem érhető el, használhatnak szoftveres titkosítást.
PIN-kód minimális hossza és PIN-kód maximális hossza:
Úgy konfigurálja az eszközöket, hogy a megadott minimális és maximális PIN-kódhosszt használják a biztonságos bejelentkezés biztosítása érdekében. A PIN-kód alapértelmezett hossza hat karakter, de legalább négy karaktert kényszeríthet ki. A PIN-kód maximális hossza 127 karakter.
Kisbetűk a PIN-kódban, nagybetűk a PIN-kódban és Speciális karakterek a PIN-kódban.
Erősebb PIN-kódot is kényszeríthet, ha a PIN-kódban nagybetűket, kisbetűket és speciális karaktereket kell használnia. Mindegyikhez válasszon az alábbiak közül:
Engedélyezett: A felhasználók használhatják a karaktertípust a PIN-kódjukban, de ez nem kötelező.
Kötelező: A felhasználóknak tartalmazniuk kell legalább egy karaktertípust a PIN-kódjukban. Gyakori gyakorlat például, hogy legalább egy nagybetűt és egy speciális karaktert kell megadni.
Nem engedélyezett (alapértelmezett): A felhasználók nem használhatják ezeket a karaktertípusokat a PIN-kódjukban. (Ez a viselkedés akkor is így van, ha a beállítás nincs konfigurálva.)
Speciális karakterek: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~
PIN-kód lejárata (nap)::
Érdemes megadni a PIN-kód lejárati idejét, amely után a felhasználóknak módosítaniuk kell azt. Az alapértelmezett érték 41 nap.
Pin-előzmények megjegyzése:
Korlátozza a korábban használt PIN-kód újbóli használatát. Alapértelmezés szerint az utolsó 5 PIN-szám nem használható fel újra.
Biometrikus hitelesítés engedélyezése:
Lehetővé teszi a biometrikus hitelesítést, például az arcfelismerést vagy az ujjlenyomatot a PIN-kód helyett a Vállalati Windows Hello. A felhasználóknak továbbra is konfigurálnia kell egy munkahelyi PIN-kódot arra az esetre, ha a biometrikus hitelesítés meghiúsul. Válasszon a következő lehetőségek közül:
- Igen. Vállalati Windows Hello lehetővé teszi a biometrikus hitelesítést.
- Nem. Vállalati Windows Hello megakadályozza a biometrikus hitelesítést (minden fióktípus esetében).
Ha elérhető, használjon továbbfejlesztett hamisítás elleni hamisítást:
Konfigurálja, hogy a Windows Hello hamisítás elleni funkcióit használják-e az azt támogató eszközökön. Például egy arcról készült fénykép észlelése valódi arc helyett.
Ha az Igen értékre van állítva, a Windows megköveteli, hogy minden felhasználó hamisítás elleni hamisítást használjon az arcfelismeréshez, ha az támogatott.
Telefonos bejelentkezés engedélyezése:
Ha ez a beállítás Igen értékre van állítva, a felhasználók távoli útlevelet használhatnak hordozható társeszközként az asztali számítógép hitelesítéséhez. Az asztali számítógépet Microsoft Entra kell csatlakoztatni, a társeszközt pedig Vállalati Windows Hello PIN-kóddal kell konfigurálni.
Fokozott bejelentkezési biztonság engedélyezése:
Konfigurálja Windows Hello fokozott bejelentkezési biztonságot a kompatibilis hardverrel rendelkező eszközökön. Az Ön lehetőségei:
- A fokozott bejelentkezési biztonság engedélyezve lesz a kompatibilis hardverrel rendelkező rendszereken (alapértelmezett): Az eszköz felhasználói nem használhatnak külső perifériákat az eszközre való bejelentkezéshez Windows Hello.
- A fokozott bejelentkezési biztonság minden rendszeren le lesz tiltva: Az eszközfelhasználók a Windows Hello kompatibilis külső perifériákkal jelentkezhetnek be az eszközükre.
A bejelentkezéshez használjon biztonsági kulcsokat:
Ha engedélyezve van, ez a beállítás lehetővé teszi a biztonsági kulcsok távoli bekapcsolását Windows Hello az ügyfél szervezetének összes számítógépéhez.
Windows Holographic for Business támogatása
Windows Holographic for Business a Vállalati Windows Hello alábbi beállításait támogatja:
- Platformmegbízhatósági modul (TPM) használata
- PIN-kód minimális hossza
- PIN-kód maximális hossza
- Kisbetűk a PIN-kódban
- Nagybetűk a PIN-kódban
- Speciális karakterek a PIN-kódban
- PIN-kód lejárata (nap)
- PIN-előzmények megjegyzése
Következő lépések
A windowsos dokumentáció Windows Hello a következő témakörökből tudhat meg többet: