Configuration Manager'da ayarları İş İçin Windows Hello

  • Makale

Uygulama hedefi: Configuration Manager (güncel dalı)

Configuration Manager İş İçin Windows Hello ile tümleşir. (Bu özellik daha önce İş için Microsoft Passport olarak biliniyordu.) İş İçin Windows Hello, Windows 10 cihazlar için alternatif bir oturum açma yöntemidir. Bir parolayı, akıllı kartı veya sanal akıllı kartı değiştirmek için Active Directory veya Microsoft Entra hesabı kullanır. İş İçin Hello, parola yerine oturum açmak için kullanıcı hareketi kullanmanıza olanak tanır. Kullanıcı hareketi BIR PIN, biyometrik kimlik doğrulaması veya parmak izi okuyucusu gibi bir dış cihaz olabilir.

Önemli

Sürüm 2203'den itibaren bu şirket kaynak erişimi özelliği artık desteklenmiyor. Daha fazla bilgi için bkz. Kaynak erişiminin kullanımdan kaldırılması hakkında sık sorulan sorular.

Active Directory Federasyon Hizmetleri (AD FS) Kayıt Yetkilisi (ADFS RA) dağıtımı daha basittir, daha iyi bir kullanıcı deneyimi sağlar ve daha belirleyici bir sertifika kayıt deneyimine sahiptir. İş İçin Windows Hello ile sertifika tabanlı kimlik doğrulaması için ADFS RA kullanın.

Daha fazla bilgi için bkz. İş İçin Windows Hello.

Not

Configuration Manager bu isteğe bağlı özelliği varsayılan olarak etkinleştirmez. Bu özelliği kullanmadan önce etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Güncelleştirmelerden isteğe bağlı özellikleri etkinleştirme.

Configuration Manager, İş İçin Windows Hello ile aşağıdaki yollarla tümleşir:

  • Kullanıcıların hangi hareketleri kullanarak oturum açabileceğini kontrol edin.

  • Kimlik doğrulama sertifikalarını İş İçin Windows Hello anahtar depolama sağlayıcısında (KSP) depolayın. Daha fazla bilgi için bkz. Sertifika profilleri.

  • Configuration Manager istemcisini çalıştıran etki alanına katılmış Windows 10 cihazlarda ayarlarını denetlemek için bir İş İçin Windows Hello profili oluşturun ve dağıtın. Sürüm 1910'dan başlayarak sertifika tabanlı kimlik doğrulamayı kullanamazsınız. Anahtar tabanlı kimlik doğrulaması kullanırken bir sertifika profili dağıtmanız gerekmez.

Profil yapılandırma

  1. Configuration Manager konsolunda Varlıklar ve Uyumluluk çalışma alanına gidin. Uyumluluk Ayarları'nı genişletin, Şirket Kaynağı Erişimi'ni genişletin ve İş İçin Windows Hello Profilleri düğümünü seçin.

  2. Profil sihirbazını başlatmak için şeritte İş İçin Windows Hello Profili Oluştur'u seçin.

  3. Genel sayfasında, bu profil için bir ad ve isteğe bağlı bir açıklama belirtin.

  4. Desteklenen Platformlar sayfasında, bu profilin uygulanacağı işletim sistemi sürümlerini seçin.

  5. Ayarlar sayfasında aşağıdaki ayarları yapılandırın:

    • İş İçin Windows Hello yapılandırma: Bu profilin İş İçin Hello'yu etkinleştirip etkinleştirmediğini, devre dışı bırakacağını veya yapılandırmayacağını belirtin.

    • Güvenilir Platform Modülü (TPM) kullanma: TPM ek bir veri güvenliği katmanı sağlar. Aşağıdaki değerlerden birini seçin:

      • Gerekli: Yalnızca erişilebilir TPM'ye sahip cihazlar İş İçin Windows Hello sağlayabilir.

      • Tercih edilen: Cihazlar önce TPM kullanmayı dener. Kullanılamıyorsa yazılım şifrelemesi kullanabilirler.

    • Kimlik doğrulama yöntemi: Bu seçeneği Yapılandırılmadı veya Anahtar tabanlı olarak ayarlayın.

      Not

      Sürüm 1910'dan başlayarak, Configuration Manager'da İş İçin Windows Hello ayarlarıyla sertifika tabanlı kimlik doğrulaması desteklenmez.

    • En düşük PIN uzunluğunu yapılandırma: Kullanıcının PIN'i için minimum uzunluk istiyorsanız, bu seçeneği etkinleştirin ve bir değer belirtin. Etkinleştirildiğinde varsayılan değer şeklindedir 4.

    • Maksimum PIN uzunluğunu yapılandırma: Kullanıcının PIN'i için maksimum uzunluk istiyorsanız, bu seçeneği etkinleştirin ve bir değer belirtin. Etkinleştirildiğinde varsayılan değer şeklindedir 127.

    • PIN süre sonu gerektir (gün):Kullanıcının cihaz PIN'ini değiştirmesi gereken gün sayısını belirtir.

    • Önceki PIN'lerin yeniden kullanılmasını engelle: Kullanıcıların daha önce kullandıkları PIN'leri kullanmasına izin verme.

    • PIN'de büyük harf gerektir: Kullanıcıların İş İçin Windows Hello PIN'ine büyük harf ekleyip eklemeyeceğini belirtir. Aralarından seçim yapın:

      • İzin verilir: Kullanıcılar PIN'lerinde büyük harf karakterler kullanabilir, ancak kullanmak zorunda değildir.

      • Gerekli: Kullanıcıların PIN koduna en az bir büyük harf karakter içermesi gerekir.

      • İzin verilmiyor: Kullanıcılar PIN'lerinde büyük harf karakterler kullanamaz.

    • PIN'de küçük harf gerektir: Kullanıcıların İş İçin Windows Hello PIN'ine küçük harf ekleyip eklemeyeceğini belirtir. Aralarından seçim yapın:

      • İzin verilir: Kullanıcılar PIN'lerinde küçük harf karakterler kullanabilir, ancak kullanmak zorunda değildir.

      • Gerekli: Kullanıcıların PIN'lerine en az bir küçük harf karakter içermesi gerekir.

      • İzin verilmiyor: Kullanıcılar PIN'lerinde küçük harf karakterler kullanamaz.

    • Özel karakterleri yapılandırma: PIN'de özel karakterlerin kullanımını belirtir. Aralarından seçim yapın:

      Not

      Özel karakterler aşağıdaki kümeyi içerir:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • İzin verilir: Kullanıcılar PIN'lerinde özel karakterler kullanabilir, ancak kullanmak zorunda değildir.

      • Gerekli: Kullanıcıların PIN koduna en az bir özel karakter içermesi gerekir.

      • İzin verilmiyor: Kullanıcılar PIN'lerinde özel karakterler kullanamaz. Bu davranış, ayarın Yapılandırılmamış olması durumunda da geçerli olur.

    • PIN'de basamak kullanımını yapılandırma: PIN'de sayıların kullanımını belirtir. Aralarından seçim yapın:

      • İzin verilir: Kullanıcılar PIN'lerinde sayıları kullanabilir, ancak kullanmak zorunda değildir.

      • Gerekli: Kullanıcıların PIN koduna en az bir sayı içermesi gerekir.

      • İzin verilmiyor: Kullanıcılar PIN'lerinde sayı kullanamaz.

    • Biyometrik hareketleri etkinleştirme: Yüz tanıma veya parmak izi gibi biyometrik kimlik doğrulamasını kullanın. Bu modlar, İş İçin Windows Hello için PIN'e alternatiftir. Biyometrik kimlik doğrulamasının başarısız olması durumunda kullanıcılar pin'i yapılandırmaya devam eder.

      Evet olarak ayarlanırsa İş İçin Windows Hello biyometrik kimlik doğrulamasına izin verir. Hayır olarak ayarlanırsa İş İçin Windows Hello tüm hesap türleri için biyometrik kimlik doğrulamasını engeller.

    • Gelişmiş kimlik sahtekarlığı önlemeyi kullanın: Bunu destekleyen cihazlarda gelişmiş kimlik sahtekarlığı önlemeyi yapılandırılır. Desteklendiği yerde Evet olarak ayarlanırsa, Windows tüm kullanıcıların yüz özellikleri için kimlik sahtekarlığı önleme kullanmasını gerektirir.

    • Telefonda Oturum Açma:Cep telefonuyla iki faktörlü kimlik doğrulamasını yapılandırıyor.

  6. Sihirbazı tamamlayın.

Aşağıdaki ekran görüntüsü, İş İçin Windows Hello profil ayarlarına bir örnektir:

kullanılabilir ayarların listesini gösteren İş İçin Windows Hello İlkesi sihirbazı

İzinleri yapılandırma

  1. Etki Alanı Yöneticisi veya eşdeğer kimlik bilgileri olarak, şu isteğe bağlı özelliğin yüklü olduğu güvenli, yönetim iş istasyonunda oturum açın: RSAT: Active Directory Domain Services ve Basit Dizin Hizmetleri Araçları.

  2. Active Directory Kullanıcıları ve Bilgisayarları konsolunu açın.

  3. Etki alanını seçin, Eylem Menüsü'ne gidin ve Özellikler'i seçin.

  4. Güvenlik sekmesine geçin ve Gelişmiş'i seçin.

    İpucu

    Güvenlik sekmesini görmüyorsanız özellikler penceresini kapatın. Görünüm menüsüne gidin ve Gelişmiş Özellikler'i seçin.

  5. Ekle'yi seçin.

  6. Sorumlu seçin'i seçin ve girinKey Admins.

  7. Uygulanacağı yer listesinden Alt Kullanıcı nesneleri'ni seçin.

  8. Sayfanın alt kısmında Tümünü temizle'yi seçin.

  9. Özellikler bölümünde Read msDS-KeyCredentialLink öğesini seçin.

  10. Değişikliklerinizi kaydetmek ve tüm pencereleri kapatmak için Tamam'ı seçin.

Sonraki adımlar

Sertifika profilleri