Configuration Manager 中的Windows Hello 企业版设置

适用于: Configuration Manager(current branch)

Configuration Manager与 Windows Hello 企业版 集成。 (此功能以前称为 Microsoft Passport for Work.) Windows Hello 企业版 是Windows 10设备的替代登录方法。 它使用 Active Directory 或 Microsoft Entra 帐户来替换密码、智能卡或虚拟智能卡。 Hello for Business 允许你使用 用户手势 而不是密码登录。 用户手势可能是 PIN、生物识别身份验证或外部设备(如指纹读取器)。

重要

从版本 2203 开始,不再支持此公司资源访问功能。 有关详细信息,请参阅 有关弃用资源访问的常见问题

Active Directory 联合身份验证服务注册机构 (ADFS RA) 部署更简单,提供更好的用户体验,并且具有更确定性的证书注册体验。 使用 ADFS RA 通过 Windows Hello 企业版 进行基于证书的身份验证。

有关详细信息,请参阅 Windows Hello 企业版

注意

默认情况下,Configuration Manager不启用此可选功能。 在使用此功能之前,必须启用此功能。 有关详细信息,请参阅 从更新启用可选功能

Configuration Manager通过以下方式与 Windows Hello 企业版 集成:

  • 控制用户可以和无法使用哪些手势登录。

  • 将身份验证证书存储在Windows Hello 企业版密钥存储提供程序中, (KSP) 。 有关详细信息,请参阅 证书配置文件

  • 创建并部署Windows Hello 企业版配置文件,以控制运行 Configuration Manager 客户端的已加入域Windows 10设备上的设置。 从版本 1910 开始,不能使用基于证书的身份验证。 使用基于密钥的身份验证时,无需部署证书配置文件。

配置配置文件

  1. 在 Configuration Manager 控制台中,转到“资产和合规性”工作区。 依次展开“符合性设置”、“公司资源访问”,然后选择“Windows Hello 企业版配置文件”节点。

  2. 在功能区中,选择“创建Windows Hello 企业版配置文件”以启动配置文件向导。

  3. 在“ 常规 ”页上,指定此配置文件的名称和可选说明。

  4. “支持的平台 ”页上,选择此配置文件应应用到的 OS 版本。

  5. 在“设置”页上,配置下列设置:

    • 配置Windows Hello 企业版:指定此配置文件是启用、禁用还是不配置 Hello for Business。

    • 使用受信任的平台模块 (TPM) :TPM 提供额外的数据安全层。 选择下列值之一:

      • 必需:只有具有可访问 TPM 的设备才能预配Windows Hello 企业版。

      • 首选:设备首次尝试使用 TPM。 如果不可用,则可以使用软件加密。

    • 身份验证方法:将此选项设置为 “未配置”“基于密钥”。

      注意

      从版本 1910 开始,不支持使用 Configuration Manager 中的Windows Hello 企业版设置进行基于证书的身份验证。

    • 配置最小 PIN 长度:如果要要求用户 PIN 的最小长度,请启用此选项并指定一个值。 启用后,默认值为 4

    • 配置最大 PIN 长度:如果要要求用户 PIN 的最大长度,请启用此选项并指定一个值。 启用后,默认值为 127

    • 要求 PIN 过期 (天) :指定用户必须更改设备 PIN 之前的天数。

    • 防止重用以前的 PIN:不允许用户使用以前使用的 PIN。

    • 需要 PIN 中的大写字母:指定用户是否必须在Windows Hello 企业版 PIN 中包含大写字母。 从以下项中进行选择:

      • 允许:用户可以在其 PIN 中使用大写字符,但不必使用。

      • 必需:用户必须在其 PIN 中包含至少一个大写字符。

      • 不允许:用户不能在其 PIN 中使用大写字符。

    • 需要 PIN 中的小写字母:指定用户是否必须在Windows Hello 企业版 PIN 中包含小写字母。 从以下项中进行选择:

      • 允许:用户可以在其 PIN 中使用小写字符,但不必使用。

      • 必需:用户必须在其 PIN 中包含至少一个小写字符。

      • 不允许:用户不能在其 PIN 中使用小写字符。

    • 配置特殊字符:指定在 PIN 中使用特殊字符。 从以下项中进行选择:

      注意

      特殊字符包括以下集:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
      
      • 允许:用户可以在其 PIN 中使用特殊字符,但不必使用。

      • 必需:用户必须在其 PIN 中包含至少一个特殊字符。

      • 不允许:用户不能在其 PIN 中使用特殊字符。 如果设置为 “未配置”,则也会发生此行为。

    • 在 PIN 中配置数字的使用:指定在 PIN 中使用数字。 从以下项中进行选择:

      • 允许:用户可以在其 PIN 中使用数字,但不必使用。

      • 必需:用户必须在其 PIN 中包含至少一个数字。

      • 不允许:用户不能在其 PIN 中使用数字。

    • 启用生物识别手势:使用面部识别或指纹等生物识别身份验证。 这些模式是用于Windows Hello 企业版的 PIN 的替代方法。 用户仍配置 PIN,以防生物识别身份验证失败。

      如果设置为“是”,Windows Hello 企业版允许生物识别身份验证。 如果设置为“否”,Windows Hello 企业版会阻止所有帐户类型的生物识别身份验证。

    • 使用增强的反欺骗:在支持增强的反欺骗设备上配置增强的反欺骗。 如果设置为 “是”(如果支持),则 Windows 要求所有用户对面部功能使用反欺骗功能。

    • 使用电话登录:使用移动电话配置双重身份验证。

  6. 完成该向导。

以下屏幕截图是Windows Hello 企业版配置文件设置的示例:

Windows Hello 企业版策略向导,其中显示了可用设置的列表

配置权限

  1. 作为域管理员或等效凭据,登录到安装了以下可选功能的安全管理工作站:RSAT:Active Directory 域服务和轻型目录服务工具。

  2. 打开Active Directory 用户和计算机控制台。

  3. 选择域,转到 “操作 菜单”,然后选择“ 属性”。

  4. 切换到“ 安全性 ”选项卡,然后选择“ 高级”。

    提示

    如果未看到“ 安全性 ”选项卡,请关闭“属性”窗口。 转到“ 视图 ”菜单,然后选择“ 高级功能”。

  5. 选择“添加”。

  6. 选择 “选择主体 ”,然后输入 Key Admins

  7. “应用于 ”列表中,选择“ 后代用户对象”。

  8. 在页面底部,选择“ 全部清除”。

  9. “属性” 部分中,选择“ 读取 msDS-KeyCredentialLink”。

  10. 选择“ 确定” 以保存更改并关闭所有窗口。

后续步骤

证书配置文件