Windows Hello for Business beállításai a Configuration ManagerbenWindows Hello for Business settings in Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A Configuration Manager lehetővé teszi az integrációt a Windows Hello for Business (korábban Microsoft Passport for Windows), amely egy alternatív bejelentkezési módszer Windows 10 rendszerű eszközökhöz. Configuration Manager lets you integrate with Windows Hello for Business (formerly Microsoft Passport for Windows), which is an alternative sign-in method for Windows 10 devices. A Hello for Business Active Directoryt vagy egy Azure Active Directory-fiókot használ jelszó, intelligens kártya vagy virtuális intelligens kártya helyett.Hello for Business uses Active Directory, or an Azure Active Directory account to replace a password, smart card, or virtual smart card. Vállalati Windows hello lehetővé teszi, hogy egy felhasználói hitelesítési módok való bejelentkezéshez, jelszó helyett.Hello for Business lets you use a user gesture to log in, instead of a password. A felhasználói hitelesítési mód lehet egy egyszerű PIN-kód, biometrikus hitelesítés vagy egy külső eszköz, például egy ujjlenyomat-olvasó.A user gesture might be a simple PIN, biometric authentication, or an external device such as a fingerprint reader.

Fontos

2017 decemberi Windows Hello for Business beállításai a Configuration Manager van egy elavult funkció.As of December 2017, Windows Hello for Business settings in Configuration Manager is a deprecated feature. A Windows Server 2016 Active Directory összevonási szolgáltatások Igénylésregisztrációs szolgáltatóként (AD FS-RA) központi telepítés egyszerűbb, jobb felhasználói élményt biztosít, és van egy sokkal kiszámíthatóbb tanúsítvány regisztrációs folyamatot.Windows Server 2016 Active Directory Federation Services Registration Authority (ADFS RA) deployment is simpler, provides a better user experience, and has a more deterministic certificate enrollment experience.

További információkért lásd: Windows Hello for Business.For more information, see Windows Hello for Business.

Megjegyzés

A Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót.Configuration Manager doesn't enable this optional feature by default. Használat előtt engedélyeznie kell ezt a szolgáltatást.You must enable this feature before using it. További információkért lásd: a frissítések választható funkcióinak engedélyezése.For more information, see Enable optional features from updates.

A Configuration Manager két módon integrálható a Windows Hello for Business:Configuration Manager integrates with Windows Hello for Business in two ways:

Konfigurálása Windows Hello for Business tartományhoz csatlakoztatott Windows 10 rendszerű eszközökönConfigure Windows Hello for Business on domain-joined Windows 10 devices

Szabályozhatja Windows Hello for Business beállításai tartományhoz csatlakoztatott Windows 10 rendszerű eszközökön létrehozásával és telepítésével a Windows Hello-profil.You can control Windows Hello for Business settings on domain-joined Windows 10 devices by creating and deploying a Windows Hello for Business Profile. Ez a módszer javasolt.This approach is recommended.

Ha tanúsítványalapú hitelesítést használ, is telepítenie kell egy tanúsítványprofilt leírtak szerint tanúsítványprofil konfigurálása.If you are using certificate-based authentication, you must also deploy a certificate profile, as described in Configure a certificate profile. Ha a kulcs-alapú hitelesítést használ, nem kell tanúsítványprofil központi telepítése.If you are using key-based authentication, you do not need to deploy a certificate profile.

A Windows Hello-profil konfigurálásaConfigure a Windows Hello for Business profile

A Configuration Manager konzolon a hozzáférés a vállalati erőforrásokhoz, kattintson a jobb gombbal Windows Hello-profilok válassza új profil varázsló elindításához.In the Configuration Manager console, under Company Resource Access, right-click Windows Hello for Business Profiles and choose New to start the profile wizard. Adja meg a beállítások a varázsló által kért tekintse át és hagyja jóvá a beállításokat az utolsó oldalon, és kattintson a Bezárás.Provide the settings requested by the wizard, review and confirm the settings on the last page, and click Close. Íme egy példa a beállítások néz:Here's an example of what your settings might look like:

Windows Hello for Business házirend varázsló, rendelkezésre álló beállítások listája

Tanúsítványprofil konfigurálása a Windows Hello for Business beléptetési tanúsítvány Configuration Managerbe való beléptetéséhezConfigure a certificate profile to enroll the Windows Hello for Business enrollment certificate in Configuration Manager

Ha a használni kívánt Windows Hello for Business tanúsítvány-alapú bejelentkezést, adja meg a következő összetevők:If you want to use Windows Hello for Business certificate-based logon, configure the following components:

  • Egy Configuration Manager-tanúsítványprofilt.A Configuration Manager certificate profile.

  • A tanúsítványprofilban válassza ki a sablont, amely intelligens kártyás bejelentkezési kibővített kulcshasználatot alkalmaz.In the certificate profile, select a template that uses Smart Card logon EKU.

  • Ha szeretné tárolni a tanúsítványprofilok a Windows Hello for Business kulcstároló, és a tanúsítványprofil használja a intelligens kártyás bejelentkezés EKU-t, konfigurálnia kell a következő engedélyek kulcs regisztráció győződjön meg arról a tanúsítvány volt megfelelő.If you intend to store certificate profiles in the Windows Hello for Business key container, and the certificate profile uses the Smart Card Logon EKU, you must configure the following permissions for key registration to ensure the certificate is validated correctly. Először létrehozott kell a kulcs rendszergazdák csoportot, és az összes Configuration Manager felügyeleti pont számítógépek tagként ehhez a csoporthoz hozzáadott.You must first have created the Key Admins group and added all Configuration Manager management point computers as members to this group.

Bizonyos konfigurációk nem feltétlenül kell konfigurálnia az engedélyeket, vagy további konfigurációt igényelhetnek.Some configurations might not need you to configure permissions, or might require further configurations. Tekintse meg a következő táblázat további segítséget itt találhat:Refer to the following table for more help:

Windows-ügyfél verziójaWindows client version Configuration Manager 1602-es vagy az 1606-osConfiguration Manager 1602 or 1606 A Configuration Manager 1610-esConfiguration Manager 1610 Configuration Manager 1702 vagy újabbConfiguration Manager 1702 or later
A Windows 10 Évfordulós frissítésWindows 10 Anniversary Update Nincs szükség a gyorsjavításNo hotfix required

Nem szükséges engedélyekNo permissions required

Nem szükséges Windows-séma frissítéseNo Windows schema update required
Nincs szükség a gyorsjavítás (lásd: figyelmeztetés)No hotfix required (see Warning)

Nem szükséges engedélyekNo permissions required

Nem szükséges Windows-séma frissítéseNo Windows schema update required
Engedélyek konfigurálásaConfigure permissions

A Windows Server 2016 sémát alkalmaz az Active DirectoryApply Windows Server 2016 schema to Active Directory
A Windows 10 alkotói frissítés vagy újabbWindows 10 Creators Update or later Nem támogatottNot supported Telepítés gyorsjavításInstall this hotfix

Engedélyek konfigurálásaConfigure permissions

A Windows Server 2016 sémát alkalmaz az Active DirectoryApply Windows Server 2016 schema to Active Directory
Engedélyek konfigurálásaConfigure permissions

A Windows Server 2016 sémát alkalmaz az Active DirectoryApply Windows Server 2016 schema to Active Directory

Figyelmeztetés

Miközben gyorsjavítás van nem szükséges a Configuration Manager 1610-es és Windows 10 Évfordulós frissítésére, akkor előfordulhat, hogy telepítve.While the hotfix is not required for Configuration Manager 1610 and Windows 10 Anniversary Update, it may be installed. Ha a gyorsjavítás telepítve van, és a Windows Server 2016 sémát alkalmaz az Active Directory-engedélyek konfigurálása a szüksége.If the hotfix is installed, you need to configure permissions and apply Windows Server 2016 schema to Active Directory.

Engedélyek beállításaTo configure permissions

  1. Jelentkezzen be egy tartományvezérlő vagy a felügyeleti munkaállomások tartományi rendszergazda vagy a megfelelő hitelesítő adatokat.Sign in to a domain controller or management workstations with Domain Admin, or equivalent credentials.
  2. Nyissa meg az Active Directory – felhasználók és számítógépek.Open Active Directory Users and Computers.
  3. A navigációs ablaktáblán kattintson a jobb gombbal tartománynevére, és kattintson tulajdonságok.From the navigation pane, right-click your domain name, and then click Properties.
  4. Az a biztonsági lapján a tulajdonságok párbeszédpanelen kattintson a speciális.On the Security tab of the Properties dialog box, click Advanced. Ha a biztonsági lap nem jelenik meg, kapcsolja be a speciális funkciók származó a nézet menüjében Active Directory – felhasználók és számítógépek.If the Security tab is not displayed, turn on Advanced Features from the View menu of Active Directory Users and Computers.
  5. Kattintson a Hozzáadáslehetőségre.Click Add.
  6. Az a engedélybejegyzés párbeszédpanelen kattintson a rendszerbiztonsági tag kiválasztása.In the Permission Entry for dialog box, click Select a principal.
  7. Az a válassza ki a felhasználó, számítógép, szolgáltatásfiók vagy csoport párbeszédpanelen írja be kulcs rendszergazdák a a írja be a kijelölendő objektum nevét szövegmezőben.In the Select User, Computer, Service Account, or Group dialog box, type Key Admins in the Enter the object name to select text box. Kattintson az OK gombra.Click OK.
  8. Az a vonatkozik listáról válassza ki leszármazott felhasználó objektumai.From the Applies to list, select Descendant User objects.
  9. Görgessen a lap aljára, és kattintson a összes törlése.Scroll to the bottom of the page and click Clear all.
  10. Az a tulajdonságok szakaszban jelölje be olvassa el az msDS-KeyCredentialLink.In the Properties section, select Read msDS-KeyCredentialLink.
  11. Kattintson a OK háromszor a feladat végrehajtásához.Click OK three times to complete the task.

További lépésekNext steps

További információkért lásd: Tanúsítványprofilok.For more information, see Certificate profiles.