Megosztás a következőn keresztül:

Vállalati Windows Hello konfigurálása az eszközökön, amikor regisztrálnak az Intune

  • Cikk

A Microsoft Intune segítségével bérlőszintű szabályzatot hozhat létre, amely konfigurálja a Vállalati Windows Hello használatát Windows 10 vagy Windows 11 eszközökön, amikor az eszközök regisztrálnak az Intune. Ez a szabályzat a teljes szervezetet célozza, és támogatja a Windows Autopilot kezdőélményt (OOBE).

A Windows 10/11-es eszközök esetében a Vállalati Windows Hello használata a jelszavak használatát erős kétfaktoros hitelesítésre cseréli az eszközökön. Ez a hitelesítés olyan felhasználói hitelesítő adatokból áll, amelyek egy eszközhöz kapcsolódnak, és biometrikus vagy PIN-kódot használnak.

Az eszközregisztrációt követően, vagy ha úgy dönt, hogy nem használja a bérlőszintű regisztrációs szabályzatot, Intune a következő módszereket támogatja a különálló eszközcsoportok Windows Hello kezelésére:

  • Végpontbiztonsági fiókvédelmi szabályzat: A Windows Hello beállításainak a Intune való regisztrálását követően történő kezeléséhez használja az Intune Fiókvédelmi profilt, amely a végpontbiztonsági fiókvédelmi szabályzat része.

  • Biztonsági alapkonfigurációk: A Windows Hello egyes beállításait olyan biztonsági alapkonfigurációk kezelhetik, mint az Végponthoz készült Microsoft Defender biztonsági alapkonfigurációi vagy Windows 10 és újabb biztonsági alapkonfigurációk.

  • Beállításkatalógus: A végpontbiztonsági fiókvédelmi profilok beállításai a Intune beállításkatalógusában érhetők el.

Fontos

Az évfordulós frissítés (Windows 1607-es verzió) előtt két különböző PIN-kódot állíthat be az erőforrások hitelesítéséhez:

  • Az eszköz PIN-kódjának használatával feloldható az eszköz zárolása, és csatlakozhat a felhőbeli erőforrásokhoz.
  • A munkahelyi PIN-kódot a felhasználó személyes eszközén (BYOD) Microsoft Entra erőforrások eléréséhez használták.

Az évfordulós frissítésben ezt a két PIN-kódot egyetlen eszköz PIN-kódjába egyesítették. Az eszköz PIN-kódjának vezérléséhez beállított Intune konfigurációs szabályzatok, valamint az Ön által konfigurált Vállalati Windows Hello szabályzatok, most már mindkettő ezt az új PIN-kódot állítja be. Ha mindkét házirendtípust beállította a PIN-kód szabályozására, a rendszer alkalmazza a Vállalati Windows Hello házirendet. A szabályzatütközések feloldásának és a PIN-kód-szabályzat megfelelő alkalmazásának biztosításához frissítse a Vállalati Windows Hello-szabályzatot a konfigurációs szabályzat beállításainak megfelelően, és kérje meg a felhasználókat, hogy szinkronizálják eszközeiket az Céges portál alkalmazásban.

Szerepköralapú hozzáférés-vezérlés

Vállalati Windows Hello-szabályzat létrehozásához vagy szerkesztéséhez Intune szolgáltatásadminisztrátornak kell lennie a Windows-regisztrációban. Minden más Intune szerepkör csak olvasási hozzáféréssel rendelkezik. A szerepköralapú hozzáférés-vezérléssel (RBAC) kapcsolatos további információkért lásd: RBAC with Microsoft Intune.

Vállalati Windows Hello-szabályzat létrehozása az eszközregisztrációhoz

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Lépjen az Eszközök>regisztrálása területre.

  3. A Windows lap Regisztrációs beállítások területén válassza a Vállalati Windows Hello lehetőséget. Várjon, amíg megnyílik a Vállalati Windows Hello panel.

  4. A Vállalati Windows Hello konfigurálásához válasszon az alábbi lehetőségek közül:

    • Engedélyezve. Válassza ezt a beállítást, ha Vállalati Windows Hello beállításokat szeretné konfigurálni. Ha az Engedélyezve lehetőséget választja, a Windows Hello egyéb beállításai is láthatók lesznek, és konfigurálhatók az eszközökhöz.

    • Letiltva. Ha nem szeretné engedélyezni a Vállalati Windows Hello az eszközregisztráció során, válassza ezt a lehetőséget. Ha le van tiltva, a felhasználók nem építhetnek ki Vállalati Windows Hello. Ha a Letiltva értékre van állítva, akkor is konfigurálhatja a Vállalati Windows Hello további beállításait, még akkor is, ha ez a szabályzat nem engedélyezi Vállalati Windows Hello.

    • Nincs konfigurálva. Válassza ezt a beállítást, ha nem szeretné Intune használni a Vállalati Windows Hello beállításainak vezérléséhez. A Windows 10/11-eszközök meglévő Vállalati Windows Hello beállításai nem változnak. A panelen lévő összes többi beállítás nem érhető el.

  5. Ha az előző lépésben az Engedélyezve lehetőséget választotta, konfigurálja az összes regisztrált Windows 10/11-eszközön alkalmazott szükséges beállításokat. Miután konfigurálta ezeket a beállításokat, válassza a Mentés lehetőséget.

    • Platformmegbízhatósági modul (TPM) használata:

      A TPM-lapka az adatbiztonság egy másik rétegét biztosítja. Válasszon az alábbi értékek közül:

      • Kötelező (alapértelmezett). Csak az akadálymentes TPM-et használó eszközök építhetnek ki Vállalati Windows Hello.
      • Előnyben részesített. Az eszközök először TPM-et próbálnak használni. Ha ez a lehetőség nem érhető el, használhatnak szoftveres titkosítást.

    • PIN-kód minimális hossza és PIN-kód maximális hossza:

      Úgy konfigurálja az eszközöket, hogy a megadott minimális és maximális PIN-kódhosszt használják a biztonságos bejelentkezés biztosítása érdekében. A PIN-kód alapértelmezett hossza hat karakter, de legalább négy karaktert kényszeríthet ki. A PIN-kód maximális hossza 127 karakter.

    • Kisbetűk a PIN-kódban, nagybetűk a PIN-kódban és Speciális karakterek a PIN-kódban.

      Erősebb PIN-kódot is kényszeríthet, ha a PIN-kódban nagybetűket, kisbetűket és speciális karaktereket kell használnia. Mindegyikhez válasszon az alábbiak közül:

      • Engedélyezett: A felhasználók használhatják a karaktertípust a PIN-kódjukban, de ez nem kötelező.

      • Kötelező: A felhasználóknak tartalmazniuk kell legalább egy karaktertípust a PIN-kódjukban. Gyakori gyakorlat például, hogy legalább egy nagybetűt és egy speciális karaktert kell megadni.

      • Nem engedélyezett (alapértelmezett): A felhasználók nem használhatják ezeket a karaktertípusokat a PIN-kódjukban. (Ez a viselkedés akkor is így van, ha a beállítás nincs konfigurálva.)

        Speciális karakterek: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

    • PIN-kód lejárata (nap)::

      Érdemes megadni a PIN-kód lejárati idejét, amely után a felhasználóknak módosítaniuk kell azt. Az alapértelmezett érték 41 nap.

    • Pin-előzmények megjegyzése:

      Korlátozza a korábban használt PIN-kód újbóli használatát. Alapértelmezés szerint az utolsó 5 PIN-szám nem használható fel újra.

    • Biometrikus hitelesítés engedélyezése:

      Lehetővé teszi a biometrikus hitelesítést, például az arcfelismerést vagy az ujjlenyomatot a PIN-kód helyett a Vállalati Windows Hello. A felhasználóknak továbbra is konfigurálnia kell egy munkahelyi PIN-kódot arra az esetre, ha a biometrikus hitelesítés meghiúsul. Válasszon a következő lehetőségek közül:

      • Igen. Vállalati Windows Hello lehetővé teszi a biometrikus hitelesítést.
      • Nem. Vállalati Windows Hello megakadályozza a biometrikus hitelesítést (minden fióktípus esetében).

    • Ha elérhető, használjon továbbfejlesztett hamisítás elleni hamisítást:

      Konfigurálja, hogy a Windows Hello hamisítás elleni funkcióit használják-e az azt támogató eszközökön. Például egy arcról készült fénykép észlelése valódi arc helyett.

      Ha az Igen értékre van állítva, a Windows megköveteli, hogy minden felhasználó hamisítás elleni hamisítást használjon az arcfelismeréshez, ha az támogatott.

    • Telefonos bejelentkezés engedélyezése:

      Ha ez a beállítás Igen értékre van állítva, a felhasználók távoli útlevelet használhatnak hordozható társeszközként az asztali számítógép hitelesítéséhez. Az asztali számítógépet Microsoft Entra kell csatlakoztatni, a társeszközt pedig Vállalati Windows Hello PIN-kóddal kell konfigurálni.

    • Fokozott bejelentkezési biztonság engedélyezése:

      Konfigurálja Windows Hello fokozott bejelentkezési biztonságot a kompatibilis hardverrel rendelkező eszközökön. Az Ön lehetőségei:

      • A fokozott bejelentkezési biztonság engedélyezve lesz a kompatibilis hardverrel rendelkező rendszereken (alapértelmezett): Az eszköz felhasználói nem használhatnak külső perifériákat az eszközre való bejelentkezéshez Windows Hello.
      • A fokozott bejelentkezési biztonság minden rendszeren le lesz tiltva: Az eszközfelhasználók a Windows Hello kompatibilis külső perifériákkal jelentkezhetnek be az eszközükre.

    • A bejelentkezéshez használjon biztonsági kulcsokat:

      Ha engedélyezve van, ez a beállítás lehetővé teszi a biztonsági kulcsok távoli bekapcsolását Windows Hello az ügyfél szervezetének összes számítógépéhez.

Windows Holographic for Business támogatása

Windows Holographic for Business a Vállalati Windows Hello alábbi beállításait támogatja:

  • Platformmegbízhatósági modul (TPM) használata
  • PIN-kód minimális hossza
  • PIN-kód maximális hossza
  • Kisbetűk a PIN-kódban
  • Nagybetűk a PIN-kódban
  • Speciális karakterek a PIN-kódban
  • PIN-kód lejárata (nap)
  • PIN-előzmények megjegyzése

Következő lépések

A windowsos dokumentáció Windows Hello a következő témakörökből tudhat meg többet: