Параметры профиля защиты идентификации в Intune для Windows Hello для бизнеса

  • Статья

Примечание.

Intune может поддерживать больше параметров, чем параметры, перечисленные в этой статье. Не все параметры документированы и не будут документированы. Чтобы просмотреть параметры, которые можно настроить, создайте политику конфигурации устройств и выберите Каталог параметров. Дополнительные сведения см. в разделе Каталог параметров.

В этой статье описаны Windows Hello для бизнеса параметры, которые можно настроить в профиле защиты идентификации. Профили защиты идентификации являются частью политики конфигурации устройств в Microsoft Intune. С помощью профиля защиты идентификации можно настроить параметры на дискретных группах устройств Windows 10/11. Сведения о настройке Windows Hello для бизнеса на уровне клиента в рамках регистрации устройств см. в разделе Создание политики Windows Hello для бизнесастатьи Интеграция Windows Hello для бизнеса с Microsoft Intune. В этом разделе описывается не только создание политики конфигурации на уровне клиента, но и параметры политики регистрации.

Дополнительные сведения об этих параметрах см. в статье Настройка параметров политики Windows Hello для бизнеса в документации по Windows Hello.

Дополнительные сведения о профилях защиты идентификации в Intune см. в статье Настройка защиты идентификации.

Подготовка к работе

Создайте профиль конфигурации.

Windows Hello для бизнеса

  • Настройка Windows Hello для бизнеса:

    • Не настроено (по умолчанию) — выберите этот параметр, если вы не хотите использовать Intune для управления параметрами Windows Hello для бизнеса. Все существующие параметры Windows Hello для бизнеса на устройствах Windows 10/11 не изменяются. После этого все остальные параметры на панели будут отключены.

    • Отключить. Если вы не хотите использовать Windows Hello для бизнеса, выберите этот параметр. Все остальные параметры на экране будут недоступны.

    • Включить. Выберите этот параметр, если вы хотите настроить параметры Windows Hello для бизнеса.

    Если задано значение Включить, доступны следующие параметры:

    • Minimum PIN length (Минимальная длина ПИН).
      Укажите минимальную длину ПИН-кода для устройств от 4 до 127 символов. По умолчанию этот параметр не настроен.

    • Максимальная длина ПИН-кода
      Укажите максимальную длину ПИН-кода для устройств от четырех до 127 символов. По умолчанию этот параметр не настроен.

    • Строчные буквы в ПИН-коде
      При необходимости ПИН-код пользователя должен содержать по крайней мере одну строчную букву. По умолчанию этот параметр не настроен.

      • Запрещено — запретить пользователям использовать строчные буквы в ПИН-коде. Это также происходит, если параметр не настроен.
      • Разрешено — разрешить пользователям использовать строчные буквы в ПИН-коде, но это необязательно.
      • Обязательный . Пользователи должны включать в ПИН-код по крайней мере одну строчную букву. Например, зачастую требуется включать по крайней мере одну прописную букву и один специальный символ.

    • Прописные буквы в ПИН-коде
      При необходимости ПИН-код пользователя должен содержать по крайней мере одну прописную букву. По умолчанию этот параметр не настроен.

      • Запрещено — запретить пользователям использовать прописные буквы в ПИН-коде. Это также происходит, если параметр не настроен.
      • Разрешено — разрешить пользователям использовать прописные буквы в ПИН-коде, но это необязательно.
      • Обязательный . Пользователи должны включать в ПИН-код по крайней мере одну прописную букву. Например, зачастую требуется включать по крайней мере одну прописную букву и один специальный символ.

    • Специальные символы в ПИН-коде
      При необходимости ПИН-код пользователя должен содержать по крайней мере один специальный символ. К специальным символам относятся: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Запрещено (по умолчанию) — запретить пользователям использовать специальные символы в ПИН-коде. Это также происходит, если параметр не настроен.
      • Разрешено — разрешить пользователям использовать прописные буквы в ПИН-коде, но это необязательно.
      • Обязательный . Пользователи должны включать в ПИН-код по крайней мере одну прописную букву. Например, зачастую требуется включать по крайней мере одну прописную букву и один специальный символ.

    • Срок действия ПИН-кода (в днях)
      Если это настроено, пользователь будет вынужден изменить СВОЙ ПИН-код по истечении заданного количества дней. Пользователь по-прежнему может заранее изменить СВОЙ ПИН-код до истечения срока действия. По умолчанию этот параметр не настроен.

    • Хранить историю ПИН-кодов
      Если это настроено, пользователь не сможет повторно использовать это число предыдущих ПИН-кодов. По умолчанию этот параметр не настроен.

    • Включить восстановление ПИН-кода
      Позволяет пользователю использовать службу восстановления ПИН-кода Windows Hello для бизнеса.

      • Включить — секрет восстановления ПИН-кода хранится на устройстве, и при необходимости пользователь может изменить свой ПИН-код.
      • Не настроено (по умолчанию) — секрет восстановления не создается и не сохраняется.

    • Использование доверенного платформенного модуля (TPM)
      TPM обеспечивает дополнительный уровень защиты данных.

      • Включить— подготавливать Windows Hello для бизнеса могут только устройства с доступным доверенным платформенный платформенный модуль.
      • Не настроено (по умолчанию) — устройства сначала пытаются использовать TPM. Если TPM недоступен, он может использовать шифрование программного обеспечения.

    • Разрешить биометрическую проверку подлинности
      Если это разрешено, Windows Hello для бизнеса могут выполнять проверку подлинности с помощью жестов, таких как лицо и отпечатки пальцев. Пользователи по-прежнему должны настроить ПИН-код в случае сбоя.

      • Включить — Windows Hello для бизнеса разрешает биометрическую проверку подлинности.
      • Не настроено (по умолчанию) — Windows Hello для бизнеса предотвращает биометрическую проверку подлинности (для всех типов учетных записей).

    • Использование расширенной защиты от спуфингов, если доступно
      Если этот параметр включен, устройства используют расширенные средства защиты от спуфингов, если они доступны (например, при обнаружении фотографии лица вместо реального лица).

      • Включить . Windows требует, чтобы все пользователи использовали анти-спуфингов для функций лица, если это поддерживается.
      • Не настроено (по умолчанию) — Windows учитывает конфигурации защиты от спуфингов на устройстве.

    • Сертификат для локальных ресурсов

      • Включить— позволяет Windows Hello для бизнеса использовать сертификаты для проверки подлинности в локальных ресурсах.
      • Не настроено (по умолчанию) — запрещает Windows Hello для бизнеса использовать сертификаты для проверки подлинности в локальных ресурсах. Вместо этого устройства используют поведение по умолчанию локальной проверки подлинности с доверием к ключу. Дополнительные сведения см. в статье Сертификат пользователя для локальной проверки подлинности в документации по Windows Hello.

  • Использование ключей безопасности для входа
    Этот параметр доступен для устройств под управлением Windows 10 версии 1903 или более поздней или Windows 11. Используйте его для управления поддержкой использования Windows Hello ключей безопасности для входа.

    • Включить. Пользователи могут использовать Windows Hello ключ безопасности в качестве учетных данных для входа для компьютеров, на которые используется эта политика.
    • Не настроено — ключи безопасности отключены, и пользователи не могут использовать их для входа на компьютеры.

Дальнейшие действия

Назначьте профиль и отслеживайте его состояние.