設定認證提供者 GUID 的逗號分隔清單,例如臉部和指紋提供者 GUID,以作為第一個和第二個解除鎖定因素。 如果信任的訊號提供者指定為其中一個解除鎖定因素,您也應該以 xml 格式設定以逗號分隔的訊號規則清單,以供每個訊號類型驗證。
如果您啟用此原則設定,用戶必須使用每個清單中的一個因素,才能成功解除鎖定。 如果您停用或未設定此原則設定,使用者可以使用現有的選項繼續解除鎖定。
|
路徑 |
| Csp |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock |
| Gpo |
計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版 |
如需詳細資訊,請 參閱多重要素解除鎖定。
針對每個訊號類型,以 xml 格式設定以逗號分隔的訊號規則清單。
- 如果您啟用此原則設定,系統會評估訊號規則以偵測使用者的不存在,並自動鎖定裝置
- 如果您停用或未設定設定,用戶可以繼續鎖定現有的選項
|
路徑 |
| Csp |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock |
| Gpo |
計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版 |
使用硬體安全性裝置
信賴平臺模組 (TPM) 提供軟體額外的安全性優點,因為受其保護的數據無法在其他裝置上使用。
- 如果您啟用此原則設定,Windows Hello 企業版 布建只會發生在具有可用 1.2 或 2.0 TPM 的裝置上。 您可以選擇性地排除 TPM 修訂 1.2 模組,以防止在這些裝置上 Windows Hello 企業版 布建
提示
TPM 1.2 規格只允許使用 RSA 和 SHA-1 哈希演算法。 TPM 1.2 實作在原則設定中有所不同,這可能會導致鎖定原則不同而導致支持問題。 建議您將 TPM 1.2 裝置從 Windows Hello 企業版 布建中排除。
-如果您停用或未設定此原則設定,仍然偏好使用 TPM,但如果 TPM 不是功能性或無法使用,則所有裝置都可以使用軟體布建 Windows Hello 企業版。
|
路徑 |
| Csp |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12 |
| Gpo |
計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版 |
使用憑證進行內部部署驗證
使用此原則設定來設定 Windows Hello 企業版 註冊用於內部部署驗證的登入憑證。
- 如果您啟用此原則設定,Windows Hello 企業版 註冊用於內部部署驗證的登入憑證
- 如果您停用或未設定此原則設定,Windows Hello 企業版 會使用密鑰或 Kerberos 票證 (視內部部署驗證的其他原則設定) 而定
|
路徑 |
| Csp |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth |
| Gpo |
計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版
用戶設定>系統管理範>本Windows 元件>Windows Hello 企業版 |
使用雲端信任進行內部部署驗證
使用此原則設定來設定 Windows Hello 企業版 使用雲端 Kerberos 信任模型。
- 如果您啟用此原則設定,Windows Hello 企業版 會使用從驗證擷取到內部部署驗證 Microsoft Entra ID 擷取的 Kerberos 票證
- 如果您停用或未設定此原則設定,Windows Hello 企業版 會根據內部部署驗證) 的其他原則設定,使用密鑰或憑證 (
|
路徑 |
| Csp |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth |
| Gpo |
計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版 |
注意
雲端 Kerberos 信任與憑證信任不相容。 如果已啟用憑證信任原則設定,則優先於此原則設定。
使用 Windows Hello 企業版
- 如果您啟用此原則,裝置會使用密鑰或憑證為所有使用者佈建 Windows Hello 企業版
- 如果您停用此原則設定,裝置不會為任何使用者布建 Windows Hello 企業版
- 如果您未設定此原則設定,用戶可以布建 Windows Hello 企業版
當您使用非 Microsoft 解決方案來佈建 Windows Hello 企業版 時,請選取 [登入後不要啟動 Windows Hello 布建] 選項:
- 如果您在登入后選取 [不要開始 Windows Hello 布建],Windows Hello 企業版 不會在使用者登入之後自動開始布建
- 如果您未在登入后選取 [不要開始 Windows Hello 布建],Windows Hello 企業版 使用者登入后自動開始布建
|
路徑 |
| Csp |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning |
| Gpo |
計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版
用戶設定>系統管理範>本Windows 元件>Windows Hello 企業版 |
到期
此設定會指定在系統要求使用者變更 PIN 之前,可以使用 PIN) 天 (一段時間。 PIN 可以設定為在 1 到 730 之間的天數之後過期,如果原則設定為 0,PIN 可以設定為永不過期。
預設值為 0。
歷程記錄
此設定會指定可與無法重複使用之用戶帳戶相關聯的過去 PIN 數目。 此原則可確保不會持續重複使用舊的 PIN,藉此增強安全性。 值必須介於 0 到 50 個 PIN 之間。 如果此原則設定為 0,則不需要儲存之前的 PIN。
預設值為 0。
注意
PIN 歷程記錄不會透過 PIN 重設來保留。
最大 PIN 長度
PIN 長度上限會設定 PIN 允許的字元數上限。 您可以為此原則設定設定的最大數目是 127。 您可以設定的最低數字必須大於 [最小 PIN 長度] 原則設定或數位 4 中設定的數位,以大於者為準。 如果您設定此原則設定,PIN 長度必須小於或等於此數位。
如果停用或未設定此原則設定,PIN 長度必須小於或等於 127。
注意
如果不符合上述 PIN 長度上限的指定條件,預設值會用於最大和最小 PIN 長度。
最小 PIN 長度
PIN 長度下限會設定 PIN 所需的字元數下限。 您可以為此原則設定的最低數位為 4。 您可以設定的最大數字必須小於 [PIN 長度上限] 原則設定或數位 127 中設定的數位,以最低者為準。
如果您設定此原則設定,PIN 長度必須大於或等於此數位。
如果停用或未設定此原則設定,PIN 長度必須大於或等於 6。
注意
如果不符合上述指定的最小 PIN 長度條件,預設值將用於最大和最小 PIN 長度。
需要有數字
使用此原則設定來設定 PIN 中數位的使用:
- 如果您啟用此原則設定,Windows 會要求使用者在其 PIN 中至少包含一個數位
- 如果您停用此原則設定,Windows 不允許使用者在其 PIN 中包含數位
- 如果您未設定此原則設定,Windows 會允許但不需要 PIN 碼中的數位
使用有小寫字母
使用此原則設定來設定在 PIN 中使用小寫字母:
- 如果您啟用此原則設定,Windows 會要求使用者在其 PIN 中至少包含一個小寫字母
- 如果您停用此原則設定,Windows 不允許使用者在其 PIN 中包含小寫字母
- 如果您未設定此原則設定,Windows 會在 PIN 中允許但不需要小寫字母
需要有特殊字元
範圍:計算機
使用此原則設定來設定 PIN 中特殊字元的使用。 特殊字元包括下列集合:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- 如果您啟用此原則設定,Windows 會要求使用者在其 PIN 中至少包含一個特殊字元
- 如果您停用此原則設定,Windows 不允許使用者在其 PIN 中包含特殊字元
- 如果您未設定此原則設定,Windows 會允許但不需要 PIN 中的特殊字元
需要有大寫字母
使用此原則設定來設定在 PIN 中使用大寫字母:
- 如果您啟用此原則設定,Windows 會要求使用者在其 PIN 中至少包含一個大寫字母
- 如果您停用此原則設定,Windows 不允許使用者在其 PIN 中包含大寫字母
- 如果您未設定此原則設定,Windows 會在 PIN 中允許但不需要大寫字母
使用 PIN 復原
PIN 復原可讓使用者使用 Windows Hello 企業版 PIN 修復服務變更忘記的 PIN 碼,而不會遺失任何相關聯的認證或憑證,包括與裝置上使用者個人帳戶相關聯的任何密鑰。
為了達到此目的,PIN 復原服務會加密儲存在裝置上的修復密碼,而且需要 PIN 復原服務和裝置進行解密。
PIN 復原需要使用者對 Microsoft Entra ID 執行多重要素驗證。
- 如果您啟用此原則設定,Windows Hello 企業版 會使用 PIN 復原服務
- 如果您停用或未設定此原則設定,Windows 不會建立或儲存 PIN 修復秘密。 如果用戶忘記 PIN 碼,就必須刪除現有的 PIN 碼並建立新的 PIN 碼,而且必須向舊 PIN 提供存取權的任何服務重新註冊
|
路徑 |
| Csp |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery |
| Gpo |
計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版 |
如需詳細資訊,請參閱 PIN 重設。
此原則設定會決定是否需要增強的反詐騙功能,才能 Windows Hello 臉部驗證。
- 如果啟用此設定,Windows 必須使用增強型反詐騙功能進行臉部驗證
重要
這會在不支持增強型反詐騙的裝置上停用臉部驗證。
- 如果您停用或未設定此設定,Windows 就不需要增強的臉部驗證反詐騙功能
使用支援的週邊設備啟用 ESS
增強的登入安全性 (ESS) 使用特殊的硬體和軟體元件,例如虛擬化型安全性 (VBS) 和信賴平臺模組 2.0,為生物特徵辨識數據新增一層安全性。
使用 ESS,Windows Hello 生物特徵辨識 (臉部和指紋) 範本數據和比對作業會隔離到受信任的硬體或指定的記憶體區域,而其餘的操作系統無法存取或竄改它們。 由於感測器與演算法之間的通道也受到保護,因此惡意代碼不可能插入或重新執行數據,以模擬使用者登入或將使用者鎖定在其電腦外。
如果啟用此原則,您可以設定下列值:
0:使用周邊或內建的非 ESS 感測器啟用 ESS。 允許周邊 Windows Hello 裝置的驗證作業,但受限於目前的功能限制。 ESS 會在混合生物特徵辨識裝置的裝置上啟用,例如支援 ESS 的指紋讀取器和不具 ESS 功能的相機。 因此,不建議使用此設定1:不使用周邊或內建的非 ESS 感測器即可啟用 ESS。 任何周邊生物特徵辨識裝置的驗證作業都會遭到封鎖,且無法供 Windows Hello 使用。 建議使用此設定以獲得最高安全性
如果您停用或未設定此設定,則 ESS 裝置上會封鎖非 ESS 感測器。
如需詳細資訊,請 參閱增強式登入安全性如何保護生物特徵辨識數據。
使用生物識別技術
Windows Hello 企業版 可讓使用者使用生物特徵辨識手勢,例如臉部和指紋,作為 PIN 手勢的替代方案。 不過,使用者仍然必須設定 PIN 以在發生失敗時使用。
- 如果您啟用或未設定此原則設定,Windows Hello 企業版 允許使用生物特徵辨識手勢
- 如果您停用此原則設定,Windows Hello 企業版 防止使用生物特徵辨識手勢
注意
停用此原則可防止使用者在裝置上針對所有帳戶類型進行生物特徵辨識手勢。
|
路徑 |
| Csp |
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics |
| Gpo |
計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版 |
允許列舉所有用戶的模擬智慧卡
Windows 可防止相同裝置上的使用者列舉其他使用者布建的 Windows Hello 企業版 認證。 如果您啟用此原則設定,Windows 會允許裝置的所有用戶列舉所有 Windows Hello 企業版 認證,但仍需要每個使用者提供自己的驗證因素。 如果您停用或未設定此原則設定,Windows 不允許針對相同裝置上的其他用戶列舉已布建的 Windows Hello 企業版 認證。
此原則設定是針對在單一裝置上註冊 特殊權 限和 非特殊權 限帳戶的單一使用者所設計。 用戶擁有這兩個認證,這可讓他們使用非特殊許可權認證登入,但可以執行提升許可權的工作,而不需要註銷。此原則設定與啟用 [關閉智慧卡模擬原則] 設定時所布建 Windows Hello 企業版 認證不相容。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版 |
關閉智慧卡模擬
Windows Hello 企業版 會自動提供智慧卡模擬,以與已啟用智慧卡的應用程式相容。
- 如果您啟用此原則設定,Windows Hello 企業版 布建 Windows Hello 企業版 與智慧卡應用程式不相容的認證
- 如果您停用或未設定此原則設定,Windows Hello 企業版 布建 Windows Hello 企業版 與智慧卡應用程式相容的認證
重要
此原則會在建立時影響 Windows Hello 企業版 認證。 在套用此原則之前建立的認證會繼續提供智慧卡模擬。 若要變更現有的認證,請啟用此原則設定,然後從 [設定] 中選取 [我忘記 PIN ]。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版 |
使用 Windows Hello 企業版 憑證作為智慧卡憑證
此原則設定的設計目的是要允許與完全依賴智慧卡憑證的應用程式相容。
- 如果您啟用此原則設定,應用程式會使用 Windows Hello 企業版 憑證作為智慧卡憑證。 當要求使用者授權使用憑證的私鑰時,無法使用生物特徵辨識因素
- 如果停用或未設定此原則設定,則應用程式不會使用 Windows Hello 企業版 憑證作為智慧卡憑證,而當使用者要求使用者授權使用憑證的私鑰時,就會提供生物特徵辨識因素
此原則設定與啟用關閉智慧卡模擬時所布建 Windows Hello 企業版 認證不相容。
功能設定
PIN 設定
生物特徵辨識設定
智慧卡設定