Windows Hello 企业版策略设置
此参考文章提供了适用于 Windows Hello 企业版的策略设置的完整列表。 设置列表按字母顺序排序,分为四个类别:
- 功能设置:用于启用 Windows Hello 企业版和配置基本选项
- PIN 设置:用于配置 PIN 身份验证,例如 PIN 复杂性和恢复
- 生物识别设置:用于配置生物识别身份验证
- 智能卡设置:用于配置与 Windows Hello 企业版结合使用的智能卡身份验证
有关如何配置这些设置的信息,请参阅 配置 Windows Hello 企业版。
选择其中一个选项卡以查看可用设置的列表:
设置名称 | CSP | GPO |
---|---|---|
配置设备解锁因素 | ✅ | ✅ |
配置动态锁定因子 | ✅ | ✅ |
使用硬件安全设备 | ✅ | ✅ |
使用证书进行本地身份验证 | ✅ | ✅ |
使用云 (Kerberos) 信任进行本地身份验证 | ✅ | ✅ |
使用 Windows Hello 企业版 | ✅ | ✅ |
配置设备解锁因素
配置凭据提供程序 GUID(如人脸和指纹提供程序 GUID)的逗号分隔列表,以用作第一个和第二个解锁因素。 如果将受信任的信号提供程序指定为解锁因素之一,则还应配置以 xml 格式的逗号分隔的信号规则列表,以便验证每种信号类型。
如果启用此策略设置,用户必须使用每个列表中的一个因素才能成功解锁。 如果禁用或未配置此策略设置,用户可以继续使用现有选项进行解锁。
路径 | |
---|---|
CSP |
./Device/Vendor/MSFT/PassportForWork/
DeviceUnlock |
GPO | 计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
有关详细信息,请参阅 多重解锁。
配置动态锁定因子
为每个信号类型配置以 xml 格式的逗号分隔的信号规则列表。
- 如果启用此策略设置,则会评估信号规则以检测用户缺席并自动锁定设备
- 如果禁用或未配置设置,用户可以继续使用现有选项进行锁定
路径 | |
---|---|
CSP |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/
DynamicLock |
GPO | 计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
使用硬件安全设备
受信任的平台模块 (TPM) 提供了比软件更多的安全优势,因为受它保护的数据不能在其他设备上使用。
- 如果启用此策略设置,则 Windows Hello 企业版预配仅在具有可用 1.2 或 2.0 TPM 的设备上进行。 可以选择性地排除 TPM 修订版 1.2 模块,这会阻止在这些设备上预配 Windows Hello 企业版
提示
TPM 1.2 规范仅允许使用 RSA 和 SHA-1 哈希算法。 TPM 1.2 实现在策略设置上有所不同,这可能会导致支持问题,因为锁定策略不同。 建议从 Windows Hello 企业版预配中排除 TPM 1.2 设备。 -如果禁用或未配置此策略设置,TPM 仍然是首选,但如果 TPM 不起作用或不可用,则所有设备都可以使用软件预配 Windows Hello 企业版。
路径 | |
---|---|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
RequireSecurityDevice./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/
TPM12 |
GPO | 计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
使用证书进行本地身份验证
使用此策略设置可将 Windows Hello 企业版配置为注册用于本地身份验证的登录证书。
- 如果启用此策略设置,Windows Hello 企业版将注册用于本地身份验证的登录证书
- 如果禁用或未配置此策略设置,Windows Hello 企业版将使用密钥或 Kerberos 票证 (,具体取决于本地身份验证) 的其他策略设置
路径 | |
---|---|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseCertificateForOnPremAuth |
GPO |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版 用户配置>管理模板>Windows 组件>Windows Hello 企业版 |
使用云信任进行本地身份验证
使用此策略设置将 Windows Hello 企业版配置为使用云 Kerberos 信任模型。
- 如果启用此策略设置,Windows Hello 企业版将使用从身份验证中检索到的 Kerberos 票证Microsoft Entra ID 进行本地身份验证
- 如果禁用或未配置此策略设置,Windows Hello 企业版会根据本地身份验证的其他策略设置) (使用密钥或证书
路径 | |
---|---|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseCloudTrustForOnPremAuth |
GPO | 计算机配置>管理模板>Windows 组件>Windows Hello 企业版 |
注意
云 Kerberos 信任与证书信任不兼容。 如果启用了证书信任策略设置,则优先于此策略设置。
使用 Windows Hello 企业版
- 如果启用此策略,设备将使用密钥或证书为所有用户预配 Windows Hello 企业版
- 如果禁用此策略设置,则设备不会为任何用户预配 Windows Hello 企业版
- 如果未配置此策略设置,用户可以预配 Windows Hello 企业版
使用非Microsoft解决方案预配 Windows Hello 企业版时,请选择 “登录后不启动 Windows Hello 预配”选项:
- 如果选择“ 登录后不启动 Windows Hello 预配”,则 Windows Hello 企业版不会在用户登录后自动开始预配
- 如果未选择“ 登录后不启动 Windows Hello 预配”,Windows Hello 企业版会在用户登录后自动开始预配
路径 | |
---|---|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UsePassportForWork ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
DisablePostLogonProvisioning |
GPO |
计算机配置>管理模板>Windows 组件>Windows Hello 企业版 用户配置>管理模板>Windows 组件>Windows Hello 企业版 |