Intune 中適用於 Windows Hello 企業版 的身分識別保護配置檔設定
注意事項
Intune 可能支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄。
本文說明您可以在 Identity Protection 設定檔中設定的 Windows Hello 企業版 設定。 身分識別保護配置檔是 Microsoft Intune 中裝置設定原則的一部分。 使用身分識別保護配置檔,您可以在 Windows 10/11 裝置的離散群組上設定設定。 若要設定全租使用者 Windows Hello 企業版,請參閱整合 Windows Hello 企業版 與 Microsoft Intune 中的建立 Windows Hello 企業版 原則一節。 本節不僅說明如何建立整個租用戶的設定原則,也會描述註冊原則的設定。
您可以在 Windows Hello 檔的設定 Windows Hello 企業版 原則設定中找到有關這些設定的其他資訊。
若要深入瞭解 Intune 中的身分識別保護配置檔,請參閱 設定身分識別保護。
開始之前
Windows Hello 企業版
設定 Windows Hello 企業版:
未設定 (預設) - 如果您不想使用 Intune 來控制 Windows Hello 企業版 設定,請選取此設定。 Windows 10/11 裝置上的任何現有 Windows Hello 企業版 設定不會變更。 窗格上的所有其他設定都無法使用。
停用 - 如果您不想使用 Windows Hello 企業版,請選取此設定。 畫面上的所有其他設定則無法使用。
啟用 - 如果您想要設定 Windows Hello 企業版 設定,請選取此設定。
當設定為 [啟用] 時,可以使用下列設定:
最小 PIN 碼長度
指定裝置的最小 PIN 長度,從 4 到 127 個字元。 根據預設,此設定 為 [未設定]。最大 PIN 碼長度
指定裝置的最大 PIN 長度,從 4 到 127 個字元。 根據預設,此設定 為 [未設定]。PIN 中的小寫字母
如有需要,使用者 PIN 必須包含至少一個小寫字母。 根據預設,此設定 為 [未設定]。- 不允許 - 禁止使用者在 PIN 中使用小寫字母。 如果未設定設定,也會發生此行為。
- 允許 - 允許使用者在 PIN 中使用小寫字母,但並非必要。
- 必要 - 用戶必須在 PIN 中包含至少一個小寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
PIN 中的大寫字母
如有需要,使用者 PIN 必須包含至少一個大寫字母。 根據預設,此設定 為 [未設定]。- 不允許 - 禁止使用者在 PIN 中使用大寫字母。 如果未設定設定,也會發生此行為。
- 允許 - 允許使用者在 PIN 中使用大寫字母,但並非必要。
- 必要 - 用戶必須在 PIN 中包含至少一個大寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
PIN 中的特殊字元
如有需要,使用者 PIN 必須包含至少一個特殊字元。 特殊字元包括:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- 不允許 (預設) - 禁止使用者在 PIN 中使用特殊字元。 如果未設定設定,也會發生此行為。
- 允許 - 允許使用者在 PIN 中使用大寫字母,但並非必要。
- 必要 - 用戶必須在 PIN 中包含至少一個大寫字母。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。
PIN 到期日 (天)
如果設定,系統會強制用戶在設定天數之後變更其 PIN。 使用者仍然可以在到期前主動變更其 PIN。 根據預設,此設定 為 [未設定]。記住 PIN 歷程記錄
如果設定,使用者將無法重複使用此數目的先前 PIN。 根據預設,此設定 為 [未設定]。啟用 PIN 復原
允許使用者使用 Windows Hello 企業版 PIN 復原服務。- 啟用 - PIN 修復秘密會儲存在裝置上,而且使用者可以視需要變更其 PIN 碼。
- 未設定 (預設) - 不會建立或儲存修復密碼。
使用信賴平臺模組 (TPM)
TPM 晶片提供額外的數據安全性層級。- 啟用 - 只有具有可存取 TPM 的裝置才能布建 Windows Hello 企業版。
- 未設定 (預設) - 裝置會先嘗試使用 TPM。 如果 TPM 無法使用,他們可以使用軟體加密。
允許生物特徵辨識驗證
如果允許,Windows Hello 企業版 可以使用手勢進行驗證,例如臉部和指紋。 使用者仍然必須在失敗時設定 PIN。- 啟用 - Windows Hello 企業版 允許生物特徵辨識驗證。
- 未設定 (預設) - Windows Hello 企業版 防止所有帳戶類型) 的生物特徵辨識驗證 (。
當可用時,請使用增強型反詐騙
啟用時,裝置會使用增強型的反詐騙功能,例如, (偵測臉部相片,而不是真實臉部) 。- 啟用 - Windows 要求所有使用者在支援臉部特徵時,都使用反詐騙功能。
- 未設定 (預設) - Windows 會接受裝置上的反詐騙設定。
內部部署資源的憑證
- 啟用 - 允許 Windows Hello 企業版 使用憑證向內部部署資源進行驗證。
- 未設定 (預設) - 防止 Windows Hello 企業版 使用憑證向內部部署資源進行驗證。 相反地,裝置會使用 密鑰信任內部部署驗證的預設行為。 如需詳細資訊,請參閱 Windows Hello 檔中的內部部署驗證的用戶憑證。
使用安全性金鑰進行登入
此設定適用於執行 Windows 10 1903 版或更新版本的裝置,或 Windows 11。 使用它來管理使用 Windows Hello 安全性金鑰進行登入的支援。- 啟用 - 使用者可以使用 Windows Hello 安全性金鑰作為以此原則為目標之計算機的登入認證。
- 未設定 - 安全性金鑰已停用,且使用者無法使用這些金鑰來登入電腦。
後續步驟
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: