在組織中管理 Windows Hello 企業版

適用於

  • Windows 10

您可以在執行 Windows10 的裝置上,建立將會實作 Windows Hello 的群組原則或行動裝置管理 (MDM) 原則。

重要

群組原則設定 [開啟 PIN 登入] 不適用於 Windows Hello 企業版。 這仍然會阻止或允許為 Windows 10 版本 1507 和 1511 建立方便的 PIN。

自 1607 版開始,所有加入網域的電腦都預設停用將 Windows Hello 做為方便的 PIN。 若要為 Windows10 版本 1607 啟用方便的 PIN,請啟用以下的群組原則設定:[開啟方便的 PIN 登入]

使用 [PIN 複雜度] 原則設定來管理 Windows Hello 企業版的 PIN。

適用於 Windows Hello 企業版的群組原則設定

下表列出您可以在工作地點針對 Windows Hello 用途設定的群組原則設定。 這些策略設定可在系統管理**** 範本 Windows **** Components **** Windows Hello for Business 中的使用者設定和電腦 > **** > **** > 設定中提供

注意

從 Windows 10 版本 1709 開始,群組原則的 PIN 複雜度區段位置為: 電腦群組組管理 > 範本 > 系統 > PIN 複雜度

原則 領域 選項
使用 Windows Hello 企業版 電腦或使用者

未配置 :裝置不會為任何使用者供應商務用 Windows Hello。

已啟用:裝置會使用金鑰或憑證,為所有使用者佈建Windows Hello 企業版。

停用︰ 裝置不會為任何使用者佈建 Windows Hello 企業版。

使用硬體安全性裝置 電腦

未設定:若 TPM 可用,將會使用 TPM 佈建 Windows Hello 企業版;若 TPM 無法使用,則會使用軟體佈建。

啟用︰Windows Hello 企業版將只會使用 TPM 佈建。 除非已明確設定排除選項,否則此功能會使用 TPM 1.2 來設定商務用 Windows Hello。

已停用:若 TPM 可用,將會使用 TPM 佈建 Windows Hello 企業版;若 TPM 無法使用,則會使用軟體佈建。

使用憑證進行內部部署驗證 電腦或使用者

未配置:商務用 Windows Hello 會註冊用於內部部署驗證 的金鑰。

已啟用 :商務用 Windows Hello 會使用用於內部部署驗證的 ADFS 註冊登錄憑證。

已停用:商務用 Windows Hello 會註冊用於內部部署驗證 的金鑰。

使用 PIN 復原 電腦

在 Windows 10 版本 1703 中新增

未配置 :商務用 Windows Hello 不會建立或儲存 PIN 復原密碼。 PIN 重設不會使用 Azure 型 PIN 修復服務。

已啟用 :商務用 Windows Hello 會使用 Azure 型 PIN 復原服務進行 PIN 重設。

已停用 :商務用 Windows Hello 不會建立或儲存 PIN 修復密碼。 PIN 重設不會使用 Azure 型 PIN 修復服務。

有關使用 PIN 復原服務重設 PIN 的更多相關資訊,請參閱 Windows Hello for Business PIN 重設

使用生物識別技術 電腦

未設定:生物識別技術可做為取代 PIN 的手勢。

已啟用:生物識別技術可做為取代 PIN 的手勢。

已停用:只有 PIN 可做為手勢。

PIN 複雜度 需要有數字 電腦

未設定:使用者必須在其 PIN 中包含一個數字。

已啟用:使用者必須在其 PIN 中包含一個數字。

已停用:使用者無法在其 PIN 中使用數字。

使用有小寫字母 電腦

未設定:使用者無法在其 PIN 中使用小寫字母。

已啟用:使用者必須在其 PIN 中至少包含一個小寫字母。

已停用:使用者無法在其 PIN 中使用小寫字母。

最大 PIN 長度 電腦

未設定:PIN 長度必須小於或等於 127。

已啟用:PIN 長度必須小於或等於您指定的數字。

已停用:PIN 長度必須小於或等於 127。

最小 PIN 長度 電腦

未設定:PIN 長度必須大於或等於 4。

已啟用:PIN 長度必須大於或等於您指定的數字。

已停用:PIN 長度必須大於或等於 4。

到期 電腦

未設定:PIN 不會到期。

已啟用:PIN 可以設定為在 1 到 730 之間的任何天數後到期,或者 PIN 可以設定為永遠不會到期 (透過將原則設定為 0)。

已停用:PIN 不會到期。

歷程記錄 電腦

未設定:不會儲存之前的 PIN。

已啟用:指定可以與使用者帳戶相關聯的先前 PIN 數目,' 重複使用。

已停用:不會儲存之前的 PIN。

注意:目前的 PIN 包含在 PIN 歷程記錄中。
需要有特殊字元 電腦

未設定:使用者無法在其 PIN 中包含特殊字元。

已啟用:使用者必須在其 PIN 中至少包含一個特殊字元。

已停用:使用者無法在其 PIN 中包含特殊字元。

需要有大寫字母 電腦

未設定:使用者無法在其 PIN 中包含大寫字母。

已啟用:使用者必須在其 PIN 中至少包含一個大寫字母。

已停用:使用者無法在其 PIN 中包含大寫字母。

手機登入 使用手機登入 電腦

目前不支援。

適用於 Windows Hello 企業版的 MDM 原則設定

下表列出您可以在工作地點針對 Windows Hello 企業版用途設定的 MDM 原則設定。 這些 MDM 原則設定使用 PassportForWork 設定服務提供者 (CSP)

重要

自 Windows10 版本 1607 起,所有裝置皆僅具有一個與 Windows Hello 企業版關聯的 PIN。 這表示裝置上的任何 PIN,皆必須遵循 PassportForWork CSP 中指定的原則所規範。 指定值的優先順序,高於透過 Exchange ActiveSync (EAS) 或 DeviceLock CSP 設定的所有複雜規則集。

原則 領域 預設值 選項
UsePassportForWork 裝置或使用者 True

True:會為裝置上的所有使用者佈建 Windows Hello 企業版。

False:使用者將無法佈建 Windows Hello 企業版。

注意:如果啟用 Windows Hello 企業版,然後將原則變更為 \[False\],先前設定 Windows Hello 企業版的使用者可以繼續使用,但將無法在其他裝置上設定 Windows Hello 企業版。
RequireSecurityDevice 裝置或使用者 False

True︰Windows Hello 企業版將只會使用 TPM 佈建。

False:若 TPM 可用,將會使用 TPM 佈建 Windows Hello 企業版;若 TPM 無法使用,則會使用軟體佈建。

ExcludeSecurityDevice TPM12 裝置 False

在 Windows 10 版本 1703 中新增

True:TPM 修訂 1.2 模組將不允許與商務用 Windows Hello 一起使用。

False:允許 TPM 修訂 1.2 模組與商務用 Windows Hello 一起使用。

EnablePinRecovery 裝置或使用者 False

在 Windows 10 版本 1703 中新增

True:商務用 Windows Hello 使用 Azure 型 PIN 復原服務進行 PIN 重設。

False:商務用 Windows Hello 不會建立或儲存 PIN 修復密碼。 PIN 重設不會使用 Azure 型 PIN 修復服務。

有關使用 PIN 重設 PIN 復原服務之詳細資訊,請參閱 Windows Hello for Business PIN 重設

生物識別技術

UseBiometrics

裝置 False

True:生物識別技術可做為取代 PIN 的手勢以進行網域登入。

False:只有 PIN 可做為手勢以進行網域登入。

FacialFeaturesUser

EnhancedAntiSpoofing

裝置 未設定

未設定:使用者可以選擇是否要開啟增強型反詐騙。

True:在支援增強型反詐騙的裝置上需要有增強型反詐騙。

False:使用者無法開啟增強型反詐騙。

PINComplexity
數字 裝置或使用者 1

0:允許數位。

1:至少需要一位數。

2:不允許使用數位。

小寫字母 裝置或使用者 2

0:允許使用小寫字母。

1:至少需要一個小寫字母。

2:不允許使用小寫字母。

特殊字元 裝置或使用者 2

0:允許特殊字元。

1:至少需要一個特殊字元。

2:不允許使用特殊字元。

大寫字母 裝置或使用者 2

0:允許使用大寫字母。

1:至少需要一個大寫字母。

2:不允許使用大寫字母。

最大 PIN 長度 裝置或使用者 127

可以設定的最大長度為 127。 最大長度不可以小於最小設定。

最小 PIN 長度 裝置或使用者 4

可以設定的最小長度為 4。 最小長度不可以超過最大設定。

到期 裝置或使用者 0

整數值會指定系統要求使用者變更之前可以使用 PIN 的時間 (天數)。 您可以為此原則設定設定的最大數字為 730。 您可以為此原則設定設定的最小數字為 0。 如果此策略設為 0,則使用者的 PIN 永遠不會過期。

歷程記錄 裝置或使用者 0

指定可以關聯到無法重複使用之使用者帳戶的過去 PIN 數目的整數值。 您可以為此原則設定設定的最大數字為 50。 您可以為此原則設定設定的最小數字為 0。 如果此原則設定為 0,則不需要儲存之前的 PIN。

遠端

UseRemotePassport

裝置或使用者 False

目前不支援。

注意

在 Windows 10 版本 1709 及更新版本中,如果策略未設定為明確要求字母或特殊字元,使用者可以選擇性地設定數位 PIN。 在版本 1709 之前,使用者必須設定數位 PIN。

來自多個策略來源的策略衝突

商務用 Windows Hello 的設計是由群組原則或 MDM 管理,但並非兩者的組合。 如果兩個來源都設定了策略,可能會導致使用者或裝置實際強制執行的混合結果。

商務用 Windows Hello 政策會使用下列階層強制執行:使用者群組原則>電腦群組策略>使用者 MDM >裝置 MDM >裝置鎖定政策。

功能啟用原則與憑證信任原則會根據上述規則,從同一個來源 (GP 或 MDM) 強制執行。 使用工作護照政策會用來判斷優勝政策來源。

所有 PIN 複雜度策略會與功能啟用分開分組,而且會從單一策略來源強制執行。 使用硬體安全性裝置和 RequireSecurityDevice 強制執行也會與 PIN 複雜度策略一起分組。 其他商務用 Windows Hello 政策的衝突解決會依據每個策略強制執行。

注意

商務用 Windows Hello 策略衝突解決邏輯不尊重策略 CSP 中的 ControlPolicyConflict/MDMWinsOverGP 政策。

範例

下列專案是使用電腦群組策略進行配置:

  • 使用商務用 Windows Hello - 已啟用
  • 內部部署驗證的使用者憑證 - 已啟用

下列專案是使用裝置 MDM 策略進行配置:

  • UsePassportForWork - 已停用
  • UseCertificateForOnPremAuth - 已停用
  • MinimumPINLength - 8
  • 位數 - 1
  • 小寫字母 - 1
  • 特殊字元 - 1

強制執行的策略集:

  • 使用商務用 Windows Hello - 已啟用
  • 使用憑證進行內部部署驗證 - 已啟用
  • MinimumPINLength - 8
  • 位數 - 1
  • 小寫字母 - 1
  • 特殊字元 - 1

如何與 Azure Active Directory 搭配使用 Windows Hello 企業版

在只有 Azure AD 的組織中使用 Windows Hello 企業版的案例有三種︰

  • 使用 Office 365 隨附之 Azure AD 版本的組織。 針對這類組織,不需要任何額外的工作。 當 Windows10 發佈為正式運作時,Microsoft 會變更 Office 365 Azure AD 堆疊的行為。 當使用者選取加入公司或學校網路的選項時,裝置會自動加入 Office 365 租使用者的目錄磁碟分割、為裝置頒發憑證,而且如果租使用者已訂閱該功能,則它符合 Office 365 MDM 資格。 此外,系統將提示使用者登入,而且如果已啟用 MFA,就需輸入 Azure AD 要傳送到該使用者手機的 MFA 證明。
  • 使用 Azure AD 免費試用的組織。 針對這些組織,Microsoft 並未啟用將網域自動加入 Azure AD 的功能。 已註冊免費層級的組織可以選擇啟用或停用此功能,因此除非組織系統管理員決定啟用,否則無法啟用自動網域加入。 啟用此功能時,使用 [連線到公司或學校] 對話方塊加入 Azure AD 網域的裝置將會自動註冊以取得 Windows Hello 企業版支援,但不會註冊先前已加入的裝置。
  • 已訂閱 Azure AD Premium 的組織會具備一組完整 Azure AD MDM 功能的存取權。 這些功能包括管理 Windows Hello 企業版的控制項。 您可以設定原則來停用或強制使用 Windows Hello 企業版、要求使用 TPM,以及控制裝置上設定的 PIN 長度與強度。

如果您想要將商務用 Windows Hello 與憑證一起使用,您需要裝置註冊系統。 這表示您設定 Configuration Manager、Microsoft Intune 或相容的非 Microsoft MDM 系統,並讓它能夠註冊裝置。 不論 IDP 為何,這是將 Windows Hello 企業版與憑證搭配使用的先決條件步驟,因為註冊系統會負責使用必要憑證來佈建裝置。