Profilinställningar för identitetsskydd i Intune för Windows Hello för företag
Viktigt
I juli 2024 blev följande Intune profiler för identitetsskydd och kontoskydd inaktuella och ersattes av en ny konsoliderad profil med namnet Kontoskydd. Den här nyare profilen finns i noden kontoskyddsprincip för slutpunktssäkerhet och är den enda profilmallen som är tillgänglig för att skapa nya principinstanser för identitets- och kontoskydd. Inställningarna från den nya profilen är också tillgängliga via inställningskatalogen.
Alla instanser av följande äldre profiler som du har skapat är fortfarande tillgängliga för användning och redigering:
- Identitetsskydd – tidigare tillgängligt frånEnhetskonfiguration>>Skapa>ny princip>Windows 10 och senare>mallidentitetsskydd>
- Kontoskydd (förhandsversion) – tidigare tillgängligt från Endpoint Security>Account Protection>Windows 10 och senare>Kontoskydd (förhandsversion)
Obs!
Intune kan ha stöd för fler inställningar än de inställningar som anges i den här artikeln. Alla inställningar är inte dokumenterade och kommer inte att dokumenteras. Om du vill se de inställningar som du kan konfigurera skapar du en enhetskonfigurationsprincip och väljer Inställningskatalog. Mer information finns i Inställningskatalog.
I den här artikeln beskrivs Windows Hello för företag inställningar som du kan hantera med en identitetsskyddsprofil. Identitetsskyddsprofiler ingår i enhetskonfigurationsprincipen i Microsoft Intune. Från och med juli 2024 ersätts dock enhetskonfigurationsprofiler för identitetsskydd av slutpunktssäkerhetsprofiler för kontoskydd. Du kan fortsätta att använda identitetsskyddsprofiler som du skapade tidigare, men Intune inte längre har stöd för att skapa nya instanser. Om du i stället vill hantera inställningar för identitetsskydd använder du en princip för slutpunktssäkerhetskontoskydd.
Med en identitetsskyddsprofil kan du konfigurera inställningar på diskreta grupper av Windows 10/11-enheter. Information om hur du konfigurerar Windows Hello för företag hela klientorganisationen finns i Skapa en Windows Hello för företag-princip i Integrera Windows Hello för företag med Microsoft Intune.
I den här artikeln beskrivs inställningarna för registreringsprincipen.
Mer information om de här inställningarna finns i Konfigurera Windows Hello för företag principinställningar i dokumentationen för Windows Hello.
Windows Hello för företag
Följande inställningsinformation gäller endast för profilmallen för enhetskonfiguration för identitetsskydd, som inaktuellas i juli 2024.
Konfigurera Windows Hello för företag:
Inte konfigurerad (standard) – Välj den här inställningen om du inte vill använda Intune för att styra Windows Hello för företag inställningar. Befintliga Windows Hello för företag inställningar på Windows 10/11-enheter ändras inte. Alla andra inställningar i fönstret är inte tillgängliga.
Inaktivera – Om du inte vill använda Windows Hello för företag väljer du den här inställningen. Alla andra inställningar på skärmen är sedan otillgängliga.
Aktivera – Välj den här inställningen om du vill konfigurera Windows Hello för företag inställningar.
När inställningen är aktiverad är följande inställningar tillgängliga:
Minsta PIN-kodslängd
Ange en minsta PIN-kodslängd för enheter, från 4 till 127 tecken. Som standard är den här inställningen Inte konfigurerad.Maximal PIN-kodslängd
Ange en maximal PIN-kodslängd för enheter, från fyra till 127 tecken. Som standard är den här inställningen Inte konfigurerad.Gemener i PIN-kod
Om det behövs måste användarens PIN-kod innehålla minst en gemen bokstav. Som standard är den här inställningen Inte konfigurerad.- Tillåts inte – Blockera användare från att använda gemener i PIN-koden. Det här beteendet inträffar också om inställningen inte har konfigurerats.
- Tillåts – Tillåt användare att använda gemener i PIN-koden, men det krävs inte.
- Obligatoriskt – Användarna måste inkludera minst en gemen i PIN-koden. Det är till exempel vanligt att kräva minst en versal bokstav och ett specialtecken.
Versaler i PIN-kod
Om det behövs måste användarens PIN-kod innehålla minst en versal. Som standard är den här inställningen Inte konfigurerad.- Tillåts inte – Blockera användare från att använda versaler i PIN-koden. Det här beteendet inträffar också om inställningen inte har konfigurerats.
- Tillåts – Tillåt användare att använda versaler i PIN-koden, men det krävs inte.
- Obligatoriskt – Användarna måste inkludera minst en versal i PIN-koden. Det är till exempel vanligt att kräva minst en versal bokstav och ett specialtecken.
Specialtecken i PIN-kod
Om det behövs måste användarens PIN-kod innehålla minst ett specialtecken. Specialtecken är:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~- Tillåts inte (standard) – Blockera användare från att använda specialtecken i PIN-koden. Det här beteendet inträffar också om inställningen inte har konfigurerats.
- Tillåts – Tillåt användare att använda versaler i PIN-koden, men det krävs inte.
- Obligatoriskt – Användarna måste inkludera minst en versal i PIN-koden. Det är till exempel vanligt att kräva minst en versal bokstav och ett specialtecken.
PIN-kodens giltighetstid (dagar)
Om det konfigureras tvingas användaren att ändra sin PIN-kod efter det angivna antalet dagar. Användaren kan fortfarande proaktivt ändra sin PIN-kod innan den upphör att gälla. Som standard är den här inställningen Inte konfigurerad.Kom ihåg PIN-historik
Om det här är konfigurerat kan användaren inte återanvända det här antalet tidigare PIN-koder. Som standard är den här inställningen Inte konfigurerad.Aktivera PIN-återställning
Tillåter att användaren använder Windows Hello för företag PIN-återställningstjänst.- Aktivera – PIN-återställningshemligheten lagras på enheten och användaren kan ändra sin PIN-kod om det behövs.
- Inte konfigurerad (standard) – Återställningshemligheten skapas eller lagras inte.
Använda en betrodd plattformsmodul (TPM)
Ett TPM-chip ger ytterligare ett lager med datasäkerhet.- Aktivera – Endast enheter med en tillgänglig TPM kan etablera Windows Hello för företag.
- Inte konfigurerad (standard) – Enheterna försöker först använda en TPM. Om en TPM inte är tillgänglig kan de använda programvarukryptering.
Tillåt biometrisk autentisering
Om det tillåts kan Windows Hello för företag autentisera med gester, till exempel ansikte och fingeravtryck. Användarna måste fortfarande konfigurera en PIN-kod vid fel.- Aktivera – Windows Hello för företag tillåter biometrisk autentisering.
- Inte konfigurerad (standard) – Windows Hello för företag förhindrar biometrisk autentisering (för alla kontotyper).
Använd utökat skydd mot förfalskning när det är tillgängligt
Om det här alternativet är aktiverat använder enheterna förbättrat skydd mot förfalskning när det är tillgängligt (till exempel genom att identifiera ett foto av ett ansikte i stället för ett riktigt ansikte).- Aktivera – Windows kräver att alla användare använder förfalskningsskydd för ansiktsdrag när det stöds.
- Inte konfigurerad (standard) – Windows respekterar konfigurationerna för skydd mot förfalskning på enheten.
Certifikat för lokala resurser
- Aktivera – Tillåter Windows Hello för företag att använda certifikat för att autentisera mot lokala resurser.
- Inte konfigurerad (standard) – Förhindrar Windows Hello för företag från att använda certifikat för att autentisera mot lokala resurser. I stället använder enheter standardbeteendet för lokal autentisering med nyckelförtroende. Mer information finns i Användarcertifikat för lokal autentisering i Windows Hello-dokumentationen.
Använda säkerhetsnycklar för inloggning
Den här inställningen är tillgänglig för enheter som kör Windows 10 version 1903 eller senare, eller Windows 11. Använd den för att hantera stöd för att använda Windows Hello säkerhetsnycklar för inloggning.- Aktivera – Användare kan använda en Windows Hello säkerhetsnyckel som inloggningsautentiseringsuppgift för datorer som omfattas av den här principen.
- Inte konfigurerad – Säkerhetsnycklar är inaktiverade och användarna kan inte använda dem för att logga in på datorer.