Vállalati Windows Hello beállítások a Configuration Manager

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Configuration Manager integrálható a Vállalati Windows Hello. (Ezt a funkciót korábban Microsoft Passport for Work néven ismerték.) Vállalati Windows Hello egy alternatív bejelentkezési módszer Windows 10 eszközökhöz. Az Active Directoryt vagy egy Microsoft Entra-fiókot használ a jelszó, az intelligens kártya vagy a virtuális intelligens kártya cseréjéhez. A Vállalati Hello lehetővé teszi, hogy jelszó helyett felhasználói kézmozdulat használatával jelentkezzen be. A felhasználói kézmozdulat lehet PIN-kód, biometrikus hitelesítés vagy külső eszköz, például ujjlenyomat-olvasó.

Fontos

A 2203-es verziótól kezdődően ez a vállalati erőforrás-hozzáférési funkció már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.

Active Directory összevonási szolgáltatások (AD FS) regisztrációs szolgáltató (ADFS RA) telepítése egyszerűbb, jobb felhasználói élményt nyújt, és determinisztikusabb tanúsítványregisztrációs tapasztalattal rendelkezik. Az ADFS RA használatával tanúsítványalapú hitelesítést végezhet Vállalati Windows Hello.

További információ: Vállalati Windows Hello.

Megjegyzés:

Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót. Használat előtt engedélyeznie kell ezt a funkciót. További információ: Választható funkciók engedélyezése frissítésekből.

Configuration Manager az alábbi módokon integrálható a Vállalati Windows Hello:

  • Szabályozhatja, hogy a felhasználók mely kézmozdulatokkal jelentkezhetnek be.

  • A hitelesítési tanúsítványokat a Vállalati Windows Hello kulcstároló-szolgáltatóban (KSP) tárolja. További információ: Tanúsítványprofilok.

  • Hozzon létre és helyezzen üzembe egy Vállalati Windows Hello-profilt, amely a tartományhoz csatlakoztatott Windows 10 az Configuration Manager-ügyfelet futtató eszközökön szabályozza a beállításait. Az 1910-es verziótól kezdődően nem használhat tanúsítványalapú hitelesítést. Kulcsalapú hitelesítés használatakor nem kell tanúsítványprofilt üzembe helyeznie.

Profil konfigurálása

  1. Az Configuration Manager konzolon lépjen az Eszközök és megfelelőség munkaterületre. Bontsa ki a Megfelelőségi beállítások, majd a Vállalati erőforrás-hozzáférés csomópontot, és válassza a Vállalati Windows Hello Profilok csomópontot.

  2. A menüszalagon válassza a Profil létrehozása Vállalati Windows Hello lehetőséget a profil varázsló elindításához.

  3. Az Általános lapon adja meg a profil nevét és opcionális leírását.

  4. A Támogatott platformok lapon válassza ki azokat az operációsrendszer-verziókat, amelyekre a profilnak vonatkoznia kell.

  5. A Beállítások lapon konfigurálja a következő beállításokat:

    • Vállalati Windows Hello konfigurálása: Itt adhatja meg, hogy ez a profil engedélyezi, letiltja vagy nem konfigurálja a Vállalati Hello szolgáltatást.

    • Platformmegbízhatósági modul (TPM) használata: A TPM további adatbiztonsági réteget biztosít. Válasszon az alábbi értékek közül:

      • Kötelező: Csak az akadálymentes TPM-et használó eszközök építhetnek ki Vállalati Windows Hello.

      • Előnyben részesített: Az eszközök először TPM-et próbálnak használni. Ha nem érhető el, használhatják a szoftveres titkosítást.

    • Hitelesítési módszer: Állítsa ezt a beállítást Nincs konfigurálva vagy Kulcsalapú értékre.

      Megjegyzés:

      Az 1910-es verziótól kezdődően a Configuration Manager Vállalati Windows Hello beállításaival rendelkező tanúsítványalapú hitelesítés nem támogatott.

    • PIN-kód minimális hosszának konfigurálása: Ha a felhasználó PIN-kódjának minimális hosszát szeretné megkövetelni, engedélyezze ezt a beállítást, és adjon meg egy értéket. Ha engedélyezve van, az alapértelmezett érték a .4

    • PIN-kód maximális hosszának konfigurálása: Ha a felhasználó PIN-kódjának maximális hosszát szeretné megkövetelni, engedélyezze ezt a beállítást, és adjon meg egy értéket. Ha engedélyezve van, az alapértelmezett érték a .127

    • PIN-kód lejáratának megkövetelése (nap):Azt adja meg, hogy a felhasználónak hány napig kell módosítania az eszköz PIN-kódját.

    • Korábbi PIN-kód újbóli használatának megakadályozása: Ne engedélyezze a felhasználóknak a korábban használt PIN-kódokat.

    • Nagybetűk megkövetelése a PIN-kódban: Meghatározza, hogy a felhasználóknak nagybetűket kell-e tartalmazniuk a Vállalati Windows Hello PIN-kódban. Válasszon a következő lehetőségek közül:

      • Engedélyezett: A felhasználók használhatnak nagybetűket a PIN-kódjukban, de nem kell.

      • Kötelező: A felhasználóknak legalább egy nagybetűt tartalmazniuk kell a PIN-kódjukban.

      • Nem engedélyezett: A felhasználók nem használhatnak nagybetűket a PIN-kódjukban.

    • Kisbetűk megkövetelése a PIN-kódban: Azt határozza meg, hogy a felhasználóknak kisbetűket kell-e tartalmazniuk a Vállalati Windows Hello PIN-kódban. Válasszon a következő lehetőségek közül:

      • Engedélyezett: A felhasználók használhatnak kisbetűket a PIN-kódjukban, de nem kell.

      • Kötelező: A felhasználóknak legalább egy kisbetűt kell tartalmazniuk a PIN-kódjukban.

      • Nem engedélyezett: A felhasználók nem használhatnak kisbetűket a PIN-kódjukban.

    • Speciális karakterek konfigurálása: Speciális karakterek használatát adja meg a PIN-kódban. Válasszon a következő lehetőségek közül:

      Megjegyzés:

      A speciális karakterek a következő készletet tartalmazzák:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Engedélyezett: A felhasználók speciális karaktereket használhatnak a PIN-kódjukban, de nem kell.

      • Kötelező: A felhasználóknak legalább egy speciális karaktert tartalmazniuk kell a PIN-kódjukban.

      • Nem engedélyezett: A felhasználók nem használhatnak speciális karaktereket a PIN-kódjukban. Ez a viselkedés akkor is így van, ha a beállítás Nincs konfigurálva.

    • Számjegyek használatának konfigurálása a PIN-kódban: Meghatározza a számok HASZNÁLATÁT a PIN-kódban. Válasszon a következő lehetőségek közül:

      • Engedélyezett: A felhasználók használhatnak számokat a PIN-kódjukban, de nem kell.

      • Kötelező: A felhasználóknak legalább egy számot fel kell tüntetniük a PIN-kódjukban.

      • Nem engedélyezett: A felhasználók nem használhatnak számokat a PIN-kódjukban.

    • Biometrikus kézmozdulatok engedélyezése: Biometrikus hitelesítés, például arcfelismerés vagy ujjlenyomat használata. Ezek a módok a VÁLLALATI WINDOWS HELLO PIN-kódjának alternatívát jelentenek. A felhasználók továbbra is konfigurálják a PIN-kódot, ha a biometrikus hitelesítés meghiúsul.

      Ha az Igen értékre van állítva, Vállalati Windows Hello engedélyezi a biometrikus hitelesítést. Ha a Nem értékre van állítva, Vállalati Windows Hello minden fióktípus esetében megakadályozza a biometrikus hitelesítést.

    • Továbbfejlesztett hamisítás elleni beállítás: Továbbfejlesztett hamisítás elleni beállítást konfigurál az azt támogató eszközökön. Ha az Igen értékre van állítva, ahol támogatott, a Windows megköveteli, hogy minden felhasználó hamisítás elleni hamisítást használjon az arcfelismeréshez.

    • Telefonos bejelentkezés használata: Kétfaktoros hitelesítést konfigurál mobiltelefonnal.

  6. Fejezze be a varázslót.

Az alábbi képernyőképen egy példa látható Vállalati Windows Hello profilbeállításokra:

Vállalati Windows Hello Házirend varázsló az elérhető beállítások listájával

Engedélyek konfigurálása

  1. Tartományi rendszergazdaként vagy azzal egyenértékű hitelesítő adatokkal jelentkezzen be egy biztonságos, rendszergazdai munkaállomásra, amely a következő választható funkcióval rendelkezik: RSAT: Active Directory tartományi szolgáltatások és Lightweight Directory Services Tools.

  2. Nyissa meg a Active Directory - felhasználók és számítógépek konzolt.

  3. Jelölje ki a tartományt, lépjen a Művelet menübe, és válassza a Tulajdonságok lehetőséget.

  4. Váltson a Biztonság lapra, és válassza a Speciális lehetőséget.

    Tipp

    Ha nem látja a Biztonság lapot, zárja be a tulajdonságok ablakát. Nyissa meg a Nézet menüt, és válassza a Speciális szolgáltatások lehetőséget.

  5. Válassza a Hozzáadás lehetőséget.

  6. Válassza a Rendszerbiztonsági tag kiválasztása lehetőséget, és írja be a parancsot Key Admins.

  7. Az Érvényesség listában válassza a Leszármazott felhasználói objektumok elemet.

  8. A lap alján válassza az Összes törlése lehetőséget.

  9. A Tulajdonságok szakaszban válassza az Olvasás msDS-KeyCredentialLink lehetőséget.

  10. Kattintson az OK gombra a módosítások mentéséhez és az összes ablak bezárásához.

Következő lépések

Tanúsítványprofilok