Nastavení profilu ochrany identit v Intune pro Windows Hello pro firmy
Důležité
V červenci 2024 byly následující profily Intune pro ochranu identit a ochrany účtů zastaralé a nahrazené novým konsolidovaný profil s názvem Ochrana účtů. Tento novější profil se nachází v uzlu zásad ochrany účtů zabezpečení koncového bodu a je jedinou šablonou profilu, která zůstává k dispozici pro vytváření nových instancí zásad pro ochranu identit a účtů. Nastavení z tohoto nového profilu jsou k dispozici také prostřednictvím katalogu nastavení.
Všechny instance následujících starších profilů, které jste vytvořili, zůstanou dostupné k použití a úpravám:
- Ochrana identit – dříve dostupná v částiKonfigurace>zařízení>– Vytvoření>nové zásady>Windows 10 a novějších>šablon Identity>Protection
- Ochrana účtu (Preview) – dříve dostupná v části Endpoint Security>Account Protection>Windows 10 a novější>ochrana účtu (Preview)
Poznámka
Intune může podporovat více nastavení než nastavení uvedená v tomto článku. Ne všechna nastavení jsou zdokumentovaná a nebudou zdokumentována. Pokud chcete zobrazit nastavení, která můžete konfigurovat, vytvořte zásady konfigurace zařízení a vyberte Katalog nastavení. Další informace najdete v katalogu Nastavení.
Tento článek popisuje Windows Hello pro firmy nastavení, která můžete spravovat pomocí profilu ochrany identit. Profily ochrany identit jsou součástí zásad konfigurace zařízení v Microsoft Intune. Od července 2024 se ale profily konfigurace zařízení pro službu Identity Protection nahradí profily zabezpečení koncových bodů pro ochranu účtů. I když můžete dál používat profily ochrany identit, které jste vytvořili dříve, Intune už nepodporuje vytváření nových instancí. Místo toho ke správě nastavení ochrany identit použijte zásady ochrany účtu zabezpečení koncového bodu.
Pomocí profilu ochrany identit můžete nakonfigurovat nastavení pro samostatné skupiny Windows 10/11 zařízení. Pokud chcete v rámci registrace zařízení nakonfigurovat Windows Hello pro firmy celého tenanta, přečtěte si téma Vytvoření zásady Windows Hello pro firmy v tématu Integrace Windows Hello pro firmy s Microsoft Intune.
Tento článek popisuje nastavení zásad registrace.
Další informace o těchto nastaveních najdete v tématu Konfigurace nastavení zásad Windows Hello pro firmy v dokumentaci k Windows Hello.
Windows Hello pro firmy
Následující podrobnosti o nastavení platí jenom pro šablonu profilu konfigurace zařízení pro službu Identity Protection, která byla vyřazena v červenci 2024.
Konfigurace Windows Hello pro firmy:
Nenakonfigurováno (výchozí) – Toto nastavení vyberte, pokud nechcete k řízení nastavení Windows Hello pro firmy používat Intune. Stávající nastavení Windows Hello pro firmy na zařízeních Windows 10/11 se nezmění. Všechna ostatní nastavení v podokně nejsou k dispozici.
Zakázat – Pokud nechcete používat Windows Hello pro firmy, vyberte toto nastavení. Všechna ostatní nastavení na obrazovce jsou pak nedostupná.
Povolit – toto nastavení vyberte, pokud chcete nakonfigurovat nastavení Windows Hello pro firmy.
Při nastavení na Povolit jsou k dispozici následující nastavení:
Minimální délka PIN kódu
Zadejte minimální délku KÓDU PIN pro zařízení od 4 do 127 znaků. Ve výchozím nastavení je toto nastavení nenakonfigurováno.Maximální délka PIN kódu
Zadejte maximální délku KÓDU PIN pro zařízení od čtyř do 127 znaků. Ve výchozím nastavení je toto nastavení nenakonfigurováno.Malá písmena v PIN kódu
V případě potřeby musí kód PIN uživatele obsahovat aspoň jedno malé písmeno. Ve výchozím nastavení je toto nastavení nenakonfigurováno.- Nepovoleno – Zablokuje uživatelům použití malých písmen v PIN kódu. K tomuto chování dochází také v případě, že nastavení není nakonfigurované.
- Povoleno – Povolí uživatelům používat v PIN kódu malá písmena, ale není to povinné.
- Povinné – Uživatelé musí v KÓDU PIN obsahovat aspoň jedno malé písmeno. Běžnou praxí je například vyžadovat aspoň jedno velké písmeno a jeden speciální znak.
Velká písmena v PIN kódu
V případě potřeby musí kód PIN uživatele obsahovat alespoň jedno velké písmeno. Ve výchozím nastavení je toto nastavení nenakonfigurováno.- Nepovoleno – Zablokuje uživatelům použití velkých písmen v PIN kódu. K tomuto chování dochází také v případě, že nastavení není nakonfigurované.
- Povoleno – Povolí uživatelům používat v PIN kódu velká písmena, ale není to povinné.
- Povinné – Uživatelé musí v KÓDU PIN obsahovat aspoň jedno velké písmeno. Běžnou praxí je například vyžadovat aspoň jedno velké písmeno a jeden speciální znak.
Speciální znaky v PIN kódu
V případě potřeby musí kód PIN uživatele obsahovat alespoň jeden speciální znak. Mezi speciální znaky patří:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~- Nepovoleno (výchozí) – Zablokuje uživatelům použití speciálních znaků v PIN kódu. K tomuto chování dochází také v případě, že nastavení není nakonfigurované.
- Povoleno – Povolí uživatelům používat v PIN kódu velká písmena, ale není to povinné.
- Povinné – Uživatelé musí v KÓDU PIN obsahovat aspoň jedno velké písmeno. Běžnou praxí je například vyžadovat aspoň jedno velké písmeno a jeden speciální znak.
Vypršení platnosti PIN kódu (dny)
Pokud je tato konfigurace nakonfigurovaná, uživatel bude po nastaveném počtu dnů nucen změnit svůj PIN kód. Uživatel si může pin kód před vypršením platnosti proaktivně změnit. Ve výchozím nastavení je toto nastavení nenakonfigurováno.Pamatovat si historii PIN kódu
Pokud je tato konfigurace nakonfigurovaná, uživatel nebude moct tento počet předchozích PIN kódů znovu použít. Ve výchozím nastavení je toto nastavení nenakonfigurováno.Povolení obnovení KÓDU PIN
Umožňuje uživateli používat službu obnovení kódu PIN Windows Hello pro firmy.- Povolit – tajný kód pro obnovení PIN kódu je uložený v zařízení a uživatel si může pin kód v případě potřeby změnit.
- Nenakonfigurováno (výchozí) – Tajný kód obnovení se nevytvořil ani neuložil.
Použití čipu TPM (Trusted Platform Module)
Čip TPM poskytuje další vrstvu zabezpečení dat.- Povolit – Windows Hello pro firmy můžou zřizovat jenom zařízení s přístupným čipem TPM.
- Nenakonfigurováno (výchozí) – Zařízení se nejprve pokusí použít čip TPM. Pokud čip TPM není k dispozici, může použít softwarové šifrování.
Povolit biometrické ověřování
Pokud je to povolené, Windows Hello pro firmy se můžou ověřit pomocí gest, jako je obličej nebo otisk prstu. Uživatelé musí pin kód nakonfigurovat i v případě selhání.- Povolit – Windows Hello pro firmy povolí biometrické ověřování.
- Nenakonfigurováno (výchozí) – Windows Hello pro firmy brání biometrickému ověřování (pro všechny typy účtů).
Použití rozšířené ochrany proti falšování identity, pokud je k dispozici
Pokud je tato možnost povolená, zařízení používají vylepšenou ochranu proti falšování identity, pokud je k dispozici (například rozpoznání fotografie tváře místo skutečné tváře).- Povolit – Systém Windows vyžaduje, aby všichni uživatelé používali ochranu proti falšování identity pro funkce obličeje, pokud je tato funkce podporovaná.
- Nenakonfigurováno (výchozí) – Systém Windows respektuje konfigurace ochrany proti falšování identity na zařízení.
Certifikát pro místní prostředky
- Povolit – umožňuje Windows Hello pro firmy používat certifikáty k ověřování místních prostředků.
- Nenakonfigurováno (výchozí) – Zabraňuje Windows Hello pro firmy používat certifikáty k ověřování místních prostředků. Místo toho zařízení používají výchozí chování místního ověřování důvěryhodnosti klíčů. Další informace najdete v tématu Certifikát uživatele pro místní ověřování v dokumentaci k Windows Hello.
Použití klíčů zabezpečení pro přihlášení
Toto nastavení je dostupné pro zařízení, která používají Windows 10 verze 1903 nebo novější nebo Windows 11. Slouží ke správě podpory používání klíčů zabezpečení Windows Hello pro přihlašování.- Povolit – uživatelé můžou použít Windows Hello klíč zabezpečení jako přihlašovací údaje pro počítače, na které se tato zásada zaměřuje.
- Nenakonfigurováno – Klíče zabezpečení jsou zakázané a uživatelé je nemůžou používat k přihlašování k počítačům.