在組織中管理 Windows Hello 企業版

適用於

  • Windows 10
  • Windows10 行動裝置版

您可以在執行 Windows10 的裝置上,建立將會實作 Windows Hello 的群組原則或行動裝置管理 (MDM) 原則。

重要

群組原則設定 [開啟 PIN 登入] 不適用於 Windows Hello 企業版。 這仍然會阻止或允許為 Windows 10 版本 1507 和 1511 建立方便的 PIN。

自 1607 版開始,所有加入網域的電腦都預設停用將 Windows Hello 做為方便的 PIN。 若要為 Windows10 版本 1607 啟用方便的 PIN,請啟用以下的群組原則設定:[開啟方便的 PIN 登入]

使用 [PIN 複雜度] 原則設定來管理 Windows Hello 企業版的 PIN。

適用於 Windows Hello 企業版的群組原則設定

下表列出您可以在工作地點針對 Windows Hello 用途設定的群組原則設定。 這些原則設定可在 [原則] > [系統管理範本] > [Windows 元件] > [Windows Hello 企業版] 下的 [使用者設定][電腦設定] 中取得。

原則 選項
使用 Windows Hello 企業版

未設定:使用者可以佈建 Windows Hello 企業版以加密其網域密碼。

已啟用:裝置會使用金鑰或憑證,為所有使用者佈建Windows Hello 企業版。

停用︰ 裝置不會為任何使用者佈建 Windows Hello 企業版。

使用硬體安全性裝置

未設定:若 TPM 可用,將會使用 TPM 佈建 Windows Hello 企業版;若 TPM 無法使用,則會使用軟體佈建。

啟用︰Windows Hello 企業版將只會使用 TPM 佈建。

已停用:若 TPM 可用,將會使用 TPM 佈建 Windows Hello 企業版;若 TPM 無法使用,則會使用軟體佈建。

使用生物識別技術

未設定:生物識別技術可做為取代 PIN 的手勢。

已啟用:生物識別技術可做為取代 PIN 的手勢。

已停用:只有 PIN 可做為手勢。

PIN 複雜度 需要有數字

未設定:使用者必須在其 PIN 中包含一個數字。

已啟用:使用者必須在其 PIN 中包含一個數字。

已停用:使用者無法在其 PIN 中使用數字。

使用有小寫字母

未設定:使用者無法在其 PIN 中使用小寫字母。

已啟用:使用者必須在其 PIN 中至少包含一個小寫字母。

已停用:使用者無法在其 PIN 中使用小寫字母。

最大 PIN 長度

未設定:PIN 長度必須小於或等於 127。

已啟用:PIN 長度必須小於或等於您指定的數字。

已停用:PIN 長度必須小於或等於 127。

最小 PIN 長度

未設定:PIN 長度必須大於或等於 4。

已啟用:PIN 長度必須大於或等於您指定的數字。

已停用:PIN 長度必須大於或等於 4。

到期

未設定:PIN 不會到期。

已啟用:PIN 可以設定為在 1 到 730 之間的任何天數後到期,或者 PIN 可以設定為永遠不會到期 (透過將原則設定為 0)。

已停用:PIN 不會到期。

歷程記錄

未設定:不會儲存之前的 PIN。

已啟用:指定之前的 PIN 數目,其可與無法重複使用的使用者帳戶相關聯。

已停用:不會儲存之前的 PIN。

注意:目前的 PIN 包含在 PIN 歷程記錄中。
需要有特殊字元

未設定:使用者無法在其 PIN 中包含特殊字元。

已啟用:使用者必須在其 PIN 中至少包含一個特殊字元。

已停用:使用者無法在其 PIN 中包含特殊字元。

需要有大寫字母

未設定:使用者無法在其 PIN 中包含大寫字母。

已啟用:使用者必須在其 PIN 中至少包含一個大寫字母。

已停用:使用者無法在其 PIN 中包含大寫字母。

>手機登入

使用手機登入

目前不支援。

適用於 Windows Hello 企業版的 MDM 原則設定

下表列出您可以在工作地點針對 Windows Hello 企業版用途設定的 MDM 原則設定。 這些 MDM 原則設定使用 PassportForWork 設定服務提供者 (CSP)

重要

自 Windows10 版本 1607 起,所有裝置皆僅具有一個與 Windows Hello 企業版關聯的 PIN。 這表示裝置上的任何 PIN,皆必須遵循 PassportForWork CSP 中指定的原則所規範。 指定值的優先順序,高於透過 Exchange ActiveSync (EAS) 或 DeviceLock CSP 設定的所有複雜規則集。

原則 領域 預設值 選項
UsePassportForWork 裝置 True

True:會為裝置上的所有使用者佈建 Windows Hello 企業版。

False:使用者將無法佈建 Windows Hello 企業版。

注意:如果啟用 Windows Hello 企業版,然後將原則變更為 [False],先前設定 Windows Hello 企業版的使用者可以繼續使用,但將無法在其他裝置上設定 Windows Hello 企業版。
RequireSecurityDevice 裝置 False

True︰Windows Hello 企業版將只會使用 TPM 佈建。

False:若 TPM 可用,將會使用 TPM 佈建 Windows Hello 企業版;若 TPM 無法使用,則會使用軟體佈建。

生物識別技術

UseBiometrics

裝置 False

True:生物識別技術可做為取代 PIN 的手勢以進行網域登入。

False:只有 PIN 可做為手勢以進行網域登入。

FacialFeaturesUser

EnhancedAntiSpoofing

裝置 未設定

未設定:使用者可以選擇是否要開啟增強型反詐騙。

True:在支援增強型反詐騙的裝置上需要有增強型反詐騙。

False:使用者無法開啟增強型反詐騙。

PINComplexity
數字 裝置或使用者 2

1:不允許數字。

2:至少需要一個數字。

小寫字母 裝置或使用者 1

1:不允許小寫字母。

2:至少需要一個小寫字母。

最大 PIN 長度 裝置或使用者 127

可以設定的最大長度為 127。 最大長度不可以小於最小設定。

最小 PIN 長度 裝置或使用者 4

可以設定的最小長度為 4。 最小長度不可以超過最大設定。

到期 裝置或使用者 0

整數值會指定系統要求使用者變更之前可以使用 PIN 的時間 (天數)。 您可以為此原則設定設定的最大數字為 730。 您可以為此原則設定設定的最小數字為 0。 如果此原則設定為 0,則使用者的 PIN 將永遠不會到期。

歷程記錄 裝置或使用者 0

整數值,指定可以與無法重複使用的使用者帳戶相關聯的之前 PIN 數目。 您可以為此原則設定設定的最大數字為 50。 您可以為此原則設定設定的最小數字為 0。 如果此原則設定為 0,則不需要儲存之前的 PIN。

特殊字元 裝置或使用者 1

1:不允許特殊字元。

2:至少需要一個特殊字元。

大寫字母 裝置或使用者 1

1:不允許大寫字母

2:至少需要一個大寫字母

遠端

UseRemotePassport

裝置或使用者 False

目前不支援。

注意

如果原則沒有設定為明確要求字母或特殊字元,使用者會受限只能建立數字 PIN。

如何與 Azure Active Directory 搭配使用 Windows Hello 企業版

在只有 Azure AD 的組織中使用 Windows Hello 企業版的案例有三種︰

  • 使用 Office 365 隨附之 Azure AD 版本的組織。 針對這類組織,不需要任何額外的工作。 當 Windows10 發佈為正式運作時,Microsoft 會變更 Office 365 Azure AD 堆疊的行為。 當使用者選取加入公司或學校網路的選項時,裝置即會自動加入 Office 365 租用戶的目錄分割,針對裝置發出憑證,而且如果租用戶已訂閱該功能,則它會具備符合 Office 365 MDM 的資格。 此外,系統將提示使用者登入,而且如果已啟用 MFA,就需輸入 Azure AD 要傳送到該使用者手機的 MFA 證明。
  • 使用 Azure AD 免費試用的組織。 針對這些組織,Microsoft 並未啟用將網域自動加入 Azure AD 的功能。 已註冊免費試用的組織可以選擇啟用或停用此功能,因此,自動網域加入功能將不會啟用,除非以及直到組織的系統管理員決定啟用此功能。 啟用此功能時,使用 [連線到公司或學校] 對話方塊加入 Azure AD 網域的裝置將會自動註冊以取得 Windows Hello 企業版支援,但不會註冊先前已加入的裝置。
  • 已訂閱 Azure AD Premium 的組織會具備一組完整 Azure AD MDM 功能的存取權。 這些功能包括管理 Windows Hello 企業版的控制項。 您可以設定原則來停用或強制使用 Windows Hello 企業版、要求使用 TPM,以及控制裝置上設定的 PIN 長度與強度。

如果您想要將 Windows Hello 企業版與憑證搭配使用,就需要裝置註冊系統。 這表示您設定 Configuration Manager、Microsoft Intune 或相容的非 Microsoft MDM 系統,並讓它能夠註冊裝置。 不論 IDP 為何,這是將 Windows Hello 企業版與憑證搭配使用的先決條件步驟,因為註冊系統會負責使用必要憑證來佈建裝置。

相關主題

找不到您需要的內容嗎? Windows 10 使用者,請於意見反應中樞告訴我們您想要什麼。