Profielinstellingen voor identiteitsbeveiliging in Intune voor Windows Hello voor Bedrijven
Belangrijk
In juli 2024 zijn de volgende Intune profielen voor identiteitsbescherming en accountbeveiliging afgeschaft en vervangen door een nieuw geconsolideerd profiel met de naam Accountbeveiliging. Dit nieuwere profiel is te vinden in het knooppunt accountbeveiligingsbeleid van eindpuntbeveiliging en is de enige profielsjabloon die beschikbaar blijft voor het maken van nieuwe beleidsexemplaren voor identiteits- en accountbeveiliging. De instellingen van dit nieuwe profiel zijn ook beschikbaar via de instellingencatalogus.
Alle exemplaren van de volgende oudere profielen die u hebt gemaakt, blijven beschikbaar om te gebruiken en te bewerken:
- Identiteitsbeveiliging: eerder beschikbaar via Apparaatconfiguratie>>Nieuw beleid>maken>Windows 10 en latere>sjablonen>Identity Protection
- Accountbeveiliging (preview): eerder beschikbaar via Endpoint Security>Account protection>Windows 10 en hoger>Accountbeveiliging (preview)
Opmerking
Intune ondersteunt mogelijk meer instellingen dan de instellingen die in dit artikel worden vermeld. Niet alle instellingen worden gedocumenteerd en worden niet gedocumenteerd. Als u de instellingen wilt zien die u kunt configureren, maakt u een apparaatconfiguratiebeleid en selecteert u Instellingencatalogus. Ga naar Instellingencatalogus voor meer informatie.
In dit artikel wordt beschreven Windows Hello voor Bedrijven instellingen die u kunt beheren met een identiteitsbeveiligingsprofiel. Identiteitsbeveiligingsprofielen maken deel uit van het apparaatconfiguratiebeleid in Microsoft Intune. Vanaf juli 2024 worden apparaatconfiguratieprofielen voor identiteitsbeveiliging echter vervangen door eindpuntbeveiligingsprofielen voor accountbeveiliging. Hoewel u identiteitsbeveiligingsprofielen kunt blijven gebruiken die u eerder hebt gemaakt, biedt Intune geen ondersteuning meer voor het maken van nieuwe exemplaren. Gebruik in plaats daarvan een beveiligingsbeleid voor eindpuntbeveiligingsaccounts om instellingen voor identiteitsbeveiliging te beheren.
Met een identiteitsbeveiligingsprofiel kunt u instellingen configureren op afzonderlijke groepen Windows 10/11 apparaten. Als u Windows Hello voor Bedrijven tenantbreed wilt configureren als onderdeel van apparaatinschrijving, raadpleegt u Een Windows Hello voor Bedrijven-beleid maken in Integreren Windows Hello voor Bedrijven met Microsoft Intune.
In dit artikel worden de instellingen voor het inschrijvingsbeleid beschreven.
Meer informatie over deze instellingen vindt u in Windows Hello voor Bedrijven beleidsinstellingen configureren in de documentatie voor Windows Hello.
Windows Hello voor Bedrijven
De volgende instellingendetails zijn alleen van toepassing op de apparaatconfiguratieprofielsjabloon voor Identiteitsbeveiliging, die in juli 2024 is afgeschaft.
Windows Hello voor Bedrijven configureren:
Niet geconfigureerd (standaard): selecteer deze instelling als u Intune niet wilt gebruiken om Windows Hello voor Bedrijven instellingen te beheren. Bestaande Windows Hello voor Bedrijven instellingen op Windows 10/11-apparaten worden niet gewijzigd. Alle andere instellingen in het deelvenster zijn niet beschikbaar.
Uitschakelen: als u Windows Hello voor Bedrijven niet wilt gebruiken, selecteert u deze instelling. Alle andere instellingen op het scherm zijn dan niet beschikbaar.
Inschakelen: selecteer deze instelling als u Windows Hello voor Bedrijven instellingen wilt configureren.
Als deze optie is ingesteld op Inschakelen, zijn de volgende instellingen beschikbaar:
Minimale lengte van pincode
Geef een minimale lengte van de pincode op voor apparaten, van 4 tot 127 tekens. Deze instelling is standaard Niet geconfigureerd.Maximale lengte van pincode
Geef een maximale lengte van de pincode op voor apparaten, van vier tot 127 tekens. Deze instelling is standaard Niet geconfigureerd.Kleine letters in pincode
Indien nodig moet de pincode van de gebruiker ten minste één kleine letter bevatten. Deze instelling is standaard Niet geconfigureerd.- Niet toegestaan : hiermee kunt u voorkomen dat gebruikers kleine letters in de pincode gebruiken. Dit gedrag treedt ook op als de instelling niet is geconfigureerd.
- Toegestaan : gebruikers toestaan kleine letters in de pincode te gebruiken, maar dit is niet vereist.
- Vereist : gebruikers moeten ten minste één kleine letter in de pincode opnemen. Het is bijvoorbeeld gebruikelijk om ten minste één hoofdletter en één speciaal teken te vereisen.
Hoofdletters in pincode
Indien nodig moet de pincode van de gebruiker ten minste één hoofdletter bevatten. Deze instelling is standaard Niet geconfigureerd.- Niet toegestaan : hiermee kunt u voorkomen dat gebruikers hoofdletters in de pincode gebruiken. Dit gedrag treedt ook op als de instelling niet is geconfigureerd.
- Toegestaan : gebruikers toestaan hoofdletters in de pincode te gebruiken, maar dit is niet vereist.
- Vereist : gebruikers moeten ten minste één hoofdletter in de pincode opnemen. Het is bijvoorbeeld gebruikelijk om ten minste één hoofdletter en één speciaal teken te vereisen.
Speciale tekens in pincode
Indien nodig moet de pincode van de gebruiker ten minste één speciaal teken bevatten. Speciale tekens zijn onder andere:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- Niet toegestaan (standaard): hiermee kunt u voorkomen dat gebruikers speciale tekens in de pincode gebruiken. Dit gedrag treedt ook op als de instelling niet is geconfigureerd.
- Toegestaan : gebruikers toestaan hoofdletters in de pincode te gebruiken, maar dit is niet vereist.
- Vereist : gebruikers moeten ten minste één hoofdletter in de pincode opnemen. Het is bijvoorbeeld gebruikelijk om ten minste één hoofdletter en één speciaal teken te vereisen.
Verloop van pincode (dagen)
Als deze is geconfigureerd, wordt de gebruiker gedwongen om de pincode te wijzigen na het ingestelde aantal dagen. De gebruiker kan de pincode nog steeds proactief wijzigen voordat deze verloopt. Deze instelling is standaard Niet geconfigureerd.Pincodegeschiedenis onthouden
Als deze is geconfigureerd, kan de gebruiker dit aantal eerdere pincodes niet opnieuw gebruiken. Deze instelling is standaard Niet geconfigureerd.Pincodeherstel inschakelen
Hiermee kan de gebruiker de Windows Hello voor Bedrijven pincodeherstelservice gebruiken.- Inschakelen : het pincodeherstelgeheim wordt opgeslagen op het apparaat en de gebruiker kan zo nodig de pincode wijzigen.
- Niet geconfigureerd (standaard): het herstelgeheim wordt niet gemaakt of opgeslagen.
Een Trusted Platform Module (TPM) gebruiken
Een TPM-chip biedt een extra laag gegevensbeveiliging.- Inschakelen: alleen apparaten met een toegankelijke TPM kunnen Windows Hello voor Bedrijven inrichten.
- Niet geconfigureerd (standaard): apparaten proberen eerst een TPM te gebruiken. Als een TPM niet beschikbaar is, kunnen ze softwareversleuteling gebruiken.
Biometrische verificatie toestaan
Indien toegestaan, kunt Windows Hello voor Bedrijven verifiëren met behulp van bewegingen, zoals gezicht en vingerafdruk. Gebruikers moeten nog steeds een pincode configureren in geval van een fout.- Inschakelen: Windows Hello voor Bedrijven staat biometrische verificatie toe.
- Niet geconfigureerd (standaard): Windows Hello voor Bedrijven voorkomt biometrische verificatie (voor alle accounttypen).
Verbeterde anti-adresvervalsing gebruiken, indien beschikbaar
Indien ingeschakeld, gebruiken apparaten verbeterde anti-adresvervalsing, indien beschikbaar (bijvoorbeeld het detecteren van een foto van een gezicht in plaats van een echt gezicht).- Inschakelen : windows vereist dat alle gebruikers anti-adresvervalsing gebruiken voor gezichtskenmerken wanneer dat wordt ondersteund.
- Niet geconfigureerd (standaard): Windows houdt zich aan de anti-adresvervalsingsconfiguraties op het apparaat.
Certificaat voor on-premises resources
- Inschakelen: hiermee kunnen Windows Hello voor Bedrijven certificaten gebruiken om on-premises resources te verifiëren.
- Niet geconfigureerd (standaard): hiermee voorkomt u dat Windows Hello voor Bedrijven certificaten gebruikt om on-premises resources te verifiëren. In plaats daarvan gebruiken apparaten het standaardgedrag van on-premises sleutelvertrouwensverificatie. Zie Gebruikerscertificaat voor on-premises verificatie in de documentatie voor Windows Hello voor meer informatie.
Beveiligingssleutels gebruiken voor aanmelding
Deze instelling is beschikbaar voor apparaten met Windows 10 versie 1903 of hoger of Windows 11. Gebruik het om ondersteuning te beheren voor het gebruik van Windows Hello-beveiligingssleutels voor aanmelding.- Inschakelen: gebruikers kunnen een Windows Hello-beveiligingssleutel gebruiken als aanmeldingsreferentie voor pc's waarop dit beleid is gericht.
- Niet geconfigureerd : beveiligingssleutels zijn uitgeschakeld en gebruikers kunnen deze niet gebruiken om zich aan te melden bij pc's.