ustawienia Windows Hello dla firm w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Configuration Manager integruje się z Windows Hello dla firm. (Ta funkcja była wcześniej znana jako Microsoft Passport for Work). Windows Hello dla firm jest alternatywną metodą logowania dla urządzeń Windows 10. Używa usługi Active Directory lub konta Microsoft Entra w celu zastąpienia hasła, karty inteligentnej lub wirtualnej karty inteligentnej. Funkcja Hello dla firm umożliwia logowanie się zamiast hasła za pomocą gestu użytkownika . Gest użytkownika może być numerem PIN, uwierzytelnianiem biometrycznym lub urządzeniem zewnętrznym, takim jak czytnik linii papilarnych.

Ważna

Począwszy od wersji 2203, ta funkcja dostępu do zasobów firmy nie jest już obsługiwana. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące wycofywania dostępu do zasobów.

Active Directory Federation Services wdrożenie urzędu rejestracji (ADFS RA) jest prostsze, zapewnia lepsze środowisko użytkownika i ma bardziej deterministyczne środowisko rejestracji certyfikatów. Użyj usługi ADFS RA do uwierzytelniania opartego na certyfikatach z Windows Hello dla firm.

Aby uzyskać więcej informacji, zobacz Windows Hello dla firm.

Uwaga

Configuration Manager domyślnie nie włącza tej opcjonalnej funkcji. Należy włączyć tę funkcję przed jej użyciem. Aby uzyskać więcej informacji, zobacz Włączanie opcjonalnych funkcji z aktualizacji.

Configuration Manager integruje się z Windows Hello dla firm w następujący sposób:

• Kontroluj gesty, których użytkownicy mogą i których nie mogą używać do logowania.

• Przechowuj certyfikaty uwierzytelniania w dostawcy magazynu kluczy Windows Hello dla firm (KSP). Aby uzyskać więcej informacji, zobacz Profile certyfikatów.

• Utwórz i wdróż profil Windows Hello dla firm, aby kontrolować jego ustawienia na urządzeniach przyłączonych do domeny Windows 10 z uruchomionym klientem Configuration Manager. Począwszy od wersji 1910, nie można używać uwierzytelniania opartego na certyfikatach. W przypadku korzystania z uwierzytelniania opartego na kluczach nie trzeba wdrażać profilu certyfikatu.

Konfigurowanie profilu

1. W konsoli programu Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność. Rozwiń węzeł Ustawienia zgodności, rozwiń węzeł Dostęp do zasobów firmy i wybierz węzeł profile Windows Hello dla firm.

2. Na wstążce wybierz pozycję Utwórz profil Windows Hello dla firm, aby uruchomić kreatora profilu.

3. Na stronie Ogólne określ nazwę i opcjonalny opis tego profilu.

4. Na stronie Obsługiwane platformy wybierz wersje systemu operacyjnego, do których ma być stosowany ten profil.

5. Na stronie Ustawienia skonfiguruj następujące ustawienia:

   • Skonfiguruj Windows Hello dla firm: określ, czy ten profil jest włączany, wyłączany lub nie konfiguruje usługi Hello dla firm.

   • Korzystanie z modułu TPM (Trusted Platform Module): moduł TPM zapewnia dodatkową warstwę zabezpieczeń danych. Wybierz jedną z następujących wartości:

     • Wymagane: tylko urządzenia z dostępnym modułem TPM mogą aprowizować Windows Hello dla firm.

     • Preferowane: urządzenia najpierw próbują użyć modułu TPM. Jeśli nie jest dostępna, mogą używać szyfrowania oprogramowania.

   • Metoda uwierzytelniania: ustaw tę opcję na Wartość Nieskonfigurowane lub Oparta na kluczu.

     Uwaga

     Od wersji 1910 uwierzytelnianie oparte na certyfikatach z ustawieniami Windows Hello dla firm w Configuration Manager nie jest obsługiwane.

   • Skonfiguruj minimalną długość numeru PIN: jeśli chcesz wymagać minimalnej długości numeru PIN użytkownika, włącz tę opcję i określ wartość. Po włączeniu wartością domyślną jest 4.

   • Skonfiguruj maksymalną długość numeru PIN: jeśli chcesz wymagać maksymalnej długości numeru PIN użytkownika, włącz tę opcję i określ wartość. Po włączeniu wartością domyślną jest 127.

   • Wymagaj wygaśnięcia numeru PIN (dni): określa liczbę dni, po których użytkownik musi zmienić numer PIN urządzenia.

   • Zapobiegaj ponownemu użyciu poprzednich numerów PIN: nie zezwalaj użytkownikom na używanie wcześniej używanych numerów PIN.

   • Wymagaj wielkich liter w numerze PIN: określa, czy użytkownicy muszą zawierać wielkie litery w numerze PIN Windows Hello dla firm. Wybierz jedną z następujących opcji:

     • Dozwolone: użytkownicy mogą używać wielkich liter w numerze PIN, ale nie muszą.

     • Wymagane: użytkownicy muszą zawierać co najmniej jeden wielki znak w numerze PIN.

     • Niedozwolone: użytkownicy nie mogą używać wielkich liter w numerze PIN.

   • Wymagaj małych liter w numerze PIN: określa, czy użytkownicy muszą zawierać małe litery w numerze PIN Windows Hello dla firm. Wybierz jedną z następujących opcji:

     • Dozwolone: użytkownicy mogą używać małych liter w numerze PIN, ale nie muszą.

     • Wymagane: użytkownicy muszą zawierać co najmniej jeden znak małych liter w numerze PIN.

     • Niedozwolone: użytkownicy nie mogą używać małych liter w numerze PIN.

   • Konfigurowanie znaków specjalnych: określa użycie znaków specjalnych w numerze PIN. Wybierz jedną z następujących opcji:

     Uwaga

     Znaki specjalne obejmują następujący zestaw:

     ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
     

     • Dozwolone: użytkownicy mogą używać znaków specjalnych w numerze PIN, ale nie muszą.

     • Wymagane: użytkownicy muszą zawierać co najmniej jeden znak specjalny w numerze PIN.

     • Niedozwolone: użytkownicy nie mogą używać znaków specjalnych w numerze PIN. To zachowanie jest również wtedy, gdy ustawienie nie jest skonfigurowane.

   • Skonfiguruj użycie cyfr w numerze PIN: określa użycie liczb w numerze PIN. Wybierz jedną z następujących opcji:

     • Dozwolone: użytkownicy mogą używać numerów w numerach PIN, ale nie muszą tego robić.

     • Wymagane: użytkownicy muszą zawierać co najmniej jedną liczbę w numerze PIN.

     • Niedozwolone: użytkownicy nie mogą używać numerów w numerze PIN.

   • Włącz gesty biometryczne: użyj uwierzytelniania biometrycznego, takiego jak rozpoznawanie twarzy lub odcisk palca. Te tryby są alternatywą dla numeru PIN dla Windows Hello dla firm. Użytkownicy nadal konfiguruje numer PIN w przypadku niepowodzenia uwierzytelniania biometrycznego.

     Jeśli ustawiono wartość Tak, Windows Hello dla firm zezwala na uwierzytelnianie biometryczne. Jeśli ustawiono wartość Nie, Windows Hello dla firm uniemożliwia uwierzytelnianie biometryczne dla wszystkich typów kont.

   • Używanie rozszerzonej ochrony przed fałszowaniem: konfiguruje rozszerzone zabezpieczenia przed fałszowaniem na urządzeniach, które go obsługują. Jeśli ustawiono wartość Tak, jeśli jest to obsługiwane, system Windows wymaga, aby wszyscy użytkownicy korzystali z funkcji ochrony przed fałszowaniem na potrzeby funkcji twarzy.

   • Użyj logowania do telefonu: konfiguruje uwierzytelnianie dwuskładnikowe przy użyciu telefonu komórkowego.

6. Zakończ pracę kreatora.

Poniższy zrzut ekranu przedstawia przykład ustawień profilu Windows Hello dla firm:

Konfigurowanie uprawnień

1. Jako administrator domeny lub równoważne poświadczenia zaloguj się do bezpiecznej, administracyjnej stacji roboczej z zainstalowaną następującą opcjonalną funkcją: RSAT: Active Directory Domain Services i Lightweight Directory Services Tools.

2. Otwórz konsolę Użytkownicy i komputery usługi Active Directory.

3. Wybierz domenę, przejdź do menu akcji i wybierz pozycję Właściwości.

4. Przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane.

   Porada

   Jeśli nie widzisz karty Zabezpieczenia , zamknij okno właściwości. Przejdź do menu Widok i wybierz pozycję Funkcje zaawansowane.

5. Wybierz opcję Dodaj.

6. Wybierz pozycję Wybierz podmiot zabezpieczeń i wprowadź .Key Admins

7. Z listy Dotyczy wybierz pozycję Obiekty użytkownika potomnego.

8. W dolnej części strony wybierz pozycję Wyczyść wszystko.

9. W sekcji Właściwości wybierz pozycję Odczyt msDS-KeyCredentialLink.

10. Wybierz przycisk OK , aby zapisać zmiany i zamknąć wszystkie okna.

Następne kroki

Profile certyfikatów