Windows Hello для бизнеса параметров в Configuration Manager

Применяется для: Configuration Manager (Current Branch)

Configuration Manager интегрируется с Windows Hello для бизнеса. (Эта функция ранее называлась Microsoft Passport for Work.) Windows Hello для бизнеса является альтернативным методом входа для Windows 10 устройств. Она использует Active Directory или Azure Active Directory (Azure AD) для замены пароля, смарт-карты или виртуальной смарт-карты. Hello for Business позволяет использовать жест пользователя для входа вместо пароля. Жест пользователя может быть ПИН-кодом, биометрической проверкой подлинности или внешним устройством, например сканером отпечатков пальцев.

Важно!

Начиная с версии 2203 эта функция доступа к ресурсам компании больше не поддерживается. Дополнительные сведения см. в часто задаваемых вопросах об устаревании доступа к ресурсам.

службы федерации Active Directory (AD FS) центра регистрации (ADFS RA) проще, обеспечивает более эффективное взаимодействие с пользователем и обеспечивает более детерминированную процедуру регистрации сертификатов. Используйте ADFS RA для проверки подлинности на основе сертификатов с Windows Hello для бизнеса.

Дополнительные сведения см. в Windows Hello для бизнеса.

Примечание

Configuration Manager не включает эту дополнительную функцию по умолчанию. Эту функцию необходимо включить перед ее использованием. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.

Configuration Manager интегрируется с Windows Hello для бизнеса следующими способами:

  • Укажите, какие жесты пользователи могут и не могут использовать для входа.

  • Храните сертификаты проверки подлинности в Windows Hello для бизнеса поставщика хранилища ключей (KSP). Дополнительные сведения см . в разделе "Профили сертификатов".

  • Создайте и разверните профиль Windows Hello для бизнеса, чтобы управлять его параметрами на присоединенных к домену Windows 10 устройствах, на которых выполняется Configuration Manager клиента. Начиная с версии 1910, вы не можете использовать проверку подлинности на основе сертификата. При использовании проверки подлинности на основе ключей вам не нужно развертывать профиль сертификата.

Настройка профиля

  1. В консоли Configuration Manager перейдите в рабочую область Активы и соответствие. Разверните список Параметры, разверните корпоративный доступ к ресурсам и выберите узел Windows Hello для бизнеса профилей.

  2. На ленте выберите "Создать профиль Windows Hello для бизнеса", чтобы запустить мастер профилей.

  3. На странице " Общие" укажите имя и необязательное описание для этого профиля.

  4. На странице "Поддерживаемые платформы " выберите версии ОС, к которым должен применяться этот профиль.

  5. На странице Параметры настройте следующие параметры:

    • Настройка Windows Hello для бизнеса. Укажите, включает ли этот профиль, отключает или не настраивает Hello для бизнеса.

    • Использование доверенного платформенного модуля (TPM): доверенный платформенный модуль обеспечивает дополнительный уровень безопасности данных. Выберите одно из следующих значений:

      • Обязательный параметр. Только устройства с доступным TPM могут подготавливать Windows Hello для бизнеса.

      • Предпочтительный вариант: устройства сначала пытаются использовать TPM. Если он недоступен, они могут использовать шифрование программного обеспечения.

    • Метод проверки подлинности. Задайте для этого параметра значение "Не настроено" или "На основе ключа".

      Примечание

      Начиная с версии 1910 проверка подлинности на основе сертификатов с Windows Hello для бизнеса параметров в Configuration Manager не поддерживается.

    • Настройте минимальную длину ПИН-кода. Если требуется минимальная длина ПИН-кода пользователя, включите этот параметр и укажите значение. Если этот параметр включен, значение по умолчанию равно 4.

    • Настройка максимальной длины ПИН-кода. Если требуется максимальная длина ПИН-кода пользователя, включите этот параметр и укажите значение. Если этот параметр включен, значение по умолчанию равно 127.

    • Требовать истечение срока действия ПИН-кода (в днях): указывает количество дней, в течение которых пользователь должен изменить ПИН-код устройства.

    • Запретить повторное использование предыдущих ПИН-кодов. Не разрешите пользователям использовать ранее использованные ПИН-коды.

    • Требовать прописные буквы в ПИН-коде: указывает, должны ли пользователи включать прописные буквы в Windows Hello для бизнеса ПИН-код. Варианты:

      • Разрешено: пользователи могут использовать прописные буквы в ПИН-коде, но это не требуется.

      • Обязательный. Пользователи должны включать по крайней мере один прописной символ в СВОЙ ПИН-код.

      • Запрещено. Пользователи не могут использовать прописные буквы в ПИН-коде.

    • Требовать строчные буквы в ПИН-коде: указывает, должны ли пользователи включать строчные буквы в Windows Hello для бизнеса ПИН-код. Варианты:

      • Разрешено: пользователи могут использовать символы нижнего регистра в ПИН-коде, но это не требуется.

      • Обязательный. Пользователи должны включать по крайней мере один символ нижнего регистра в ПИН-код.

      • Не разрешено: пользователи не могут использовать символы нижнего регистра в ПИН-коде.

    • Настройка специальных символов: указывает использование специальных символов в ПИН-коде. Варианты:

      Примечание

      Специальные символы включают в себя следующий набор:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
      
      • Разрешено: пользователи могут использовать специальные символы в ПИН-коде, но это не требуется.

      • Обязательный. Пользователи должны включать по крайней мере один специальный символ в СВОЙ ПИН-код.

      • Запрещено. Пользователи не могут использовать специальные символы в ПИН-коде. Это поведение также происходит, если параметр не настроен.

    • Настройка использования цифр в ПИН-коде: указывает использование чисел в ПИН-коде. Варианты:

      • Разрешено: пользователи могут использовать номера в ПИН-коде, но это не требуется.

      • Обязательный параметр: пользователи должны включать по крайней мере одно число в СВОЙ ПИН-код.

      • Запрещено: пользователи не могут использовать номера в ПИН-коде.

    • Включите биометрические жесты: используйте биометрическую проверку подлинности, например распознавание лиц или отпечаток пальца. Эти режимы являются альтернативой ПИН-коду для Windows Hello для бизнеса. Пользователи по-прежнему настраивают ПИН-код в случае сбоя биометрической проверки подлинности.

      Если задано значение " Да", Windows Hello для бизнеса разрешает биометрическую проверку подлинности. Если задано значение "Нет", Windows Hello для бизнеса запрещает биометрическую проверку подлинности для всех типов учетных записей.

    • Используйте расширенную защиту от спуфинга: настраивает расширенную защиту от спуфинга на устройствах, которые ее поддерживают. Если задано значение "Да", Windows все пользователи должны использовать защиту от спуфинга для функций лица.

    • Используйте Телефон входа: настраивает двухфакторную проверку подлинности с помощью мобильного телефона.

  6. Завершите работу мастера.

На следующем снимке экрана показан пример Windows Hello для бизнеса профиля:

Windows Hello для бизнеса политики с отображением списка доступных параметров

Настройка разрешений

  1. Как администратор домена или эквивалентные учетные данные войдите на защищенную административную рабочую станцию, на которой установлена следующую дополнительную функцию: RSAT: доменные службы Active Directory и упрощенные средства служб каталогов.

  2. Откройте консоль Пользователи и компьютеры Active Directory.

  3. Выберите домен, перейдите в меню действий и выберите "Свойства".

  4. Перейдите на вкладку " Безопасность" и выберите "Дополнительно".

    Совет

    Если вкладка "Безопасность" не отображается, закройте окно свойств. Перейдите в меню " Вид" и выберите пункт "Дополнительные функции".

  5. Нажмите Добавить.

  6. Нажмите кнопку "Выбрать участника" и введите .Key Admins

  7. В списке "Область действия " выберите объекты-потомки пользователя.

  8. В нижней части страницы выберите " Очистить все".

  9. В разделе "Свойства " выберите read msDS-KeyCredentialLink.

  10. Нажмите кнопку " ОК", чтобы сохранить изменения и закрыть все окна.

Дальнейшие действия

Профили сертификатов