动态锁
动态锁定是一项功能,当蓝牙配对手机信号低于最大接收信号强度指示器 (RSSI) 值时,会自动锁定 Windows 设备。 如果你离开电脑并忘记锁定设备,该功能会使某人更难访问你的设备。
重要提示
仅当蓝牙信号下降 且 系统处于空闲状态时,动态锁定功能才会锁定设备。 例如,如果系统未空闲 (入侵者在蓝牙信号低于限制) 之前 获取访问权限,则设备不会锁定。 因此,动态锁定功能是一个额外的屏障。 它不能取代用户锁定计算机的需求。 它只会在用户忘记锁定时降低某人获得访问权限的概率。
可以将 Windows 设备配置为使用组策略对象 (GPO) 的动态锁。
使用 组策略 管理控制台 (GPMC) ,将基于域的组策略范围限定为 Active Directory 中的计算机帐户。
编辑步骤 1 中的 组策略 对象。
启用位于“计算机配置管理模板>”“Windows 组件>”下的“>配置动态锁定因素”策略设置Windows Hello 企业版。
关闭组策略管理编辑器以保存组策略对象。
组策略编辑器会在策略启用后使用以下值创建一个默认的信号规则策略:
<rule schemaVersion="1.0"> <signal type="bluetooth" scenario="Dynamic Lock" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/> </rule>
重要提示
Microsoft 建议针对此策略设置使用默认值。 测量值是相对值,具体取决于每个环境的不同条件。 因此,这些相同值可能会产生不同的结果。 在广泛部署该设置之前,请在每个环境中测试策略设置。
对于此策略设置, type 和 scenario 属性值是静态的,不能更改。 是 classofDevice 可配置的,但电话是当前唯一受支持的配置。 属性默认为 Phone,并使用下表中的值:
| 描述 | 值 |
|---|---|
| 其他 | 0 |
| 计算机 | 256 |
| 手机 | 512 |
| LAN/网络访问点 | 768 |
| 音频/视频 | 1024 |
| 外设 | 1280 |
| 图像处理 | 1536 |
| 可穿戴设备 | 1792 |
| 玩具 | 2048 |
| 运行状况 | 2304 |
| 未分类 | 7936 |
rssiMin属性值信号指示设备被视为在范围内所需的强度。 默认值 -10 使用户能够移动平均大小的办公室或隔间,而无需触发 Windows 锁定设备。
rssiMaxDelta的默认值-10为 ,指示 Windows 在信号强度减弱超过 10 的度量值后锁定设备。
RSSI 测量值是相对值,会随两台配对设备之间信号的减弱而降低。 因此,测量值 0 强于 -10,-10 强于 -60,-60 指示设备正在相互远离。
使用 Microsoft Intune 配置动态锁
若要使用 Microsoft Intune 配置动态锁,请执行以下步骤:
- 打开Microsoft Intune管理中心并导航到“设备”>“Windows > 配置策略”。
- 创建新策略:
- 平台:Windows 10及更高版本
- 配置文件类型:模板 - 自定义
- 选择“创建”
- 配置配置文件:
- 名称:提供配置文件的名称。
- 说明: (可选) 添加说明。
- 添加 OMA-URI 设置:
- 启用动态锁定:
- 名称:启用动态锁
- 说明: (可选) 此设置启用动态锁定
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock
- 数据类型:布尔值
- 值:True
- 定义动态锁定信号规则:
- 名称:动态锁定信号规则
- 说明: (可选) 此设置配置动态锁值
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins
- 数据类型:字符串
- 值:
<rule schemaVersion="1.0"><signal type="bluetooth" scenario="Dynamic Lock" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/></rule>
- 启用动态锁定:
- 将配置文件分配给相应的组。