在组织中管理 Windows Hello 企业版

在组织中管理 Windows Hello 企业版

适用于

  • Windows 10

你可以创建组策略或移动设备管理(MDM)策略,该策略将在运行 Windows10 的设备上实现 Windows Hello。

 重要

组策略设置启用 PIN 登录不适用于 Windows Hello 企业版。 它仍阻止或允许创建 Windows 10 版本 1507 和 1511 的便捷型 PIN。

从版本 1607 开始,在所有已加入域的计算机上默认禁用作为便捷型 PIN 的 Windows Hello。 若要为 Windows 10 版本 1607 启用便捷型 PIN,请启用组策略设置启用便捷型 PIN 登录

使用 PIN 复杂性策略设置管理 Windows Hello 企业版的 PIN。

Windows Hello 企业版的组策略设置

下表列出了可在工作区中为 Windows Hello 的使用配置的组策略设置。 这些策略设置在 "策略 > 管理模板 > windows 组件 > windows组件" 下的 "用户配置计算机配置" 下可用。

 备注

从 Windows 10 版本1709开始,组策略的 "PIN 复杂性" 部分的位置为: "计算机配置 > " 管理模板 > 系统 > PIN 复杂性

WINDOWS HELLO 企业版的组策略设置
策略范围选项
使用 Windows Hello 企业版 计算机或用户

未配置:设备不为任何用户预配 Windows Hello 企业版。

已启用:设备使用密钥或证书为所有用户预配 Windows Hello 企业版。

已禁用:设备不为任何用户预配 Windows Hello 企业版。

使用硬件安全设备 计算机

未配置:如果 TPM 可用,将使用 TPM 预配 Windows Hello 企业版;如果 TPM 不可用,将使用软件预配它。

已启用:将仅使用 TPM 预配 Windows Hello 企业版。 此功能将使用 TPM 1.2 设置 Windows Hello 企业版,除非显式设置用于排除它们的选项。

已禁用:如果 TPM 可用,将使用 TPM 预配 Windows Hello 企业版;如果 TPM 不可用,将使用软件预配它。

使用证书进行本地身份验证 计算机或用户

未配置: Windows Hello 企业版注册用于本地身份验证的密钥。

启用: Windows Hello 企业版使用用于本地身份验证的 ADFS 注册登录证书。

禁用: Windows Hello 企业版将注册用于本地身份验证的密钥。

使用 PIN 恢复 计算机

已在 Windows 10 版本1703中添加

未配置: Windows Hello 企业版不会创建或存储 PIN 恢复密码。 PIN 重置不使用基于 Azure 的 PIN 恢复服务。

启用: Windows Hello 企业版使用基于 AZURE 的 pin 恢复服务进行 PIN 重置。

禁用: Windows Hello 企业版不会创建或存储 PIN 恢复密码。 PIN 重置不使用基于 Azure 的 PIN 恢复服务。

 

有关使用 PIN 恢复服务进行 PIN 重置的详细信息,请参阅Windows Hello 企业版 PIN 重置

 

使用生物识别 计算机

未配置:生物识别可用作替代 PIN 的手势。

已启用:生物识别可用作替代 PIN 的手势。

已禁用:仅 PIN 可以用作手势。

PIN 复杂性需要数字计算机

未配置:用户必须在其 PIN 中包含数字。

已启用:用户必须在其 PIN 中包含数字。

已禁用:用户不能在其 PIN 中使用数字。

需要小写字母计算机

未配置:用户不能在其 PIN 中使用小写字母。

已启用:用户必须在其 PIN 中至少包含一个小写字母。

已禁用:用户不能在其 PIN 中使用小写字母。

最大 PIN 长度计算机

未配置:PIN 长度必须小于或等于 127。

已启用:PIN 长度必须小于或等于你指定的数字。

已禁用:PIN 长度必须小于或等于 127。

最小 PIN 长度计算机

未配置:PIN 长度必须大于或等于 4。

已启用:PIN 长度必须大于或等于你指定的数字。

已禁用:PIN 长度必须大于或等于 4。

到期计算机

未配置:PIN 不会到期。

已启用:PIN 可以设置为在 1 到 730 之间的任意天数后到期,或者可以通过将策略设置为 0 来将 PIN 设置为永远不会到期。

已禁用:PIN 不会到期。

历史记录计算机

未配置:不会存储以前的 PIN。

启用:指定可与可以't 重复使用的用户帐户相关联的以前 pin 的数量。

已禁用:不会存储以前的 PIN。

注意当前 pin 包括在固定历史记录中。

 

需要特殊字符计算机

未配置:用户无法在其 PIN 中包含特殊字符。

已启用:用户必须在其 PIN 中至少包含一个特殊字符。

已禁用:用户无法在其 PIN 中包含特殊字符。

需要大写字母计算机

未配置:用户无法在其 PIN 中包含大写字母。

已启用:用户必须在其 PIN 中至少包含一个大写字母。

已禁用:用户无法在其 PIN 中包含大写字母。

手机登录使用手机登录计算机

目前尚不支持。

Windows Hello 企业版的 MDM 策略设置

下表列出了可在工作区中为 Windows Hello 企业版的使用配置的 MDM 策略设置。 这些 MDM 策略设置使用 PassportForWork 配置服务提供程序 (CSP)

 重要

从 Windows 10 版本 1607 开始,所有设备都只有一个 PIN 与 Windows Hello 企业版相关联。 这意味着设备上的任何 PIN 将遵循 PassportForWork CSP 中指定的策略。 指定值的优先级高于通过 Exchange ActiveSync (EAS) 或 DeviceLock CSP 设置的任何复杂规则。

WINDOWS HELLO 企业版的 MDM 策略设置
策略范围默认值选项
UsePassportForWork 设备或用户True

True:将为设备上的所有用户预配 Windows Hello 企业版。

False:用户将不能预配 Windows Hello 企业版。

注意如果 Windows Hello 企业版已启用,并且策略已更改为 False,则以前设置 Windows Hello 企业版的用户可以继续使用它,但无法在其他设备上设置 Windows Hello 企业版。

 

RequireSecurityDevice 设备或用户False

True:将仅使用 TPM 预配 Windows Hello 企业版。

False:如果 TPM 可用,将使用 TPM 预配 Windows Hello 企业版;如果 TPM 不可用,将使用软件预配它。

ExcludeSecurityDeviceTPM12设备False

已在 Windows 10 版本1703中添加

True:将不允许将 TPM 版本1.2 模块与 Windows Hello 企业版配合使用。

False:将允许将 TPM 版本1.2 模块与 Windows Hello 企业版配合使用。

EnablePinRecovery 设备或用户False

已在 Windows 10 版本1703中添加

True: Windows Hello 企业版使用基于 Azure 的 PIN 恢复服务进行 PIN 重置。

False: Windows Hello 企业版不会创建或存储 PIN 恢复密码。 PIN 重置不使用基于 Azure 的 PIN 恢复服务。

 

有关使用 PIN 恢复服务进行 PIN 重置的详细信息,请参阅Windows Hello 企业版 PIN 重置

 

生物识别

UseBiometrics

设备False

True:生物识别可用作替代 PIN 的手势进行域登录。

False:仅 PIN 可用作进行域登录的手势。

FacialFeaturesUser

EnhancedAntiSpoofing

设备未配置

未配置:用户可以选择是否打开增强的反欺骗功能。

True:在支持的设备上需要增强的反欺骗功能。

False:用户无法打开增强的反欺骗功能。

PINComplexity
数字设备或用户raid-1

0:允许使用数字。

1:至少需要一个数字。

2:不允许使用数字。

小写字母设备或用户ppls-2

0:允许使用小写字母。

1:至少需要一个小写字母。

2:不允许使用小写字母。

特殊字符设备或用户ppls-2

0:允许使用特殊字符。

1:至少需要一个特殊字符。

2:不允许使用特殊字符。

大写字母设备或用户ppls-2

0:允许使用大写字母。

1:至少需要一个大写字母。

2:不允许使用大写字母。

最大 PIN 长度设备或用户127

可以设置的最大长度为 127。 最大长度不能小于最小设置。

最小 PIN 长度设备或用户

可以设置的最小长度为 4。 最小长度不能大于最大设置。

到期设备或用户0

整数值指定在系统需要用户更改 PIN 之前可以使用它的时间段(以天为单位)。 你可以为此策略设置配置的最大数为 730。 你可以为此策略设置配置的最小数为 0。 如果此策略设置为0,则用户的 PIN 将永不过期。

历史记录设备或用户0

整数值,指定可与无法重复使用的用户帐户相关联的过去引脚的数量。 你可以为此策略设置配置的最大数为 50。 你可以为此策略设置配置的最小数为 0。 如果此策略设置为 0,则不需要存储以前的 PIN。

远程

UseRemotePassport

设备或用户False

目前尚不支持。

 备注

在 Windows 10 版本1709及更高版本中,如果策略未配置为明确要求字母或特殊字符,则用户可以选择设置字母数字 PIN。 在版本1709之前,需要用户设置数字 PIN。

来自多个策略源的策略冲突

Windows Hello 企业版旨在由组策略或 MDM 管理,但不能同时管理二者。 如果同时从两个源设置策略,则可能会导致为用户或设备实际强制执行的混合结果。

Windows Hello 企业版策略的实施使用以下层次结构:用户组策略 > 计算机组策略 > 用户 MDM > 设备 MDM > 设备锁定策略。 所有 PIN 复杂性策略都分组在一起,并通过单个策略源强制执行。

使用硬件安全设备和 RequireSecurityDevice 强制也与 PIN 复杂性策略组合在一起。 针对其他 Windows Hello 企业版策略的冲突解决方法是针对每个策略执行的。

 备注

Windows Hello 企业版策略冲突解决逻辑与策略 CSP 中的 ControlPolicyConflict/MDMWinsOverGP 策略不相关。

示例

使用计算机组策略配置以下内容:

  • 使用 Windows Hello 企业版-已启用
  • 本地身份验证的用户证书-已启用
  • 需要数字-已启用
  • 最小 PIN 长度-6

使用设备 MDM 策略配置以下内容:

  • UsePassportForWork-已禁用
  • UseCertificateForOnPremAuth-已禁用
  • MinimumPINLength-8
  • 数字-1
  • LowercaseLetters-1
  • SpecialCharacters-1

强制策略集:

  • 使用 Windows Hello 企业版-已启用
  • 将证书用于本地身份验证-已启用
  • 需要数字-已启用
  • 最小 PIN 长度-6d

如何将 Windows Hello 企业版和 Azure Active Directory 结合使用

在 Azure AD 中有三种使用 Windows Hello 企业版的情形 - 仅组织:

  • 使用 Office 365 附带的 Azure AD 版本的组织。 对于这些组织,不需要任何附加操作。 当 Windows10 公开发布时,Microsoft 更改了 Office 365 Azure AD 堆栈的行为。 当用户选择加入工作或学校网络的选项时,设备会自动加入到 Office 365 租户的目录分区,为该设备颁发证书,如果租户已订阅该功能,则该证书将变为符合 Office 365 MDM 的条件。 此外,将提示用户登录并输入 Azure AD 发送到他或她的手机的 MFA 证明(如果已启用 MFA)。
  • 使用免费的 Azure AD 层的组织。 对于这些组织,Microsoft 未启用自动域加入到 Azure AD。 已注册免费版的组织可选择启用或禁用此功能,因此除非组织的管理员决定启用自动加入域,否则不会启用自动加入域。 当启用该功能时,使用“连接到工作或学校”对话框加入 Azure AD 域的设备将支持自动注册到 Windows Hello 企业版,但不会注册之前已加入的设备。
  • 已订阅 Azure AD Premium 的组织有权访问全套 Azure AD MDM 功能。 这些功能包括 Windows Hello 企业版管理控制。 你可以设置策略来禁用或强制执行 Windows Hello 企业版的使用、要求使用 TPM 和控制在设备上设置的 PIN 的长度和强度。

如果要将 Windows Hello 企业版与证书配合使用,您需要设备注册系统。 这意味着设置 Configuration Manager、Microsoft Intune 或兼容的非 Microsoft MDM 系统,并启用它来注册设备。 无论 IDP 为何,这是将 Windows Hello 企业版与证书一起使用的先决条件步骤,因为注册系统负责使用必要的证书预配设备。

相关主题

反馈

Windows 10是一个非常流行的操作系统,它有许多不同本。以下是各个本之间的主要区别: 1. Windows 10 Home:这是最基本的本,适合家庭用户和学生。它包括Cortana和Microsoft Edge浏览器,但没有一些高级功能,如BitLocker加密和远程桌面。 2. Windows 10 Pro:这个本适合专业人士和企业用户。它包括所有Home本的功能,并添加了BitLocker加密、远程桌面、Hyper-V虚拟化和Windows Update for Business等高级功能。 3. Windows 10 Enterprise:这个本设计用于大型企业组织。它包括所有Pro本的功能,并添加了更多的安全和管理功能,如Windows To Go、DirectAccess和应用程序虚拟化。 4. Windows 10 Education:这个本专门针对学校和教育机构。它包括所有Enterprise本的功能,并添加了更多的教育相关功能,如Windows Ink和Windows Hello面部识别。 5. Windows 10 S:这个本是为性能和安全而设计的,只能运行从Windows商店下载的应用程序,无法运行传统的桌面应用程序。它适合教育市场和需要高度安全性的企业用户。 6. Windows 10 Pro for Workstations:这个本是为需要高性能计算和大规模数据处理的专业人士和企业用户而设计的。它包括所有Pro本的功能,并添加了更多的硬件支持和性能优化。 总的来说,Windows 10的各个本适合不同的用户和使用场景,用户可以根据自己的需求选择最适合自己的本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值