Windows Hello voor Bedrijven instellingen in Configuration Manager

  • Artikel

Van toepassing op: Configuration Manager (current branch)

Configuration Manager integreert met Windows Hello voor Bedrijven. (Deze functie stond voorheen bekend als Microsoft Passport for Work.) Windows Hello voor Bedrijven is een alternatieve aanmeldingsmethode voor Windows 10 apparaten. Het maakt gebruik van Active Directory of een Microsoft Entra-account om een wachtwoord, smartcard of virtuele smartcard te vervangen. Met Hello for Business kunt u een gebruikersbeweging gebruiken om u aan te melden in plaats van een wachtwoord. Een gebruikersbeweging kan een pincode, biometrische verificatie of een extern apparaat, zoals een vingerafdruklezer, zijn.

Belangrijk

Vanaf versie 2203 wordt deze functie voor bedrijfsresources niet meer ondersteund. Zie Veelgestelde vragen over afschaffing van resourcetoegang voor meer informatie.

Active Directory Federation Services ADFS RA-implementatie (Registration Authority) is eenvoudiger, biedt een betere gebruikerservaring en heeft een meer deterministische ervaring voor certificaatinschrijving. Gebruik ADFS RA voor verificatie op basis van certificaten met Windows Hello voor Bedrijven.

Zie Windows Hello voor Bedrijven voor meer informatie.

Opmerking

Configuration Manager schakelt deze optionele functie niet standaard in. U moet deze functie inschakelen voordat u deze kunt gebruiken. Zie Optionele functies van updates inschakelen voor meer informatie.

Configuration Manager integreert op de volgende manieren met Windows Hello voor Bedrijven:

  • Bepalen welke bewegingen gebruikers wel en niet kunnen gebruiken om zich aan te melden.

  • Sla verificatiecertificaten op in de KSP (Key Storage Provider) van Windows Hello voor Bedrijven. Zie Certificaatprofielen voor meer informatie.

  • Maak en implementeer een Windows Hello voor Bedrijven-profiel om de instellingen te beheren op domein-gekoppelde Windows 10 apparaten waarop de Configuration Manager-client wordt uitgevoerd. Vanaf versie 1910 kunt u geen verificatie op basis van certificaten gebruiken. Wanneer u verificatie op basis van sleutels gebruikt, hoeft u geen certificaatprofiel te implementeren.

Een profiel configureren

  1. Ga in de Configuration Manager-console naar de werkruimte Activa en naleving. Vouw Nalevingsinstellingen uit, vouw Toegang tot bedrijfsresources uit en selecteer het knooppunt Windows Hello voor Bedrijven Profielen.

  2. Selecteer op het lint Windows Hello voor Bedrijven profiel maken om de profielwizard te starten.

  3. Geef op de pagina Algemeen een naam en een optionele beschrijving op voor dit profiel.

  4. Selecteer op de pagina Ondersteunde platforms de versies van het besturingssysteem waarop dit profiel moet worden toegepast.

  5. Configureer op de pagina Instellingen de volgende instellingen:

    • Windows Hello voor Bedrijven configureren: geef op of dit profiel Hello voor Bedrijven inschakelt, uitschakelt of niet configureert.

    • Een Trusted Platform Module (TPM) gebruiken: een TPM biedt een extra laag gegevensbeveiliging. Kies een van de volgende waarden:

      • Vereist: alleen apparaten met een toegankelijke TPM kunnen Windows Hello voor Bedrijven inrichten.

      • Voorkeur: apparaten proberen eerst een TPM te gebruiken. Als deze niet beschikbaar is, kunnen ze softwareversleuteling gebruiken.

    • Verificatiemethode: stel deze optie in op Niet geconfigureerd of Op sleutel gebaseerd.

      Opmerking

      Vanaf versie 1910 wordt verificatie op basis van certificaten met Windows Hello voor Bedrijven instellingen in Configuration Manager niet ondersteund.

    • Minimale pincodelengte configureren: als u een minimale lengte wilt vereisen voor de pincode van de gebruiker, schakelt u deze optie in en geeft u een waarde op. Als deze optie is ingeschakeld, is 4de standaardwaarde .

    • Maximale lengte van pincode configureren: als u een maximale lengte wilt vereisen voor de pincode van de gebruiker, schakelt u deze optie in en geeft u een waarde op. Wanneer deze optie is ingeschakeld, is 127de standaardwaarde .

    • Vervaldatum van pincode vereisen (dagen): hiermee geeft u het aantal dagen op voordat de gebruiker de pincode van het apparaat moet wijzigen.

    • Voorkomen dat eerdere pincodes opnieuw worden gebruikt: gebruikers mogen geen pincodes gebruiken die ze eerder hebben gebruikt.

    • Hoofdletters in pincode vereisen: hiermee geeft u op of gebruikers hoofdletters moeten opnemen in de Windows Hello voor Bedrijven pincode. Kies uit:

      • Toegestaan: gebruikers kunnen hoofdletters gebruiken in hun pincode, maar hoeven dit niet te doen.

      • Vereist: gebruikers moeten ten minste één hoofdletter in hun pincode opnemen.

      • Niet toegestaan: gebruikers kunnen geen hoofdletters gebruiken in hun pincode.

    • Kleine letters in pincode vereisen: hiermee geeft u op of gebruikers kleine letters moeten opnemen in de Windows Hello voor Bedrijven pincode. Kies uit:

      • Toegestaan: gebruikers kunnen kleine letters gebruiken in hun pincode, maar hoeven dit niet te doen.

      • Vereist: gebruikers moeten ten minste één kleine letter in hun pincode opnemen.

      • Niet toegestaan: gebruikers kunnen geen kleine letters gebruiken in hun pincode.

    • Speciale tekens configureren: hiermee geeft u het gebruik van speciale tekens in de pincode op. Kies uit:

      Opmerking

      Speciale tekens zijn onder andere de volgende set:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Toegestaan: gebruikers kunnen speciale tekens in hun pincode gebruiken, maar hoeven dit niet te doen.

      • Vereist: gebruikers moeten ten minste één speciaal teken in hun pincode opnemen.

      • Niet toegestaan: gebruikers kunnen geen speciale tekens in hun pincode gebruiken. Dit gedrag is ook als de instelling Niet geconfigureerd is.

    • Het gebruik van cijfers in pincode configureren: hiermee geeft u het gebruik van getallen in de pincode op. Kies uit:

      • Toegestaan: gebruikers kunnen nummers in hun pincode gebruiken, maar hoeven dat niet te doen.

      • Vereist: gebruikers moeten ten minste één nummer in hun pincode opnemen.

      • Niet toegestaan: gebruikers kunnen geen nummers in hun pincode gebruiken.

    • Biometrische bewegingen inschakelen: gebruik biometrische verificatie, zoals gezichtsherkenning of vingerafdruk. Deze modi zijn een alternatief voor een pincode voor Windows Hello voor Bedrijven. Gebruikers configureren nog steeds een pincode voor het geval biometrische verificatie mislukt.

      Als deze optie is ingesteld op Ja, staat Windows Hello voor Bedrijven biometrische verificatie toe. Als deze optie is ingesteld op Nee, voorkomt Windows Hello voor Bedrijven biometrische verificatie voor alle accounttypen.

    • Verbeterde anti-adresvervalsing gebruiken: configureert verbeterde anti-adresvervalsing op apparaten die dit ondersteunen. Indien ingesteld op Ja, indien ondersteund, vereist Windows dat alle gebruikers anti-adresvervalsing gebruiken voor gezichtskenmerken.

    • Telefoon aanmelden gebruiken: hiermee configureert u tweeledige verificatie met een mobiele telefoon.

  6. Voltooi de wizard.

De volgende schermopname is een voorbeeld van Windows Hello voor Bedrijven profielinstellingen:

Windows Hello voor Bedrijven wizard Beleid, waarin de lijst met beschikbare instellingen wordt weergegeven

Machtigingen configureren

  1. Meld u als domeinbeheerder of gelijkwaardige referenties aan bij een beveiligd, beheerwerkstation waarop de volgende optionele functie is geïnstalleerd: RSAT: Active Directory Domain Services en Lightweight Directory Services Tools.

  2. Open de Active Directory: gebruikers en computers-console.

  3. Selecteer het domein, ga naar het actiemenu en selecteer Eigenschappen.

  4. Ga naar het tabblad Beveiliging en selecteer Geavanceerd.

    Tip

    Als u het tabblad Beveiliging niet ziet, sluit u het eigenschappenvenster. Ga naar het menu Beeld en selecteer Geavanceerde functies.

  5. Kies Toevoegen.

  6. Kies Een principal selecteren en voer in Key Admins.

  7. Selecteer in de lijst Van toepassing opde optie Onderliggende gebruikersobjecten.

  8. Selecteer onderaan de pagina Alles wissen.

  9. Selecteer in de sectie Eigenschappende optie MsDS-KeyCredentialLink lezen.

  10. Selecteer OK om uw wijzigingen op te slaan en alle vensters te sluiten.

Volgende stappen

Certificaatprofielen