在 Microsoft Intune 中使用身份保护配置文件管理 Windows Hello 企业版
Microsoft Intune使用标识保护配置文件进行设备配置,以管理托管 Windows 设备上的Windows Hello 企业版。 Windows Hello 企业版 是一种代替密码、智能卡和虚拟智能卡登录到 Windows 设备的方法。
应用于:
- Windows 10
- Windows 11
使用 Intune 标识保护配置文件管理Windows Hello 企业版设置时,可以:
- 为设备和用户启用 Windows Hello 企业版
- 设置设备 PIN 要求,包括 PIN 长度下限或上限
- 允许使用可以(或不能)用来登录设备的指纹等手势
此功能适用于运行以下程序的设备:
除了标识保护配置文件,Intune 还支持以下选项来管理Windows Hello 企业版的设置:
- 在设备注册期间:配置租户范围策略,在设备注册 Intune 时将Windows Hello设置应用于设备。
- 安全基线:可以通过 Intune 的安全基线管理Windows Hello的某些设置,例如用于Microsoft Defender for Endpoint安全性的基线或用于Windows 10 及更高版本的安全基线。
- 终结点安全帐户保护策略: 帐户保护策略包括 Windows Hello 使用的一些设置。
注意
对于希望配置 Windows Holographic for Business 的客户,请使用 DeviceLock CSP
本文介绍如何为标识保护创建设备配置文件。 有关所有设置及其用途的列表,请参阅 启用 Windows Hello 企业版的 Windows 设备设置。
重要
由于 Intune 如何确定Windows Hello 企业版策略的范围和适用性,设备可能会因应用策略而记录事件 ID 454。 在成功应用策略(并强制实施)后,可以安全忽略。
创建设备配置文件
选择“ 设备>配置>创建”。
输入以下属性:
- 平台:选择“Windows 10 及更高版本”。
- 配置文件:选择“模板”>“标识保护”。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:输入新配置文件的描述性名称。 为策略命名,以便以后可以轻松地识别它们。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
选择“下一步”以继续。
在“配置设置”中,配置以下设置:
配置 Windows Hello 企业版:选择希望配置Windows Hello 企业版的方式:
未配置(默认值):在设备上 预配 Windows Hello 企业版。 在仅向用户分配身份保护配置文件时,设备上下文将默认为“未配置”。
禁用 - 如果不希望使用 Windows Hello 企业版,请选择此选项。 此选项对所有用户禁用 Windows Hello 企业版。
启用:选择此选项可在 Intune 中 预配 和配置 Windows Hello 企业版设置。 输入要配置的设置。 有关所有设置及其用途的列表,请参阅 启用 Windows Hello 企业版的 Windows 设备设置。
使用安全密钥进行登录:为租户中的所有电脑启用 Windows Hello 安全密钥作为登录凭据。
- Enable
- 未配置 (默认)
选择“下一步”以继续。
在“分配”中,选择将接收此配置文件的用户和设备组。 有关分配配置文件的详细信息,请参阅 分配用户和设备配置文件。
重要
要允许将多个用户预配到设备,请指定要应用于设备的 Windows Hello for Business 策略。 如果仅将策略应用于用户,则只能将一个用户预配到一个设备。
选择 下一步。
在“适用性规则”中,使用“规则”、“属性”和“值”选项来定义此配置文件如何在已分配的组中应用。 Intune 会将配置文件应用到满足你输入的规则的设备。 有关适用性规则的详细信息,请参阅 适用性规则。
选择“下一步”。
在“查看 + 创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈