Windows Hello 企业版策略设置

项目
08/01/2024
适用于:

✅ Windows 11, ✅ Windows 10

此参考文章提供了适用于 Windows Hello 企业版的策略设置的完整列表。设置列表按字母顺序排序，分为四个类别：

功能设置：用于启用 Windows Hello 企业版和配置基本选项
PIN 设置：用于配置 PIN 身份验证，例如 PIN 复杂性和恢复
生物识别设置：用于配置生物识别身份验证
智能卡设置：用于配置与 Windows Hello 企业版结合使用的智能卡身份验证

有关如何配置这些设置的信息，请参阅配置 Windows Hello 企业版。

选择其中一个选项卡以查看可用设置的列表：

设置名称	CSP	GPO
配置设备解锁因素	✅	✅
配置动态锁定因子	✅	✅
使用硬件安全设备	✅	✅
使用证书进行本地身份验证	✅	✅
使用云 (Kerberos) 信任进行本地身份验证	✅	✅
使用 Windows Hello 企业版	✅	✅

配置设备解锁因素

配置凭据提供程序 GUID（如人脸和指纹提供程序 GUID）的逗号分隔列表，以用作第一个和第二个解锁因素。如果将受信任的信号提供程序指定为解锁因素之一，则还应配置以 xml 格式的逗号分隔的信号规则列表，以便验证每种信号类型。

如果启用此策略设置，用户必须使用每个列表中的一个因素才能成功解锁。如果禁用或未配置此策略设置，用户可以继续使用现有选项进行解锁。

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/` DeviceUnlock
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

有关详细信息，请参阅多重解锁。

配置动态锁定因子

为每个信号类型配置以 xml 格式的逗号分隔的信号规则列表。

如果启用此策略设置，则会评估信号规则以检测用户缺席并自动锁定设备
如果禁用或未配置设置，用户可以继续使用现有选项进行锁定

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/DynamicLock/` DynamicLock
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

使用硬件安全设备

受信任的平台模块 (TPM) 提供了比软件更多的安全优势，因为受它保护的数据不能在其他设备上使用。

如果启用此策略设置，则 Windows Hello 企业版预配仅在具有可用 1.2 或 2.0 TPM 的设备上进行。可以选择性地排除 TPM 修订版 1.2 模块，这会阻止在这些设备上预配 Windows Hello 企业版

提示

TPM 1.2 规范仅允许使用 RSA 和 SHA-1 哈希算法。 TPM 1.2 实现在策略设置上有所不同，这可能会导致支持问题，因为锁定策略不同。建议从 Windows Hello 企业版预配中排除 TPM 1.2 设备。 -如果禁用或未配置此策略设置，TPM 仍然是首选，但如果 TPM 不起作用或不可用，则所有设备都可以使用软件预配 Windows Hello 企业版。

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` RequireSecurityDevice `./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/` TPM12
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

使用证书进行本地身份验证

使用此策略设置可将 Windows Hello 企业版配置为注册用于本地身份验证的登录证书。

如果启用此策略设置，Windows Hello 企业版将注册用于本地身份验证的登录证书
如果禁用或未配置此策略设置，Windows Hello 企业版将使用密钥或 Kerberos 票证 (，具体取决于本地身份验证) 的其他策略设置

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` UseCertificateForOnPremAuth
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版用户配置>管理模板>Windows 组件>Windows Hello 企业版

使用云信任进行本地身份验证

使用此策略设置将 Windows Hello 企业版配置为使用云 Kerberos 信任模型。

如果启用此策略设置，Windows Hello 企业版将使用从身份验证中检索到的 Kerberos 票证Microsoft Entra ID 进行本地身份验证
如果禁用或未配置此策略设置，Windows Hello 企业版会根据本地身份验证的其他策略设置) (使用密钥或证书

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` UseCloudTrustForOnPremAuth
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

注意

云 Kerberos 信任与证书信任不兼容。如果启用了证书信任策略设置，则优先于此策略设置。

使用 Windows Hello 企业版

如果启用此策略，设备将使用密钥或证书为所有用户预配 Windows Hello 企业版
如果禁用此策略设置，则设备不会为任何用户预配 Windows Hello 企业版
如果未配置此策略设置，用户可以预配 Windows Hello 企业版

使用非Microsoft解决方案预配 Windows Hello 企业版时，请选择 “登录后不启动 Windows Hello 预配”选项：

如果选择“ 登录后不启动 Windows Hello 预配”，则 Windows Hello 企业版不会在用户登录后自动开始预配
如果未选择“ 登录后不启动 Windows Hello 预配”，Windows Hello 企业版会在用户登录后自动开始预配

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` UsePassportForWork `./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` DisablePostLogonProvisioning
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版用户配置>管理模板>Windows 组件>Windows Hello 企业版

设置名称	CSP	GPO
到期	✅	✅
历史记录	✅	✅
最大 PIN 长度	✅	✅
最小 PIN 长度	✅	✅
需要数字	✅	✅
需要小写字母	✅	✅
需要特殊字符	✅	✅
需要大写字母	✅	✅
使用 PIN 恢复	✅	✅

到期

此设置指定在系统要求用户更改 PIN 之前可以使用 PIN 的时间段 (天) 。 PIN 可以设置为在 1 到 730 之间的任意天数后过期，或者，如果策略设置为 0，则 PIN 可以设置为永不过期。

默认值为 0。

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexityexpiration `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexityexpiration
GPO	计算机配置>管理模板>系统>PIN 复杂性

历史记录

此设置指定可以关联到不能重复使用的用户帐户的过去 PIN 数。此策略通过确保不持续重复使用旧的 PIN 来增强安全性。该值必须介于 0 到 50 个 PIN 之间。如果此策略设置为 0，则不需要存储以前的 PIN。

默认值为 0。

注意

PIN 历史记录不会通过 PIN 重置保留。

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexityhistory `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexityhistory
GPO	计算机配置>管理模板>系统>PIN 复杂性

最大 PIN 长度

最大 PIN 长度配置 PIN 允许的最大字符数。可为此策略设置配置的最大数目为 127。可配置的最小数字必须大于最小 PIN 长度策略设置中配置的数字或数字 4，以较大者为准。如果配置此策略设置，则 PIN 长度必须小于或等于此数字。

如果禁用或未配置此策略设置，则 PIN 长度必须小于或等于 127。

注意

如果未满足上述指定的最大 PIN 长度的条件，则默认值将同时用于最大和最小 PIN 长度。

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexitymaximumpinlength `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexitymaximumpinlength
GPO	计算机配置>管理模板>系统>PIN 复杂性

最小 PIN 长度

最小 PIN 长度配置 PIN 所需的最小字符数。可为此策略设置配置的最小数目为 4。可以配置的最大数字必须小于“最大 PIN 长度”策略设置中配置的数字或数字 127（以最低值为准）。

如果配置此策略设置，则 PIN 长度必须大于或等于此数字。如果禁用或未配置此策略设置，则 PIN 长度必须大于或等于 6。

注意

如果未满足上述指定最小 PIN 长度的条件，则默认值将同时用于最大和最小 PIN 长度。

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexityminimumpinlength `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexityminimumpinlength
GPO	计算机配置>管理模板>系统>PIN 复杂性

需要数字

使用此策略设置配置 PIN 中数字的使用：

如果启用此策略设置，Windows 要求用户在 PIN 中至少包含一位数字
如果禁用此策略设置，Windows 不允许用户在其 PIN 中包含数字
如果未配置此策略设置，Windows 允许（但不要求）PIN 中的数字

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexitydigits `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexitydigits
GPO	计算机配置>管理模板>系统>PIN 复杂性

需要小写字母

使用此策略设置可配置在 PIN 中使用小写字母：

如果启用此策略设置，Windows 要求用户在 PIN 中至少包含一个小写字母
如果禁用此策略设置，Windows 不允许用户在 PIN 中包含小写字母
如果未配置此策略设置，Windows 允许（但不要求）在 PIN 中小写字母

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexitylowercaseletters `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexitylowercaseletters
GPO	计算机配置>管理模板>系统>PIN 复杂性

需要特殊字符

范围：计算机

使用此策略设置可配置 PIN 中特殊字符的使用。特殊字符包括以下集：

! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

如果启用此策略设置，Windows 会要求用户在其 PIN 中包含至少一个特殊字符
如果禁用此策略设置，Windows 不允许用户在 PIN 中包含特殊字符
如果未配置此策略设置，Windows 允许（但不要求）PIN 中的特殊字符

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexityspecialcharacters `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexityspecialcharacters
GPO	计算机配置>管理模板>系统>PIN 复杂性

需要大写字母

使用此策略设置可配置在 PIN 中使用大写字母：

如果启用此策略设置，Windows 要求用户在 PIN 中至少包含一个大写字母
如果禁用此策略设置，Windows 不允许用户在 PIN 中包含大写字母
如果未配置此策略设置，则 Windows 允许（但不要求）PIN 中的大写字母

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexityuppercaseletters `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexityuppercaseletters
GPO	计算机配置>管理模板>系统>PIN 复杂性

使用 PIN 恢复

PIN 恢复允许用户使用 Windows Hello 企业版 PIN 恢复服务更改忘记的 PIN，而不会丢失任何关联的凭据或证书，包括与设备上的用户个人帐户关联的任何密钥。

为此，PIN 恢复服务对存储在设备上的恢复机密进行加密，并且需要 PIN 恢复服务和设备进行解密。

PIN 恢复要求用户执行多重身份验证以Microsoft Entra ID。

如果启用此策略设置，Windows Hello 企业版将使用 PIN 恢复服务
如果禁用或未配置此策略设置，则 Windows 不会创建或存储 PIN 恢复机密。如果用户忘记了其 PIN，则必须删除其现有 PIN 并创建一个新 PIN，并且必须重新注册旧 PIN 提供访问权限的任何服务

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` EnablePinRecovery `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` EnablePinRecovery
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

有关详细信息，请参阅 PIN 重置。

设置名称	CSP	GPO
配置增强的反欺骗	✅	✅
使用支持的外围设备启用 ESS	✅	✅
使用生物识别	✅	✅

配置增强的反欺骗

此策略设置确定 Windows Hello 人脸身份验证是否需要增强的反欺骗。

如果启用此设置，Windows 需要对人脸身份验证使用增强的反欺骗

重要提示

这会在不支持增强型反欺骗的设备上禁用人脸身份验证。
如果禁用或未配置此设置，则 Windows 不需要增强的防欺骗功能进行人脸身份验证

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/Biometrics/` FacialFeaturesUseEnhancedAntiSpoofing
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

使用支持的外围设备启用 ESS

增强的登录安全性 (ESS) 通过使用专用硬件和软件组件（例如基于虚拟化的安全性 (VBS) 和受信任的平台模块 2.0）为生物识别数据添加了一层安全层。使用 ESS 时，Windows Hello 生物识别 (人脸和指纹) 模板数据和匹配操作与受信任的硬件或指定的内存区域隔离，操作系统的其余部分无法访问或篡改它们。由于传感器和算法之间的通信通道也受到保护，因此恶意软件无法注入或重播数据来模拟用户登录或将用户锁定在其计算机之外。

如果启用此策略，则可以配置以下值：

0：使用外围设备或内置非 ESS 传感器启用 ESS。允许对支持 Windows Hello 的外围设备执行身份验证操作，但受当前功能限制的限制。在混合了生物识别设备的设备上启用 ESS，例如支持 ESS 的指纹读取器和支持 ESS 的非 ESS 相机。因此，不建议使用此设置
1：在没有外围设备或内置非 ESS 传感器的情况下启用 ESS。阻止任何外围生物识别设备的身份验证操作，并且不适用于 Windows Hello。建议使用此设置实现最高安全性

如果禁用或未配置此设置，则会在 ESS 设备上阻止非 ESS 传感器。

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/Biometrics/` EnableESSwithSupportedPeripherals
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

有关详细信息，请参阅增强的登录安全性如何保护生物识别数据。

使用生物识别

Windows Hello 企业版允许用户使用生物识别手势（例如人脸和指纹）作为 PIN 手势的替代方法。但是，用户仍必须配置 PIN 才能在发生故障时使用。

如果启用或未配置此策略设置，则 Windows Hello 企业版允许使用生物识别手势
如果禁用此策略设置，Windows Hello 企业版将阻止使用生物识别手势

注意

禁用此策略可防止用户在设备上使用所有帐户类型的生物识别手势。

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/Biometrics/` UseBiometrics
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

设置名称	CSP	GPO
关闭智能卡仿真	❌	✅
允许枚举所有用户的模拟智能卡	❌	✅
使用 Windows Hello 企业版证书作为智能卡证书	✅	✅

允许枚举所有用户的模拟智能卡

Windows 阻止同一设备上的用户为其他用户枚举预配的 Windows Hello 企业版凭据。如果启用此策略设置，则 Windows 允许设备的所有用户枚举所有 Windows Hello 企业版凭据，但仍要求每个用户提供自己的身份验证因素。如果禁用或未配置此策略设置，则 Windows 不允许为同一设备上的其他用户枚举预配的 Windows Hello 企业版凭据。

此策略设置专为在单个设备上注册特权帐户 和非特权帐户的 单个用户而设计。用户拥有这两个凭据，这使他们能够使用非特权凭据登录，但可以在不注销的情况下执行提升的任务。此策略设置与启用 “关闭智能卡模拟 ”策略设置时预配的 Windows Hello 企业版凭据不兼容。

	路径
CSP	不可用
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

关闭智能卡仿真

Windows Hello 企业版自动提供智能卡仿真，以便与启用智能卡的应用程序兼容。

如果启用此策略设置，Windows Hello 企业版将预配与智能卡应用程序不兼容的 Windows Hello 企业版凭据
如果禁用或未配置此策略设置，Windows Hello 企业版将预配与智能卡应用程序兼容的 Windows Hello 企业版凭据

重要提示

此策略在创建时影响 Windows Hello 企业版凭据。在应用此策略之前创建的凭据将继续提供智能卡仿真。若要更改现有凭据，请启用此策略设置，并从“设置”中选择“ 我忘记了 PIN ”。

	路径
CSP	不可用
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

使用 Windows Hello 企业版证书作为智能卡证书

此策略设置旨在允许与仅依赖智能卡证书的应用程序兼容。

如果启用此策略设置，应用程序将使用 Windows Hello 企业版证书作为智能卡证书。要求用户授权使用证书私钥时，生物识别因素不可用
如果禁用或未配置此策略设置，应用程序不会将 Windows Hello 企业版证书用作智能卡证书，并且当用户被要求授权使用该证书私钥时，生物识别因素可用

此策略设置与启用 “关闭智能卡模拟 ”时预配的 Windows Hello 企业版凭据不兼容。

	路径
CSP	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` UseHelloCertificatesAsSmartCardCertificates
GPO	计算机配置>管理模板>Windows 组件>Windows Hello 企业版

通过