Řízení nastavení Windows Hello pro firmy na zařízeních pomocí Microsoft IntuneControl Windows Hello for Business settings on devices with Microsoft Intune

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Microsoft Intune umožňuje integraci se službou Windows Hello pro firmy (dříve Microsoft Passport for Work). Je to alternativní metoda pro přihlašování pomocí účtu služby Active Directory nebo Azure Active Directory, která může nahradit hesla, čipové karty a virtuální čipové karty.Microsoft Intune integrates with Windows Hello for Business (formerly Microsoft Passport for Work), an alternative sign-in method that uses Active Directory or an Azure Active Directory account to replace a password, smart card, or a virtual smart card.

Hello pro firmy umožňuje používat k přihlášení gesto uživatele místo hesla.Hello for Business lets you use a user gesture to sign in, instead of a password. Gesto uživatele může být jednoduchý PIN kód, biometrické ověřování jako třeba Windows Hello nebo externí zařízení, jako je třeba čtečka otisků prstů.A user gesture might be a simple PIN, biometric authentication such as Windows Hello, or an external device such as a fingerprint reader.

Intune se s Hello pro firmy integruje dvěma způsoby:Intune integrates with Hello for Business in two ways:

Důležité

V desktopových a mobilních verzích Windows 10 před Anniversary Update šlo nastavit dva různé kódy PIN, které se daly použít k ověření prostředků:In Windows 10 desktop and mobile versions prior to the Anniversary Update, you could set two different PINS that could be used to authenticate to resources:

  • PIN zařízení se používal k odemknutí zařízení a připojení k prostředkům cloudu.The device PIN could be used to unlock the device and connect to cloud resources.
  • Pracovní PIN se používal pro přístup k prostředkům Azure AD na uživatelově osobním zařízení (BYOD).The work PIN was used to access Azure AD resources on user’s personal devices (BYOD).

Anniversary Update sloučil tyhle dva kódy do jediného PIN zařízení.In the Anniversary Update, these two PINS were merged into one single device PIN. Veškeré zásady konfigurace Intune, které mají nastaveno, že ovládají PIN zařízení, a také jakékoli nakonfigurované zásady Windows Hello pro firmy teď nastavují hodnotu tohoto nového kódu PIN.Any Intune configuration policies you set to control the device PIN, and additionally, any Windows Hello for Business policies you configured, now both set this new PIN value. Pokud jste o obou typů zásad nastavili, že ovládají kód PIN, použijí se na desktopových i mobilních zařízeních s Windows 10 zásady Windows Hello pro firmy.If you have set both policy types to control the PIN, the Windows Hello for Business policy will be applied on both Windows 10 desktop and mobile devices. Abyste předešli konfliktům mezi zásadami a zajistili, že zásady kódu PIN se budou aplikovat správně, aktualizujte zásady Windows Hello pro firmy, tak aby odpovídaly nastavení zásad konfigurace. Potom požádejte uživatele, aby si svá zařízení synchronizovali v aplikaci Portál společnosti.To ensure policy conflicts are resolved and that the PIN policy is applied correctly, update your Windows Hello for Business Policy to match the settings in your configuration policy, and ask your users to sync their devices in the Company Portal app.

Vytvoření zásad pro službu Windows Hello pro firmyCreate a Windows Hello for Business policy

  1. V konzole pro správu Microsoft Intune Zvolte Správce > Správa mobilních zařízení > Windows > Windows Hello pro firmy. Otevře se stránka Windows Hello pro firmy.In the Microsoft Intune administration console, choose Admin > Mobile Device Management > Windows > Windows Hello for Business to open the Windows Hello for Business page.

    Stránka Windows Hello pro firmy

  2. Zvolte jedno z těchto nastavení:Choose one of the following settings:

    • Zakázat Windows Hello pro firmy na registrovaných zařízeních.Disable Windows Hello for Business on enrolled devices. Toto nastavení vyberte, pokud Windows Hello pro firmy nechcete používat.If you don't want to use Windows Hello for Business, select this setting. Všechna ostatní nastavení na obrazovce jsou nedostupná.All other settings on the screen are then unavailable.
    • Povolit Windows Hello pro firmy na registrovaných zařízeních.Enable Windows Hello for Business on enrolled devices. Toto nastavení vyberte, pokud chcete konfigurovat nastavení Windows Hello pro firmy.Select this setting if you want to configure Windows Hello for Business settings.
    • Není nakonfigurováno.Not configured. Toto nastavení vyberte, pokud k řízení nastavení Windows Hello pro firmy nechcete používat Intune.Select this setting if you don't want to use Intune to control Windows Hello for Business settings. Veškerá stávající nastavení Windows Hello pro firmy v zařízeních s Windows 10 se nezmění.Any existing Windows Hello for Business settings on Windows 10 devices will not be changed. Všechna ostatní nastavení na obrazovce jsou nedostupná.All other settings on the screen are unavailable.
  3. Pokud jste vybrali Povolit Windows Hello pro firmy na registrovaných zařízeních, nakonfigurujte požadovaná nastavení, která se použijí pro všechna zaregistrovaná zařízení s Windows 10 a Windows 10 Mobile.If you selected Enable Windows Hello for Business on enrolled devices, configure the required settings that will be applied to all enrolled Windows 10 and Windows 10 Mobile devices.
  4. Po dokončení zvolte Uložit.When you are finished, choose Save.

Nastavení zásad pro službu Windows Hello pro firmySettings for the Windows Hello for Business policy

  • Použít čip TPM (Trusted Platform Module).Use a Trusted Platform Module (TPM). Čip TPM poskytuje další úroveň zabezpečení dat.A TPM chip provides an additional layer of data security.
    Vyberte jednu z těchto hodnot:Choose one of the following values:
    • Požadované (výchozí).Required (default). Windows Hello pro firmy můžou zřídit jenom zařízení s přístupným čipem TPM.Only devices with an accessible TPM can provision Windows Hello for Business.
    • Preferované.Preferred. Zařízení se nejdřív pokusí použít čip TPM.Devices first attempt to use a TPM. Pokud není dostupný, můžou použít softwarové šifrování.If this is not available, they can use software encryption.
  • Vyžadovat minimální délku PIN kódu/Vyžadovat maximální délku PIN kódu.Require minimum PIN length/Require maximum PIN length. Konfiguruje zařízení, aby k zajištění bezpečného přihlášení vyžadovala minimální a maximální délky kódu PIN.Configures devices to use the minimum and maximum PIN lengths that you specify to help ensure secure sign-in. Výchozí délka kódu PIN je 6 znaků, ale můžete vynutit minimální délku 4 znaky.The default PIN length is 6 characters, but you can enforce a minimum length of 4 characters. Maximální délka kódu PIN je 127 znaků.The maximum PIN length is 127 characters.
  • Vyžadovat v PIN kódu malá písmena/Vyžadovat v PIN kódu velká písmena/Vyžadovat v PIN kódu speciální znaky.Require lowercase letters in PIN/Require uppercase letters in PIN/Require special characters in PIN. Silnější kódy PIN můžete vynutit tím, že se v nich bude vyžadovat použití velkých a malých písmen a speciálních znaků.You can enforce a stronger PIN by requiring the use of uppercase letters, lowercase letters, and special characters in the PIN. Vybírejte z těchto možností:Choose from:
    • Povolené.Allowed. Uživatelé můžou tyto typy znaků ve svých kódech PIN použít, ale není to povinné.Users can use the character type in their PIN, but it is not mandatory.
    • Požadované.Required. Uživatelé musí ve svém kódu PIN použít aspoň jeden z těchto typů znaků.Users must include at least one of the character types in their PIN. Běžnou praxí třeba je vyžadovat použití nejméně jednoho velkého písmena, jednoho malého písmena a jednoho speciálního znaku.For example, it's common practice to require at least one uppercase letter and one special character.
    • Není povolené (výchozí).Not allowed (default). Uživatelé nesmí tyto typy znaků ve svém kódu PIN používat.Users must not use these character types in their PIN. (Toto chování se taky použije, když nastavení není nakonfigurované.)(This is also the behavior if the setting is not configured.)
      Mezi speciální znaky patří: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.Special characters include: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.
  • Doba platnosti kódu PIN (dny).PIN expiration (days). Je dobrým zvykem zadat pro kód PIN dobu platnosti, po jejímž uplynutí ho uživatel musí změnit.It's a good practice to specify an expiration period for a PIN, after which users must change it. Výchozí hodnota je 41 dnů.The default is 41 days.
  • Pamatovat si historii kódů PIN.Remember PIN history. Pomocí tohoto nastavení můžete zabránit opakovanému použití předchozích kódů PIN.Restricts the reuse of previously used PINs. Ve výchozím nastavení se nesmí znovu použít posledních 5 kódů PIN.By default, the last 5 PINs cannot be reused.
  • Povolit biometrické ověřování.Allow biometric authentication. Jako alternativu ke kódu PIN pro Windows Hello pro firmy umožňuje biometrické ověřování, například rozpoznávání obličeje nebo otisků prstů.Enables biometric authentication, such as facial recognition or fingerprint, as an alternative to a PIN for Windows Hello for Business. Uživatelé ale stejně musí nakonfigurovat pracovní kód PIN pro případ, že se biometrické ověření nepovede.Users must still configure a work PIN in case biometric authentication fails. Vybírejte z těchto možností:Choose from:
    • Ano.Yes. Windows Hello pro firmy umožňuje biometrické ověřování.Windows Hello for Business allows biometric authentication.
    • Ne.No. Windows Hello pro firmy neumožňuje biometrické ověřování (pro všechny typy účtů).Windows Hello for Business prevents biometric authentication (for all account types).
  • Použít vylepšenou ochranu proti falšování identity, pokud je dostupná.Use enhanced anti-spoofing, when available. Konfiguruje, jestli se v zařízení použijí funkce ochrany proti falšování identity Windows Hello, pokud je zařízení podporuje (třeba rozpoznání fotografie tváře místo skutečné tváře).Configures whether the anti-spoofing features of Windows Hello are used on devices that support it (for example, detecting a photograph of a face instead of a real face).
    Pokud je nastavená hodnota Ano, Windows vyžaduje, aby všichni uživatelé používali pro funkce rozpoznávání obličeje ochranu proti falšování, pokud je podporovaná.If this is set to Yes, Windows requires all users to use anti-spoofing for facial features when that is supported.
  • Použít přihlášení telefonem.Use phone sign-in. Pokud je tato možnost nastavená na hodnotu Ano, uživatelé můžou použít vzdálenou službu Passport, která bude sloužit jako přenosné doprovodné zařízení pro ověřování stolního počítače.If this option is set to Yes, users can use a remote passport to serve as a portable companion device for desktop computer authentication. Stolní počítač musí být připojený ke službě Azure Active Directory a v doprovodném zařízení musí být nakonfigurovaný kód PIN služby Windows Hello pro firmy.The desktop computer must be Azure Active Directory joined, and the companion device must be configured with a Windows Hello for Business PIN.

Další informaceFurther information

Další informace o službě Microsoft Passport najdete v příručce v dokumentaci k Windows 10.For more information about Microsoft Passport, see the guide in the Windows 10 documentation.

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback