Intune ile kaydolan cihazlarda İş İçin Windows Hello yapılandırma

Makale
05/01/2024

Microsoft Intune ile, Windows 10 veya Windows 11 cihazlarda Intune kaydeden İş İçin Windows Hello kullanımını yapılandıran kiracı genelinde bir ilke oluşturabilirsiniz. Bu ilke kuruluşunuzun tamamını hedefler ve Windows Autopilot ilk çalıştırma deneyimini (OOBE) destekler.

Windows 10/11 cihazlarında İş İçin Windows Hello kullanımı, cihazlarda parola kullanımını güçlü iki faktörlü kimlik doğrulamasıyla değiştirir. Bu kimlik doğrulaması, bir cihaza bağlı olan ve biyometrik veya PIN kullanan bir kullanıcı kimlik bilgilerinden oluşur.

Cihaz kaydından sonra veya kiracı genelinde kayıt ilkesini kullanmamayı seçtiğinizde, Intune ayrı cihaz gruplarında Windows Hello yönetmek için aşağıdaki yöntemleri destekler:

Kimlik koruması - Cihaz yapılandırma ilkesi, Windows Hello için cihaz gruplarını yapılandırmak için kullanabileceğiniz Kimlik koruma profilini içerir.
Güvenlik temelleri: Windows Hello için bazı ayarlar, Uç Nokta için Microsoft Defender güvenlik temelleri veya Windows 10ve üzeri için Güvenlik Temeli gibi güvenlik temelleri tarafından yönetilebilir.
Uç nokta güvenliği Hesap koruma ilkesi: Hesap koruma ilkeleri, Windows Hello tarafından kullanılan bazı ayarları içerir.

Önemli

Yıldönümü Güncelleştirmesi(Windows sürüm 1607) öncesinde, kaynaklarda kimlik doğrulaması yapmak için kullanılabilecek iki farklı PIN ayarlayabilirsiniz:

Cihazın kilidini açmak ve bulut kaynaklarına bağlanmak için cihaz PIN'i kullanılabilir.
İş PIN'i kullanıcının kişisel cihazındaki (KCG) Microsoft Entra kaynaklarına erişmek için kullanıldı.

Yıldönümü Güncelleştirmesi'nde bu iki PIN tek bir cihaz PIN'inde birleştirildi. Cihaz PIN'ini denetlemek için ayarladığınız tüm Intune yapılandırma ilkeleri ve ayrıca yapılandırdığınız tüm İş İçin Windows Hello ilkeleri artık bu yeni PIN değerini ayarlar. PIN'i denetlemek için her iki ilke türünü de ayarladıysanız, İş İçin Windows Hello ilkesi uygulanır. İlke çakışmalarının çözümlendiğinden ve PIN ilkesinin doğru uygulandığından emin olmak için İş İçin Windows Hello İlkenizi yapılandırma ilkenizdeki ayarlarla eşleşecek şekilde güncelleştirin ve kullanıcılarınızdan cihazlarını Şirket Portalı uygulamasında eşitlemelerini isteyin.

Rol tabanlı erişim denetimi

Windows kaydında bir İş İçin Windows Hello ilkesi oluşturmak veya düzenlemek için Intune Hizmet Yöneticisi olmanız gerekir. Diğer tüm Intune rolleri salt okunur erişime sahiptir. Rol tabanlı erişim denetimi (RBAC) hakkında daha fazla bilgi için bkz. Microsoft Intune ile RBAC.

İş İçin Windows Hello ilkesi İçerik Oluşturucu

Microsoft Intune yönetim merkezinde oturum açın.
Cihazlar>Kaydı'na gidin.
Windows sekmesindeki Kayıt seçenekleri'nin altında İş İçin Windows Hello'ı seçin. İş İçin Windows Hello bölmesi açılırken bekleyin.
yapılandırma İş İçin Windows Hello için aşağıdaki seçeneklerden birini belirleyin:
- Etkin. İş İçin Windows Hello ayarlarını yapılandırmak istiyorsanız bu ayarı seçin. Etkin'i seçtiğinizde, Windows Hello diğer ayarlar görünür ve cihazlar için yapılandırılabilir.
- Devre dışı. Cihaz kaydı sırasında İş İçin Windows Hello etkinleştirmek istemiyorsanız bu seçeneği belirleyin. Devre dışı bırakıldığında, kullanıcılar İş İçin Windows Hello sağlayamaz. Devre Dışı olarak ayarlandığında, bu ilke İş İçin Windows Hello etkinleştirmese bile sonraki İş İçin Windows Hello ayarlarını yapılandırabilirsiniz.
- Yapılandırılmadı. İş İçin Windows Hello ayarlarını denetlemek için Intune kullanmak istemiyorsanız bu ayarı seçin. Windows 10/11 cihazlarında var olan İş İçin Windows Hello ayarları değişmez. Bölmedeki diğer tüm ayarlar kullanılamıyor.
Önceki adımda Etkin'i seçtiyseniz, tüm kayıtlı Windows 10/11 cihazlarına uygulanan gerekli ayarları yapılandırın. Bu ayarları yapılandırdıktan sonra Kaydet'i seçin.
- Güvenilir Platform Modülü (TPM) kullanın:
  
  TPM yongası başka bir veri güvenliği katmanı sağlar. Aşağıdaki değerlerden birini seçin:
  - Gerekli (varsayılan). Yalnızca erişilebilir TPM'ye sahip cihazlar İş İçin Windows Hello sağlayabilir.
  - Tercih edilen. Cihazlar önce BIR TPM kullanmayı dener. Bu seçenek kullanılamıyorsa yazılım şifrelemesi kullanabilirler.
- Minimum PIN uzunluğu ve Maksimum PIN uzunluğu:
  
  Güvenli oturum açmanın sağlanmasına yardımcı olmak için cihazları belirttiğiniz en düşük ve en yüksek PIN uzunluklarını kullanacak şekilde yapılandırılır. Varsayılan PIN uzunluğu altı karakterdir, ancak en az dört karakterlik bir uzunluk uygulayabilirsiniz. Maksimum PIN uzunluğu 127 karakterdir.
- PIN'de küçük harfler, PIN'de büyük harfler ve PIN'de özel karakterler.
  
  PIN'de büyük harfler, küçük harfler ve özel karakterler kullanılmasını zorunlu kılarak daha güçlü bir PIN uygulayabilirsiniz. Her bir için şunları seçin:
  - İzin verilir: Kullanıcılar PIN'lerinde karakter türünü kullanabilir, ancak zorunlu değildir.
  - Gerekli: Kullanıcıların PIN'lerine en az bir karakter türü içermesi gerekir. Örneğin, en az bir büyük harf ve bir özel karakter gerektirmek yaygın bir uygulamadır.
  - İzin verilmiyor (varsayılan): Kullanıcılar PIN'lerinde bu karakter türlerini kullanmamalıdır. (Ayar yapılandırılmamışsa davranış da budur.)
    
    Özel karakterler şunlardır: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~
- PIN süre sonu (gün):
  
  Pin için bir süre sonu belirtmek iyi bir uygulamadır ve bu süre sonunda kullanıcıların pini değiştirmesi gerekir. Varsayılan değer 41 gündür.
- PIN geçmişini anımsa:
  
  Daha önce kullanılan PIN'lerin yeniden kullanılmasını kısıtlar. Varsayılan olarak, son 5 PIN yeniden kullanılamaz.
- Biyometrik kimlik doğrulamasına izin ver:
  
  İş İçin Windows Hello için PIN'e alternatif olarak yüz tanıma veya parmak izi gibi biyometrik kimlik doğrulamasını etkinleştirir. Biyometrik kimlik doğrulamasının başarısız olması durumunda kullanıcıların yine de bir iş PIN'i yapılandırması gerekir. Aralarından seçim yapın:
  - Evet, evet. İş İçin Windows Hello biyometrik kimlik doğrulamasına izin verir.
  - Hayır, hayır. İş İçin Windows Hello biyometrik kimlik doğrulamasını engeller (tüm hesap türleri için).
- Kullanılabilir olduğunda gelişmiş kimlik sahtekarlığı önleme özelliğini kullanın:
  
  Windows Hello kimlik sahtekarlığı önleme özelliklerinin onu destekleyen cihazlarda kullanılıp kullanılmayacağını yapılandırılır. Örneğin, gerçek yüz yerine bir yüzün fotoğrafını algılama.
  
  Evet olarak ayarlandığında Windows, desteklendiğinde tüm kullanıcıların yüz özellikleri için kimlik sahtekarlığı önleme kullanmasını gerektirir.
- Telefonda oturum açmaya izin ver:
  
  Bu seçenek Evet olarak ayarlanırsa, kullanıcılar masaüstü bilgisayar kimlik doğrulaması için taşınabilir yardımcı cihaz olarak hizmet vermek üzere uzak bir pasaport kullanabilir. Masaüstü bilgisayarın Microsoft Entra katılmış olması ve yardımcı cihazın İş İçin Windows Hello PIN ile yapılandırılması gerekir.
- Gelişmiş oturum açma güvenliğini etkinleştirin:
  
  Uyumlu donanıma sahip cihazlarda gelişmiş oturum açma güvenliği Windows Hello yapılandırın. Seçenekleriniz:
  - Uyumlu donanıma sahip sistemlerde gelişmiş oturum açma güvenliği etkinleştirilecektir (varsayılan): Cihaz kullanıcıları Windows Hello ile cihazlarında oturum açmak için dış çevre birimlerini kullanamaz.
  - Gelişmiş oturum açma güvenliği tüm sistemlerde devre dışı bırakılacak: Cihaz kullanıcıları cihazlarında oturum açmak için Windows Hello uyumlu dış çevre birimlerini kullanabilir.
- Oturum açmak için güvenlik anahtarlarını kullanın:
  
  Etkin olarak ayarlandığında, bu ayar müşterinin kuruluşundaki tüm bilgisayarlar için Uzaktan AÇ/KAPALI Windows Hello Güvenlik Anahtarları'nı açma kapasitesi sağlar.

Windows Holographic for Business desteği

Windows Holographic for Business İş İçin Windows Hello için aşağıdaki ayarları destekler:

Güvenilir Platform Modülü (TPM) kullanma
Minimum PIN uzunluğu
En fazla PIN uzunluğu
PIN'de küçük harfler
PIN'de büyük harfler
PIN'teki özel karakterler
PIN süre sonu (gün)
PIN geçmişini anımsa

Sonraki adımlar

Windows belgelerinde aşağıdaki konulardan Windows Hello hakkında daha fazla bilgi edinin:

Aracılığıyla paylaş