Windows Hello 企业版策略设置

此参考文章提供了适用于 Windows Hello 企业版的策略设置的完整列表。 设置列表按字母顺序排序,分为四个类别:

  • 功能设置:用于启用 Windows Hello 企业版和配置基本选项
  • PIN 设置:用于配置 PIN 身份验证,例如 PIN 复杂性和恢复
  • 生物识别设置:用于配置生物识别身份验证
  • 智能卡设置:用于配置与 Windows Hello 企业版结合使用的智能卡身份验证

有关如何配置这些设置的信息,请参阅 配置 Windows Hello 企业版

选择其中一个选项卡以查看可用设置的列表:

设置名称 CSP GPO
配置设备解锁因素
配置动态锁定因子
使用硬件安全设备
使用证书进行本地身份验证
使用云 (Kerberos) 信任进行本地身份验证
使用 Windows Hello 企业版

配置设备解锁因素

配置凭据提供程序 GUID(如人脸和指纹提供程序 GUID)的逗号分隔列表,以用作第一个和第二个解锁因素。 如果将受信任的信号提供程序指定为解锁因素之一,则还应配置以 xml 格式的逗号分隔的信号规则列表,以便验证每种信号类型。

如果启用此策略设置,用户必须使用每个列表中的一个因素才能成功解锁。 如果禁用或未配置此策略设置,用户可以继续使用现有选项进行解锁。

路径
CSP ./Device/Vendor/MSFT/PassportForWork/ DeviceUnlock
GPO 计算机配置>管理模板>Windows 组件>Windows Hello 企业版

有关详细信息,请参阅 多重解锁

配置动态锁定因子

为每个信号类型配置以 xml 格式的逗号分隔的信号规则列表。

  • 如果启用此策略设置,则会评估信号规则以检测用户缺席并自动锁定设备
  • 如果禁用或未配置设置,用户可以继续使用现有选项进行锁定
路径
CSP ./Device/Vendor/MSFT/PassportForWork/DynamicLock/ DynamicLock
GPO 计算机配置>管理模板>Windows 组件>Windows Hello 企业版

使用硬件安全设备

受信任的平台模块 (TPM) 提供了比软件更多的安全优势,因为受它保护的数据不能在其他设备上使用。

  • 如果启用此策略设置,则 Windows Hello 企业版预配仅在具有可用 1.2 或 2.0 TPM 的设备上进行。 可以选择性地排除 TPM 修订版 1.2 模块,这会阻止在这些设备上预配 Windows Hello 企业版

    提示

    TPM 1.2 规范仅允许使用 RSA 和 SHA-1 哈希算法。 TPM 1.2 实现在策略设置上有所不同,这可能会导致支持问题,因为锁定策略不同。 建议从 Windows Hello 企业版预配中排除 TPM 1.2 设备。 -如果禁用或未配置此策略设置,TPM 仍然是首选,但如果 TPM 不起作用或不可用,则所有设备都可以使用软件预配 Windows Hello 企业版。

路径
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ RequireSecurityDevice

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/ TPM12
GPO 计算机配置>管理模板>Windows 组件>Windows Hello 企业版

使用证书进行本地身份验证

使用此策略设置可将 Windows Hello 企业版配置为注册用于本地身份验证的登录证书。

  • 如果启用此策略设置,Windows Hello 企业版将注册用于本地身份验证的登录证书
  • 如果禁用或未配置此策略设置,Windows Hello 企业版将使用密钥或 Kerberos 票证 (,具体取决于本地身份验证) 的其他策略设置
路径
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCertificateForOnPremAuth
GPO 计算机配置>管理模板>Windows 组件>Windows Hello 企业版

用户配置>管理模板>Windows 组件>Windows Hello 企业版

使用云信任进行本地身份验证

使用此策略设置将 Windows Hello 企业版配置为使用云 Kerberos 信任模型。

  • 如果启用此策略设置,Windows Hello 企业版将使用从身份验证中检索到的 Kerberos 票证Microsoft Entra ID 进行本地身份验证
  • 如果禁用或未配置此策略设置,Windows Hello 企业版会根据本地身份验证的其他策略设置) (使用密钥或证书
路径
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCloudTrustForOnPremAuth
GPO 计算机配置>管理模板>Windows 组件>Windows Hello 企业版

注意

云 Kerberos 信任与证书信任不兼容。 如果启用了证书信任策略设置,则优先于此策略设置。

使用 Windows Hello 企业版

  • 如果启用此策略,设备将使用密钥或证书为所有用户预配 Windows Hello 企业版
  • 如果禁用此策略设置,则设备不会为任何用户预配 Windows Hello 企业版
  • 如果未配置此策略设置,用户可以预配 Windows Hello 企业版

使用非Microsoft解决方案预配 Windows Hello 企业版时,请选择 “登录后不启动 Windows Hello 预配”选项:

  • 如果选择“ 登录后不启动 Windows Hello 预配”,则 Windows Hello 企业版不会在用户登录后自动开始预配
  • 如果未选择“ 登录后不启动 Windows Hello 预配”,Windows Hello 企业版会在用户登录后自动开始预配
路径
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UsePassportForWork

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ DisablePostLogonProvisioning
GPO 计算机配置>管理模板>Windows 组件>Windows Hello 企业版

用户配置>管理模板>Windows 组件>Windows Hello 企业版