Vállalati Windows Hello konfigurálása az eszközökön az Intune-nal való regisztrációkor

A Microsoft Intune bérlői szintű szabályzatot hozhat létre, amely konfigurálja a Vállalati Windows Hello használatát Windows 10 vagy Windows 11 eszközökön az eszközök Intune-beli regisztrálásakor. Ez a szabályzat a teljes szervezetet célozza, és támogatja a Windows Autopilot kezdőélményt (OOBE).

A Windows 10/11-es eszközök esetében a Vállalati Windows Hello használata a jelszavak használatát erős kétfaktoros hitelesítésre cseréli az eszközökön. Ez a hitelesítés olyan felhasználói hitelesítő adatokból áll, amelyek egy eszközhöz kapcsolódnak, és biometrikus vagy PIN-kódot használnak.

Az eszközregisztrációt követően, vagy ha úgy dönt, hogy nem használja a bérlőszintű regisztrációs szabályzatot, az Intune a következő módszereket támogatja a különálló eszközcsoportok Windows Hello kezelésére:

• Identitásvédelem – Az eszközkonfigurációs szabályzat tartalmazza az Identity Protection-profilt, amellyel eszközcsoportokat konfigurálhat Windows Hello.

• Biztonsági alapkonfigurációk: A Windows Hello egyes beállításait olyan biztonsági alapkonfigurációk kezelhetik, mint az Végponthoz készült Microsoft Defender biztonsági alapkonfigurációi vagy Windows 10 és újabb biztonsági alapkonfigurációk.

• Végpontbiztonsági fiókvédelmi szabályzat: A fiókvédelmi szabályzatok tartalmazzák a Windows Hello által használt beállítások némelyikét.

Fontos

Az évfordulós frissítés (Windows 1607-es verzió) előtt két különböző PIN-kódot állíthat be az erőforrások hitelesítéséhez:

• Az eszköz PIN-kódjának használatával feloldható az eszköz zárolása, és csatlakozhat a felhőbeli erőforrásokhoz.
• A munkahelyi PIN-kódot a felhasználó személyes eszközein (BYOD) Microsoft Entra erőforrások eléréséhez használták.

Az évfordulós frissítésben ezt a két PIN-kódot egyetlen eszköz PIN-kódjába egyesítették. Az eszköz PIN-kódjának vezérléséhez beállított Intune-konfigurációs szabályzatok, valamint az Ön által konfigurált Vállalati Windows Hello-szabályzatok mostantól mind ezt az új PIN-kódot állítják be. Ha mindkét házirendtípust beállította a PIN-kód szabályozására, a rendszer alkalmazza a Vállalati Windows Hello házirendet. A szabályzatütközések feloldásának és a PIN-kód-szabályzat megfelelő alkalmazásának biztosításához frissítse a Vállalati Windows Hello-szabályzatot a konfigurációs szabályzat beállításainak megfelelően, és kérje meg a felhasználókat, hogy szinkronizálják eszközeiket az Céges portál alkalmazásban.

Szerepköralapú hozzáférés-vezérlés

A Windows-regisztrációban Vállalati Windows Hello szabályzat létrehozásához vagy szerkesztéséhez Intune-szolgáltatásadminisztrátornak kell lennie. Minden más Intune-szerepkör csak olvasási hozzáféréssel rendelkezik. A szerepköralapú hozzáférés-vezérléssel (RBAC) kapcsolatos további információkért lásd: RBAC with Microsoft Intune.

Vállalati Windows Hello-szabályzat létrehozása

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Lépjen az Eszközök>Eszközök regisztrálása>Windows-regisztráció>területre Vállalati Windows Hello. Megnyílik a Vállalati Windows Hello panel.

3. A Vállalati Windows Hello konfigurálásához válasszon az alábbi lehetőségek közül:

   • Engedélyezve. Válassza ezt a beállítást, ha Vállalati Windows Hello beállításokat szeretné konfigurálni. Ha az Engedélyezve lehetőséget választja, a Windows Hello egyéb beállításai is láthatók lesznek, és konfigurálhatók az eszközökhöz.

   • Letiltva. Ha nem szeretné engedélyezni a Vállalati Windows Hello az eszközregisztráció során, válassza ezt a lehetőséget. Ha le van tiltva, a felhasználók nem építhetnek ki Vállalati Windows Hello. Ha a Letiltva értékre van állítva, akkor is konfigurálhatja a Vállalati Windows Hello további beállításait, még akkor is, ha ez a szabályzat nem engedélyezi Vállalati Windows Hello.

   • Nincs konfigurálva. Válassza ezt a beállítást, ha nem szeretné az Intune-t használni Vállalati Windows Hello beállításainak vezérléséhez. A 10/11-eszközök meglévő Vállalati Windows Hello beállításai nem módosulnak. A panelen lévő összes többi beállítás nem érhető el.

4. Ha az előző lépésben az Engedélyezve lehetőséget választotta, konfigurálja az összes regisztrált Windows 10/11-eszközön alkalmazott szükséges beállításokat. Miután konfigurálta ezeket a beállításokat, válassza a Mentés lehetőséget.

   • Platformmegbízhatósági modul (TPM) használata:

     A TPM-lapka az adatbiztonság egy másik rétegét biztosítja. Válasszon az alábbi értékek közül:

     • Kötelező (alapértelmezett). Csak az akadálymentes TPM-et használó eszközök építhetnek ki Vállalati Windows Hello.
     • Előnyben részesített. Az eszközök először TPM-et próbálnak használni. Ha ez a lehetőség nem érhető el, használhatnak szoftveres titkosítást.

   • PIN-kód minimális hossza és PIN-kód maximális hossza:

     Úgy konfigurálja az eszközöket, hogy a megadott minimális és maximális PIN-kódhosszt használják a biztonságos bejelentkezés biztosítása érdekében. A PIN-kód alapértelmezett hossza hat karakter, de legalább négy karaktert kényszeríthet ki. A PIN-kód maximális hossza 127 karakter.

   • Kisbetűk a PIN-kódban, nagybetűk a PIN-kódban és Speciális karakterek a PIN-kódban.

     Erősebb PIN-kódot is kényszeríthet, ha a PIN-kódban nagybetűket, kisbetűket és speciális karaktereket kell használnia. Mindegyikhez válasszon az alábbiak közül:

     • Engedélyezett. A felhasználók használhatják a karaktertípust a PIN-kódjukban, de ez nem kötelező.

     • Kötelező megadni. A felhasználóknak tartalmazniuk kell legalább egy karaktertípust a PIN-kódjukban. Gyakori gyakorlat például, hogy legalább egy nagybetűt és egy speciális karaktert kell megadni.

     • Nem engedélyezett (alapértelmezett). A felhasználók nem használhatják ezeket a karaktertípusokat a PIN-kódjukban. (Ez a viselkedés akkor is így van, ha a beállítás nincs konfigurálva.)

       Speciális karakterek: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

   • PIN-kód lejárata (nap)::

     Érdemes megadni a PIN-kód lejárati idejét, amely után a felhasználóknak módosítaniuk kell azt. Az alapértelmezett érték 41 nap.

   • Pin-előzmények megjegyzése:

     Korlátozza a korábban használt PIN-kód újbóli használatát. Alapértelmezés szerint az utolsó 5 PIN-szám nem használható fel újra.

   • Biometrikus hitelesítés engedélyezése:

     Lehetővé teszi a biometrikus hitelesítést, például az arcfelismerést vagy az ujjlenyomatot a PIN-kód helyett a Vállalati Windows Hello. A felhasználóknak továbbra is konfigurálnia kell egy munkahelyi PIN-kódot arra az esetre, ha a biometrikus hitelesítés meghiúsul. Válasszon a következő lehetőségek közül:

     • Igen. Vállalati Windows Hello lehetővé teszi a biometrikus hitelesítést.
     • Nem. Vállalati Windows Hello megakadályozza a biometrikus hitelesítést (minden fióktípus esetében).

   • Ha elérhető, használjon továbbfejlesztett hamisítás elleni hamisítást:

     Konfigurálja, hogy a Windows Hello hamisítás elleni funkcióit használják-e az azt támogató eszközökön. Például egy arcról készült fénykép észlelése valódi arc helyett.

     Ha az Igen értékre van állítva, a Windows megköveteli, hogy minden felhasználó hamisítás elleni hamisítást használjon az arcfelismeréshez, ha az támogatott.

   • Telefonos bejelentkezés engedélyezése:

     Ha ez a beállítás Igen értékre van állítva, a felhasználók távoli útlevelet használhatnak hordozható társeszközként az asztali számítógép hitelesítéséhez. Az asztali számítógépet Microsoft Entra kell csatlakoztatni, a társeszközt pedig Vállalati Windows Hello PIN-kóddal kell konfigurálni.

   • Fokozott bejelentkezési biztonság engedélyezése:

     Konfigurálja Windows Hello fokozott bejelentkezési biztonságot a kompatibilis hardverrel rendelkező eszközökön. Az Ön lehetőségei:

     • Alapértelmezett. A fokozott bejelentkezési biztonság engedélyezve lesz a kompatibilis hardverrel rendelkező rendszereken. Az eszközfelhasználók nem használhatnak külső perifériákat az eszközre való bejelentkezéshez Windows Hello.
     • A fokozott bejelentkezési biztonság minden rendszeren le lesz tiltva. Az eszközfelhasználók a Windows Hello kompatibilis külső perifériákkal jelentkezhetnek be az eszközükre.

   • A bejelentkezéshez használjon biztonsági kulcsokat:

     Ha az Engedélyezés értékre van állítva, ez a beállítás lehetővé teszi a biztonsági kulcsok távoli bekapcsolását Windows Hello biztonsági kulcsokat az ügyfél szervezetének összes számítógépén.

Windows Holographic for Business támogatása

Windows Holographic for Business a Vállalati Windows Hello alábbi beállításait támogatja:

• Platformmegbízhatósági modul (TPM) használata
• PIN-kód minimális hossza
• PIN-kód maximális hossza
• Kisbetűk a PIN-kódban
• Nagybetűk a PIN-kódban
• Speciális karakterek a PIN-kódban
• PIN-kód lejárata (nap)
• PIN-előzmények megjegyzése

Következő lépések

A windowsos dokumentáció Windows Hello a következő témakörökből tudhat meg többet:

• Vállalati Windows Hello üzembe helyezésének megtervezése
• Vállalati Windows Hello üzembe helyezés előfeltételeinek áttekintése