在组织中管理 Windows Hello 企业版

适用范围

  • Windows 10

你可以创建组策略或移动设备管理(MDM)策略,该策略将在运行 Windows10 的设备上实现 Windows Hello。

重要

组策略设置启用 PIN 登录不适用于 Windows Hello 企业版。 它仍阻止或允许创建 Windows 10 版本 1507 和 1511 的便捷型 PIN。

从版本 1607 开始,在所有已加入域的计算机上默认禁用作为便捷型 PIN 的 Windows Hello。 若要为 Windows 10 版本 1607 启用便捷型 PIN,请启用组策略设置启用便捷型 PIN 登录

使用 PIN 复杂性策略设置管理 Windows Hello 企业版的 PIN。

Windows Hello 企业版的组策略设置

下表列出了可在工作区中为 Windows Hello 的使用配置的组策略设置。 这些策略设置在策略 >管理模板 > Windows 组件 > Windows Hello 企业版下的用户配置计算机配置中提供。

备注

从 Windows 10 版本1709开始,组策略的 "PIN 复杂性" 部分的位置为: "计算机配置 > " 管理模板 > 系统 > PIN 复杂性

策略 选项
使用 Windows Hello 企业版

未配置:用户可以预配 Windows Hello 企业版,来加密其域密码。

已启用:设备使用密钥或证书为所有用户预配 Windows Hello 企业版。

已禁用:设备不为任何用户预配 Windows Hello 企业版。

使用硬件安全设备

未配置:如果 TPM 可用,将使用 TPM 预配 Windows Hello 企业版;如果 TPM 不可用,将使用软件预配它。

已启用:将仅使用 TPM 预配 Windows Hello 企业版。

已禁用:如果 TPM 可用,将使用 TPM 预配 Windows Hello 企业版;如果 TPM 不可用,将使用软件预配它。

使用生物识别

未配置:生物识别可用作替代 PIN 的手势。

已启用:生物识别可用作替代 PIN 的手势。

已禁用:仅 PIN 可以用作手势。

PIN 复杂性 需要数字

未配置:用户必须在其 PIN 中包含数字。

已启用:用户必须在其 PIN 中包含数字。

已禁用:用户不能在其 PIN 中使用数字。

需要小写字母

未配置:用户不能在其 PIN 中使用小写字母。

已启用:用户必须在其 PIN 中至少包含一个小写字母。

已禁用:用户不能在其 PIN 中使用小写字母。

最大 PIN 长度

未配置:PIN 长度必须小于或等于 127。

已启用:PIN 长度必须小于或等于你指定的数字。

已禁用:PIN 长度必须小于或等于 127。

最小 PIN 长度

未配置:PIN 长度必须大于或等于 4。

已启用:PIN 长度必须大于或等于你指定的数字。

已禁用:PIN 长度必须大于或等于 4。

到期

未配置:PIN 不会到期。

已启用:PIN 可以设置为在 1 到 730 之间的任意天数后到期,或者可以通过将策略设置为 0 来将 PIN 设置为永远不会到期。

已禁用:PIN 不会到期。

历史记录

未配置:不会存储以前的 PIN。

启用:指定可与可以't 重复使用的用户帐户相关联的以前 pin 的数量。

已禁用:不会存储以前的 PIN。

注意当前 pin 包括在固定历史记录中。
需要特殊字符

未配置:用户无法在其 PIN 中包含特殊字符。

已启用:用户必须在其 PIN 中至少包含一个特殊字符。

已禁用:用户无法在其 PIN 中包含特殊字符。

需要大写字母

未配置:用户无法在其 PIN 中包含大写字母。

已启用:用户必须在其 PIN 中至少包含一个大写字母。

已禁用:用户无法在其 PIN 中包含大写字母。

>手机登录

使用手机登录

目前尚不支持。

Windows Hello 企业版的 MDM 策略设置

下表列出了可在工作区中为 Windows Hello 企业版的使用配置的 MDM 策略设置。 这些 MDM 策略设置使用 PassportForWork 配置服务提供程序 (CSP)

重要

从 Windows 10 版本 1607 开始,所有设备都只有一个 PIN 与 Windows Hello 企业版相关联。 这意味着设备上的任何 PIN 将遵循 PassportForWork CSP 中指定的策略。 指定值的优先级高于通过 Exchange ActiveSync (EAS) 或 DeviceLock CSP 设置的任何复杂规则。

策略 范围 默认值 选项
UsePassportForWork 设备 True

True:将为设备上的所有用户预配 Windows Hello 企业版。

False:用户将不能预配 Windows Hello 企业版。

注意如果 Windows Hello 企业版已启用,并且策略已更改为 False,则以前设置 Windows Hello 企业版的用户可以继续使用它,但无法在其他设备上设置 Windows Hello 企业版。
RequireSecurityDevice 设备 False

True:将仅使用 TPM 预配 Windows Hello 企业版。

False:如果 TPM 可用,将使用 TPM 预配 Windows Hello 企业版;如果 TPM 不可用,将使用软件预配它。

生物识别

UseBiometrics

设备 False

True:生物识别可用作替代 PIN 的手势进行域登录。

False:仅 PIN 可用作进行域登录的手势。

FacialFeaturesUser

EnhancedAntiSpoofing

设备 未配置

未配置:用户可以选择是否打开增强的反欺骗功能。

True:在支持的设备上需要增强的反欺骗功能。

False:用户无法打开增强的反欺骗功能。

PINComplexity
数字 设备或用户 ppls-2

1:不允许使用数字

2:至少需要一个数字。

小写字母 设备或用户 raid-1

1:不允许使用小写字母。

2:至少需要一个小写字母。

最大 PIN 长度 设备或用户 127

可以设置的最大长度为 127。 最大长度不能小于最小设置。

最小 PIN 长度 设备或用户

可以设置的最小长度为 4。 最小长度不能大于最大设置。

到期 设备或用户 0

整数值指定在系统需要用户更改 PIN 之前可以使用它的时间段(以天为单位)。 你可以为此策略设置配置的最大数为 730。 你可以为此策略设置配置的最小数为 0。 如果此策略设置为 0,则用户的 PIN 将永远不会到期。

历史记录 设备或用户 0

指定可关联到用户帐户但不可重复使用的以前 PIN 的数量的整数值。 你可以为此策略设置配置的最大数为 50。 你可以为此策略设置配置的最小数为 0。 如果此策略设置为 0,则不需要存储以前的 PIN。

特殊字符 设备或用户 raid-1

1:不允许使用特殊字符。

2:至少需要一个特殊字符。

大写字母 设备或用户 raid-1

1:不允许使用大写字母

2:至少需要一个大写字母

远程

UseRemotePassport

设备或用户 False

目前尚不支持。

备注

如果没有配置策略来明确要求提供字母或特殊字符,将限制用户创建数字 PIN。

如何将 Windows Hello 企业版和 Azure Active Directory 结合使用

在 Azure AD 中有三种使用 Windows Hello 企业版的情形 - 仅组织:

  • 使用 Office 365 附带的 Azure AD 版本的组织。 对于这些组织,不需要任何附加操作。 当 Windows10 公开发布时,Microsoft 更改了 Office 365 Azure AD 堆栈的行为。 当用户选择加入工作或学校网络时,设备将自动加入 Office 365 租户的目录分区,将为该设备颁发证书,并且如果该租户已订阅该功能,则它将有资格获取 Office 365 MDM。 此外,将提示用户登录并输入 Azure AD 发送到他或她的手机的 MFA 证明(如果已启用 MFA)。
  • 使用免费的 Azure AD 层的组织。 对于这些组织,Microsoft 未启用自动域加入到 Azure AD。 已注册免费层的组织可以选择启用或禁用此功能,因此不会启用自动域加入,除非/直到组织的管理员决定启用它。 当启用该功能时,使用“连接到工作或学校”对话框加入 Azure AD 域的设备将支持自动注册到 Windows Hello 企业版,但不会注册之前已加入的设备。
  • 已订阅 Azure AD Premium 的组织有权访问全套 Azure AD MDM 功能。 这些功能包括 Windows Hello 企业版管理控制。 你可以设置策略来禁用或强制执行 Windows Hello 企业版的使用、要求使用 TPM 和控制在设备上设置的 PIN 的长度和强度。

如果你希望将 Windows Hello 企业版与证书一起使用,则将需要一个设备注册系统。 这意味着设置 Configuration Manager、Microsoft Intune 或兼容的非 Microsoft MDM 系统,并启用它来注册设备。 无论 IDP 为何,这是将 Windows Hello 企业版与证书一起使用的先决条件步骤,因为注册系统负责使用必要的证书预配设备。

相关主题