使用 Intune 註冊裝置時,在裝置上設定 Windows Hello 企業版

  • 發行項

透過 Microsoft Intune,您可以建立全租用戶的原則,以設定在這些裝置向 Intune 註冊時,在 Windows 10 或 Windows 11 裝置上使用 Windows Hello 企業版。 此原則以您的整個組織為目標,並支援 Windows Autopilot 全新體驗 (OOBE) 。

針對 Windows 10/11 裝置,使用 Windows Hello 企業版 會將密碼的使用取代為裝置上的強式雙因素驗證。 此驗證包含系結至裝置並使用生物特徵辨識或 PIN 的用戶認證。

在裝置註冊之後,或當您選擇不使用全租使用者註冊原則時,Intune 支援下列方法來管理個別裝置群組上的 Windows Hello:

  • 身分識別保護 - 裝置設定原則包含身分識別保護配置檔,可用來設定 Windows Hello 的裝置群組。

  • 安全性基準:Windows Hello 的某些設定可由安全性基準來管理,例如 適用於端點的 Microsoft Defender 安全性的基準或 Windows 10 及更新版本的安全性基準

  • 端點安全性帳戶保護原則:帳戶保護原則包含 Windows Hello 使用的一些設定。

重要事項

在 Windows 1607) 版 (年度更新版之前,您可以設定兩個不同的 PIN 碼,可用來向資源進行驗證:

  • 裝置 PIN 可用來解除鎖定裝置並連線到雲端資源。
  • 工作 PIN 可用來存取使用者個人裝置上的 Microsoft Entra 資源, (BYOD) 。

在年度更新版中,這兩個 PIN 已合併成單一裝置 PIN。 您設定用來控制裝置 PIN 的任何 Intune 設定原則,以及您設定的任何 Windows Hello 企業版 原則,現在都設定這個新的 PIN 值。 如果您已設定這兩種原則類型來控制 PIN,則會套用 Windows Hello 企業版 原則。 若要確保原則衝突已解決並正確套用 PIN 原則,請更新您的 Windows Hello 企業版 原則以符合設定原則中的設定,並要求您的使用者在 公司入口網站 應用程式中同步處理其裝置。

角色型存取控制

您必須是 Intune 服務管理員,才能在 Windows 註冊中建立或編輯 Windows Hello 企業版 原則。 所有其他 Intune 角色都有唯讀存取權。 如需角色型訪問控制 (RBAC) 的詳細資訊,請參閱具有 Microsoft Intune 的 RBAC

Create Windows Hello 企業版 原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 移至 [裝置>註冊]

  3. [Windows] 索引標籤的 [註冊選項] 下,選取 [Windows Hello 企業版]。 等候 Windows Hello 企業版 窗格開啟。

  4. 從下列選項中選取 [設定 Windows Hello 企業版

    • 已啟用。 如果您想要設定 Windows Hello 企業版 設定,請選取此設定。 當您選取 [已啟用] 時,會顯示 Windows Hello 的其他設定,並可針對裝置進行設定。

    • 已停用。 如果您不想在裝置註冊期間啟用 Windows Hello 企業版,請選取此選項。 停用時,用戶無法布建 Windows Hello 企業版。 當設定為 [已用] 時,即使此原則不會啟用 Windows Hello 企業版,您仍然可以設定 Windows Hello 企業版 的後續設定。

    • 未設定。 如果您不想使用 Intune 來控制 Windows Hello 企業版 設定,請選取此設定。 Windows 10/11 裝置上的任何現有 Windows Hello 企業版 設定不會變更。 窗格上的所有其他設定都無法使用。

  5. 如果您在上一個步驟中選取 [已啟用],請設定套用至所有已註冊 Windows 10/11 裝置的必要設定。 設定這些設定之後,請選取 [儲存 ]

    • 使用信賴平臺模組 (TPM)

      TPM 晶片提供另一層數據安全性。 請選擇下列其中一個值:

      • 必要 (預設) 。 只有具有可存取 TPM 的裝置才能布建 Windows Hello 企業版。
      • 慣用。 裝置會先嘗試使用 TPM。 如果無法使用此選項,他們可以使用軟體加密。

    • PIN 長度下限PIN 長度上限

      將裝置設定為使用您指定的最小和最大 PIN 長度,以協助確保安全登入。 默認 PIN 長度為六個字元,但您可以強制執行最小長度為四個字元。 PIN 長度上限為 127 個字元。

    • PIN 中的小寫字母PIN 中的大寫字母,以及PIN 中的特殊字元

      您可以要求在 PIN 中使用大寫字母、小寫字母和特殊字元,以強制執行更強的 PIN。 針對每個專案,從下列項目選取:

      • 允許:用戶可以在其 PIN 中使用字元類型,但這不是必要的。

      • 必要:用戶必須在 PIN 中包含至少一個字元類型。 例如,常見的做法是至少需要一個大寫字母和一個特殊字元。

      • 不允許 (預設) :使用者不得在其 PIN 中使用這些字元類型。 (如果未設定設定,這也是行為。)

        特殊字元包括: !“ # $ % & ' ( ) * + , - 。/ : ; < = > ?@ [ \ ] ^ _ ' { | } ~

    • PIN 到期日 ()

      建議您指定 PIN 的到期期間,之後用戶必須變更它。 預設值為 41 天。

    • 記住 PIN 歷程記錄

      限制重複使用先前使用的 PIN。 根據預設,無法重複使用最後 5 個 PIN。

    • 允許生物特徵辨識驗證

      啟用生物特徵辨識驗證,例如臉部辨識或指紋,作為 Windows Hello 企業版 PIN 的替代方案。 如果生物特徵辨識驗證失敗,使用者仍然必須設定工作 PIN。 從下列項目中選擇:

      • 。 Windows Hello 企業版 允許生物特徵辨識驗證。
      • 。 Windows Hello 企業版 防止所有帳戶類型) 的生物特徵辨識驗證 (。

    • 可用時,請使用增強型反詐騙

      設定是否在支援 Windows Hello 裝置上使用 Windows Hello的反詐騙功能。 例如,偵測臉部的相片,而不是真實的臉部。

      當設定為 [是] 時,Windows 會要求所有用戶在支援時,針對臉部特徵使用反詐騙功能。

    • 允許手機登入

      如果此選項設定為 [是],使用者可以使用遠端 Passport 做為桌面電腦驗證的可攜式隨附裝置。 桌面電腦必須 Microsoft Entra 加入,而且必須使用 Windows Hello 企業版 PIN 來設定隨附裝置。

    • 開啟增強的登入安全性

      在具有可用硬體的裝置上設定 Windows Hello 增強式登入安全性。 選項包括:

      • 在具有可用硬體 (預設) 的系統上,將會啟用增強的登入安全性:裝置用戶無法使用外部外圍設備以 Windows Hello 登入其裝置。
      • 所有系統都會停用增強的登入安全性:裝置使用者可以使用與 Windows Hello 相容的外部周邊來登入其裝置。

    • 使用安全性金鑰進行登入

      當設定為 [已啟用] 時,此設定會為客戶組織中的所有計算機提供遠端開啟/關閉 Windows Hello 安全性密鑰的容量。

Windows Holographic for Business 支援

Windows Holographic for Business 支援下列 Windows Hello 企業版 設定:

  • 使用信賴平臺模組 (TPM)
  • 最小 PIN 碼長度
  • 最大 PIN 碼長度
  • PIN 中的小寫字母
  • PIN 中的大寫字母
  • PIN 中的特殊字元
  • PIN 到期日 (天)
  • 記住 PIN 歷程記錄

後續步驟

如需深入瞭解 Windows Hello,請參閱 Windows 檔中的下列主題: