Ustawienia usługi Windows Hello dla firm w Configuration ManagerWindows Hello for Business settings in Configuration Manager

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Configuration Manager integruje się z usługą Windows Hello dla firm.Configuration Manager integrates with Windows Hello for Business. (Ta funkcja była wcześniej znana jako Microsoft Passport for Work). Funkcja Windows Hello dla firm to alternatywna metoda logowania dla urządzeń z systemem Windows 10.(This feature was formerly known as Microsoft Passport for Work.) Windows Hello for Business is an alternative sign-in method for Windows 10 devices. Używa Active Directory lub konta Azure Active Directory (Azure AD) do zamiany hasła, karty inteligentnej lub wirtualnej karty inteligentnej.It uses Active Directory or an Azure Active Directory (Azure AD) account to replace a password, smart card, or virtual smart card. Funkcja Hello dla firm umożliwia użycie gestu użytkownika w celu zalogowania się zamiast hasła.Hello for Business lets you use a user gesture to sign in instead of a password. Gestem użytkownika może być numer PIN, uwierzytelnianie biometryczne lub urządzenie zewnętrzne, np. czytnik odcisku palca.A user gesture might be a PIN, biometric authentication, or an external device such as a fingerprint reader.

Ważne

Począwszy od wersji 1910, uwierzytelnianie oparte na certyfikatach z ustawieniami usługi Windows Hello dla firm w Configuration Manager nie jest obsługiwane.Starting in version 1910, certificate-based authentication with Windows Hello for Business settings in Configuration Manager isn't supported. Aby uzyskać więcej informacji, zobacz przestarzałe funkcje.For more information, see deprecated features. Uwierzytelnianie oparte na kluczach jest nadal ważne.Key-based authentication is still valid.

Wdrożenie Active Directory Federation Services urzędu rejestrowania (AD DS) jest prostsze, zapewnia lepszy komfort pracy użytkowników i oferuje bardziej deterministyczne środowisko rejestracji certyfikatu.Active Directory Federation Services Registration Authority (ADFS RA) deployment is simpler, provides a better user experience, and has a more deterministic certificate enrollment experience. Użyj urzędu rejestrowania usług AD FS do uwierzytelniania opartego na certyfikatach za pomocą usługi Windows Hello dla firm.Use ADFS RA for certificate-based authentication with Windows Hello for Business.

W przypadku urządzeń współzarządzanych Rozważ przeniesienie obciążenia zasad dostępu do zasobów do usługi Intune.For co-managed devices, consider moving the Resource access policies workload to Intune. Następnie użyj zasad usługi Intune do zarządzania tymi certyfikatami.Then use Intune policies to manage these certificates. Aby uzyskać więcej informacji, zobacz Jak przełączyć obciążenia.For more information, see How to switch workloads.

Aby uzyskać więcej informacji, zobacz Funkcja Windows Hello dla firm.For more information, see Windows Hello for Business.

Uwaga

Configuration Manager domyślnie nie włącza tej funkcji opcjonalnej.Configuration Manager doesn't enable this optional feature by default. Tę funkcję należy włączyć przed jej użyciem.You must enable this feature before using it. Aby uzyskać więcej informacji, zobacz Enable optional features from updates.For more information, see Enable optional features from updates.

Configuration Manager integruje się z usługą Windows Hello dla firm w następujący sposób:Configuration Manager integrates with Windows Hello for Business in the following ways:

  • Kontroluj, które gesty mogą być używane przez użytkowników do logowania.Control which gestures users can and can't use to sign in.

  • Przechowywanie certyfikatów uwierzytelniania w dostawcy magazynu kluczy usługi Windows Hello dla firm (dostawcy magazynu kluczy).Store authentication certificates in the Windows Hello for Business key storage provider (KSP). Aby uzyskać więcej informacji, zobacz Profile certyfikatów.For more information, see Certificate profiles.

  • Utwórz i Wdróż profil usługi Windows Hello dla firm, aby kontrolować jego ustawienia na urządzeniach z systemem Windows 10 przyłączonych do domeny z uruchomionym klientem Configuration Manager.Create and deploy a Windows Hello for Business profile to control its settings on domain-joined Windows 10 devices that run the Configuration Manager client. Począwszy od wersji 1910, nie można używać uwierzytelniania opartego na certyfikatach.Starting in version 1910, you can't use certificate-based authentication. W przypadku korzystania z uwierzytelniania opartego na kluczach nie trzeba wdrażać profilu certyfikatu.When using key-based authentication, you don't need to deploy a certificate profile.

Konfigurowanie profiluConfigure a profile

  1. W konsoli Configuration Manager przejdź do obszaru roboczego zasoby i zgodność .In the Configuration Manager console, go to the Assets and Compliance workspace. Rozwiń węzeł Ustawienia zgodności, rozwiń węzeł dostęp do zasobów firmy, a następnie wybierz węzeł Profile usługi Windows Hello dla firm .Expand Compliance Settings, expand Company Resource Access, and select the Windows Hello for Business Profiles node.

  2. Na wstążce wybierz pozycję Utwórz profil usługi Windows Hello dla firm , aby uruchomić Kreatora profilu.In the ribbon, select Create Windows Hello for Business Profile to start the profile wizard.

  3. Na stronie Ogólne Określ nazwę i opcjonalny opis tego profilu.On the General page, specify a name and an optional description for this profile.

  4. Na stronie obsługiwane platformy wybierz wersje systemu operacyjnego, do których ma być stosowany ten profil.On the Supported Platforms page, select the OS versions to which this profile should apply.

  5. Na stronie Ustawienia skonfiguruj następujące ustawienia:On the Settings page, configure the following settings:

    • Skonfiguruj funkcję Windows Hello dla firm: Określ, czy ten profil włącza, wyłącza, czy nie konfiguruje usługi Hello dla firm.Configure Windows Hello for Business: Specify whether this profile enables, disables, or doesn't configure Hello for Business.

    • Użyj moduł TPM (TPM): moduł TPM zapewnia dodatkową warstwę zabezpieczeń danych.Use a Trusted Platform Module (TPM): A TPM provides an additional layer of data security. Wybierz jedną z następujących opcji:Choose one of the following values:

      • Wymagane: tylko urządzenia z DOSTĘPnym modułem TPM mogą inicjować obsługę usługi Windows Hello dla firm.Required: Only devices with an accessible TPM can provision Windows Hello for Business.

      • Preferowane: urządzenia najpierw próbują użyć modułu TPM.Preferred: Devices first attempt to use a TPM. Jeśli nie jest on dostępny, mogą używać szyfrowania oprogramowania.If it's not available, they can use software encryption.

    • Metoda uwierzytelniania: Ustaw tę opcję na nieskonfigurowaną lub opartą na kluczu.Authentication method: Set this option to Not configured or Key-based.

      Uwaga

      Począwszy od wersji 1910, uwierzytelnianie oparte na certyfikatach z ustawieniami usługi Windows Hello dla firm w Configuration Manager nie jest obsługiwane.Starting in version 1910, certificate-based authentication with Windows Hello for Business settings in Configuration Manager isn't supported.

    • Skonfiguruj minimalną długość numeru PIN: Jeśli chcesz wymagać minimalnej długości numeru PIN użytkownika, Włącz tę opcję i określ wartość.Configure minimum PIN length: If you want to require a minimum length for the user's PIN, enable this option and specify a value. Po włączeniu wartość domyślna to 4.When enabled, the default value is 4.

    • Skonfiguruj maksymalną długość numeru PIN: Jeśli chcesz wymagać maksymalnej długości numeru PIN użytkownika, Włącz tę opcję i określ wartość.Configure maximum PIN length: If you want to require a maximum length for the user's PIN, enable this option and specify a value. Po włączeniu wartość domyślna to 127.When enabled the default value is 127.

    • Wymagaj wygaśnięcia numeru PIN (dni): określa liczbę dni, po której użytkownik musi zmienić numer PIN urządzenia.Require PIN expiration (days): Specifies the number of days before the user must change the device PIN.

    • Zapobiegaj ponownemu używaniu poprzednich numerów PIN: nie Zezwalaj użytkownikom na korzystanie z użytych wcześniej numerów PIN.Prevent reuse of previous PINs: Don't allow users to use PINs they have previously used.

    • Wymagaj wielkich liter w numerze PIN: określa, czy użytkownicy muszą zawierać wielkie litery w numerze PIN usługi Windows Hello dla firm.Require upper-case letters in PIN: Specifies whether users must include uppercase letters in the Windows Hello for Business PIN. Wybierz spośród opcji:Choose from:

      • Dozwolone: użytkownicy mogą używać wielkich liter w numerach PIN, ale nie muszą.Allowed: Users can use uppercase characters in their PIN, but don't have to.

      • Wymagane: użytkownicy muszą zawierać co najmniej jedną wielką literę w numerze PIN.Required: Users must include at least one uppercase character in their PIN.

      • Niedozwolone: użytkownicy nie mogą używać wielkich liter w numerach PIN.Not allowed: Users can't use uppercase characters in their PIN.

    • Wymagaj małych liter w numerze PIN: określa, czy użytkownicy muszą zawierać małe litery w numerze PIN usługi Windows Hello dla firm.Require lower-case letters in PIN: Specifies whether users must include lowercase letters in the Windows Hello for Business PIN. Wybierz spośród opcji:Choose from:

      • Dozwolone: użytkownicy mogą używać małych liter w numerach PIN, ale nie muszą.Allowed: Users can use lowercase characters in their PIN, but don't have to.

      • Wymagane: użytkownicy muszą zawierać co najmniej jedną małą literę w numerze PIN.Required: Users must include at least one lowercase character in their PIN.

      • Niedozwolone: użytkownicy nie mogą używać małych liter w numerach PIN.Not allowed: Users can't use lowercase characters in their PIN.

    • Konfiguruj znaki specjalne: Określa użycie znaków specjalnych w numerze PIN.Configure special characters: Specifies the use of special characters in the PIN. Wybierz spośród opcji:Choose from:

      Uwaga

      Znaki specjalne obejmują następujący zestaw:Special characters include the following set:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
      
      • Dozwolone: użytkownicy mogą używać znaków specjalnych w numerach PIN, ale nie muszą.Allowed: Users can use special characters in their PIN, but don't have to.

      • Wymagane: użytkownicy muszą zawierać co najmniej jeden znak specjalny w numerze PIN.Required: Users must include at least one special character in their PIN.

      • Niedozwolone: użytkownicy nie mogą używać znaków specjalnych w numerach PIN.Not allowed: Users can't use special characters in their PIN. To zachowanie jest również w przypadku, gdy ustawienie nie jest skonfigurowane.This behavior is also if the setting is Not configured.

    • Skonfiguruj użycie cyfr w numerze PIN: Określa użycie liczb w numerze PIN.Configure the use of digits in PIN: Specifies the use of numbers in the PIN. Wybierz spośród opcji:Choose from:

      • Dozwolone: użytkownicy mogą używać cyfr w numerach PIN, ale nie muszą.Allowed: Users can use numbers in their PIN, but don't have to.

      • Wymagane: użytkownicy muszą zawierać co najmniej jedną cyfrę w numerze PIN.Required: Users must include at least one number in their PIN.

      • Niedozwolone: użytkownicy nie mogą używać cyfr w numerach PIN.Not allowed: Users can't use numbers in their PIN.

    • Włącz gesty biometryczne: Użyj uwierzytelniania biometrycznego, takiego jak rozpoznawanie twarzy lub odcisk palca.Enable biometric gestures: Use biometric authentication such as facial recognition or fingerprint. Te tryby stanowią alternatywę dla numeru PIN usługi Windows Hello dla firm.These modes are an alternative to a PIN for Windows Hello for Business. Użytkownicy nadal konfigurują numer PIN na wypadek niepowodzenia uwierzytelniania biometrycznego.Users still configure a PIN in case biometric authentication fails.

      W przypadku wybrania opcji takfunkcja Windows Hello dla firm umożliwia uwierzytelnianie biometryczne.If set to Yes, Windows Hello for Business allows biometric authentication. Jeśli ustawisz wartość nie, funkcja Windows Hello dla firm uniemożliwia uwierzytelnianie biometryczne dla wszystkich typów kont.If set to No, Windows Hello for Business prevents biometric authentication for all account types.

    • Użyj rozszerzonej ochrony przed fałszowaniem: konfiguruje rozszerzoną funkcję ochrony przed fałszowaniem na urządzeniach, które je obsługują.Use enhanced anti-spoofing: Configures enhanced anti-spoofing on devices that support it. W przypadku wybrania opcji tak, jeśli jest obsługiwana, system Windows wymaga od wszystkich użytkowników używania ochrony przed fałszowaniem dla funkcji twarzy.If set to Yes, where supported, Windows requires all users to use anti-spoofing for facial features.

    • Użyj logowania za pomocą telefonu: konfiguruje uwierzytelnianie dwuskładnikowe za pomocą telefonu komórkowego.Use Phone Sign In: Configures two-factor authentication with a mobile phone.

  6. Wykonaj kroki kreatora.Complete the wizard.

Poniższy zrzut ekranu przedstawia przykład ustawień profilu usługi Windows Hello dla firm:The following screenshot is an example of Windows Hello for Business profile settings:

Kreator zasad usługi Windows Hello dla firm, pokazujący listę dostępnych ustawień

Konfigurowanie uprawnieńConfigure permissions

  1. Jako administrator domeny lub równoważne poświadczenia, zaloguj się do bezpiecznej, administracyjnej stacji roboczej, która ma zainstalowaną następującą opcjonalną funkcję: RSAT: Active Directory Domain Services i uproszczone narzędzia usług katalogowych.As a Domain Administrator or equivalent credentials, sign in to a secure, administrative workstation that has the following optional feature installed: RSAT: Active Directory Domain Services and Lightweight Directory Services Tools.

  2. Otwórz konsolę Active Directory Użytkownicy i komputery .Open the Active Directory Users and Computers console.

  3. Wybierz domenę, przejdź do menu Akcja , a następnie wybierz pozycję Właściwości.Select the domain, go to the Action Menu, and select Properties.

  4. Przejdź do karty zabezpieczenia i wybierz pozycję Zaawansowane.Switch to the Security tab, and select Advanced.

    Porada

    Jeśli nie widzisz karty zabezpieczenia , Zamknij okno właściwości.If you don't see the Security tab, close the properties window. Przejdź do menu Widok , a następnie wybierz pozycję funkcje zaawansowane.Go to the View menu, and select Advanced Features.

  5. Wybierz pozycję Dodaj.Select Add.

  6. Wybierz pozycję Wybierz podmiot zabezpieczeń i Key Adminswprowadź wartość.Choose Select a principal and enter Key Admins.

  7. Z listy dotyczy wybierz pozycję obiekty zależne użytkownika.From the Applies to list, select Descendant User objects.

  8. W dolnej części strony wybierz pozycję Wyczyść wszystko.At the bottom of the page, select Clear all.

  9. W sekcji Właściwości wybierz pozycję Odczyt msDS-KeyCredentialLink.In the Properties section, select Read msDS-KeyCredentialLink.

  10. Wybierz przycisk OK , aby zapisać zmiany i zamknąć wszystkie okna.Select OK to save your changes and close all windows.

Następne krokiNext steps

Profile certyfikatówCertificate profiles