共用方式為

Configuration Manager中的 Windows Hello 企業版 設定

  • 發行項

適用於:Configuration Manager (目前的分支)

Configuration Manager 與 Windows Hello 企業版 整合。 (這項功能先前稱為 Microsoft Passport for Work.) Windows Hello 企業版 是 Windows 10 裝置的替代登入方法。 它會使用 Active Directory 或 Microsoft Entra 帳戶來取代密碼、智慧卡或虛擬智慧卡。 Hello 企業版可讓您使用 用戶手勢 登入,而不是密碼。 用戶手勢可能是 PIN、生物特徵辨識驗證或外部裝置,例如指紋讀取器。

重要事項

從 2203 版開始,不再支援此公司資源存取功能。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。

Active Directory 同盟服務 註冊授權單位 (ADFS RA) 部署更簡單、提供更好的用戶體驗,並具有更具決定性的憑證註冊體驗。 搭配使用ADFS RA進行憑證式驗證與 Windows Hello 企業版。

如需詳細資訊,請參閱 Windows Hello 企業版

注意事項

Configuration Manager 預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能

Configuration Manager 以下列方式與 Windows Hello 企業版 整合:

  • 控制使用者可以和無法用來登入的手勢。

  • 將驗證憑證儲存在 Windows Hello 企業版 金鑰儲存提供者 (KSP) 中。 如需詳細資訊,請參閱 憑證配置檔

  • 建立並部署 Windows Hello 企業版 配置檔,以在已加入網域的 Windows 10 執行 Configuration Manager 客戶端的裝置上控制其設定。 從 1910 版開始,您無法使用憑證式驗證。 使用金鑰型驗證時,您不需要部署憑證配置檔。

設定設定檔

  1. 在 Configuration Manager 主控台中,移至 [資產與合規性] 工作區。 依序展開 [兼容性設定] 和 [公司資源存取],然後選取 [Windows Hello 企業版 配置檔] 節點

  2. 在功能區中,選取 [建立 Windows Hello 企業版 配置檔] 以啟動配置檔精靈。

  3. 在 [一 般] 頁面上,指定此配置檔的名稱和選擇性描述。

  4. 在 [ 支持的平臺] 頁面上,選取應套用此配置檔的 OS 版本。

  5. 在 [ 設定] 頁面上,設定下列設定:

    • 設定 Windows Hello 企業版:指定此設定檔是否啟用、停用或未設定 Hello 企業版。

    • 使用信賴平臺模組 (TPM) :TPM 提供額外的數據安全性層級。 請選擇下列其中一個值:

      • 必要:只有具有可存取 TPM 的裝置才能布建 Windows Hello 企業版。

      • 慣用:裝置會先嘗試使用 TPM。 如果無法使用,他們可以使用軟體加密。

    • 驗證方法:將此選項設定為 [未設定 ] 或 [金鑰型]

      注意事項

      從 1910 版開始,不支援在 Configuration Manager 中使用 Windows Hello 企業版 設定的憑證式驗證。

    • 設定 PIN 長度下限:如果您想要要求使用者 PIN 的最小長度,請啟用此選項並指定值。 開啟時,預設值為 4

    • 設定 PIN 長度上限:如果您想要要求使用者 PIN 的最大長度,請啟用此選項並指定值。 開啟時,預設值為 127

    • 需要 PIN 到期 (天) :指定使用者必須變更裝置 PIN 的天數。

    • 防止重複使用先前的 PIN:不允許使用者使用先前使用的 PIN。

    • PIN 中需要大寫字母:指定使用者是否必須在 #D45920A213CD043E3949DF1FA6D22A4A0 PIN 中包含大寫字母。 從下列項目中選擇:

      • 允許:用戶可以在 PIN 中使用大寫字元,但不需要這麼做。

      • 必要:用戶必須在 PIN 中包含至少一個大寫字元。

      • 不允許:用戶無法在其 PIN 中使用大寫字元。

    • PIN 中需要小寫字母:指定使用者是否必須在 Windows Hello 企業版 PIN 中包含小寫字母。 從下列項目中選擇:

      • 允許:用戶可以在 PIN 中使用小寫字元,但不需要這麼做。

      • 必要:用戶必須在 PIN 中包含至少一個小寫字元。

      • 不允許:用戶無法在其 PIN 中使用小寫字元。

    • 設定特殊字元:指定在 PIN 中使用特殊字元。 從下列項目中選擇:

      注意事項

      特殊字元包括下列集合:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • 允許:用戶可以在 PIN 中使用特殊字元,但不需要這麼做。

      • 必要:用戶必須在 PIN 中包含至少一個特殊字元。

      • 不允許:用戶無法在其 PIN 中使用特殊字元。 如果 設定未設定,則此行為也是 。

    • 在 PIN 中設定數位的使用:指定在 PIN 中使用數位。 從下列項目中選擇:

      • 允許:用戶可以在 PIN 中使用數位,但不需要。

      • 必要:用戶必須在 PIN 中包含至少一個數位。

      • 不允許:用戶無法在其 PIN 中使用數位。

    • 啟用生物特徵辨識手勢:使用生物特徵辨識驗證,例如臉部辨識或指紋。 這些模式是 PIN 的替代 Windows Hello 企業版。 如果生物特徵辨識驗證失敗,使用者仍會設定 PIN。

      如果設定為 [是],Windows Hello 企業版 允許生物特徵辨識驗證。 如果設定為 [否],Windows Hello 企業版 會防止所有帳戶類型的生物特徵辨識驗證。

    • 使用增強型反詐騙:在支援此功能的裝置上設定增強型反詐騙功能。 如果設定為 [是],如果支援,Windows 會要求所有使用者針對臉部特徵使用反詐騙功能。

    • 使用電話登入:使用行動電話設定雙因素驗證。

  6. 完成精靈。

下列螢幕快照是 Windows Hello 企業版 設定檔設定的範例:

Windows Hello 企業版 原則精靈],其中顯示可用設定的清單

設定許可權

  1. 身為網域系統管理員或對等認證,登入已安裝下列選擇性功能的安全系統管理工作站:RSAT:Active Directory 網域服務 和輕量型目錄服務工具。

  2. 開啟 Active Directory 使用者和電腦 主控台。

  3. 選取網域,移至 [ 動作 功能表],然後選取 [ 屬性]

  4. 切換至 [ 安全性] 索引 卷標,然後選取 [ 進階]

    提示

    如果您沒有看到 [ 安全 性] 索引標籤,請關閉 [屬性] 視窗。 移至 [ 檢視] 功能表,然後選取 [ 進階功能]

  5. 選取 新增

  6. 選擇 [選擇的主體 ],然後輸入 Key Admins

  7. 從 [ 套用至] 列表中,選取 [ 子系用戶物件]

  8. 在頁面底部,選取 [ 全部清除]

  9. 在 [ 屬性] 區 段中,選取 [讀取 msDS-KeyCredentialLink]

  10. 選取 [確定 ] 以儲存變更並關閉所有視窗。

後續步驟

憑證設定檔