設定 Windows Hello 企業版
本文說明在組織中設定 Windows Hello 企業版 的選項,以及如何實作這些選項。
設定選項
您可以使用下列選項來設定 Windows Hello 企業版:
- 設定服務提供者 (CSP) :通常用於行動裝置 裝置管理 (MDM) 解決方案所管理的裝置,例如 Microsoft Intune。 CSP 也可以設定布建 套件,通常用於部署時間或非受控裝置。 若要設定 Windows Hello 企業版,請使用 PassportForWork CSP
- 組策略 (GPO) :用於已加入 Active Directory 或 Microsoft Entra 混合式聯結,且不受裝置管理解決方案管理的裝置
原則優先順序
某些 Windows Hello 企業版 原則適用於計算機和用戶設定。 下列清單描述 Windows Hello 企業版 的原則優先順序:
- 用戶原則 優先於 計算機原則。 如果設定用戶原則,則會忽略對應的計算機原則。 如果未設定用戶原則,則會使用計算機原則
- Windows Hello 企業版 會使用下列階層強制執行原則設定:
- 使用者 - GPO
- 計算機 - GPO
- 使用者 - PassportForWork CSP
- 裝置 - PassportForWork CSP
- Exchange Active Sync - DeviceLock CSP
重要
如果您設定 DeviceLock CSP 所定義的密碼長度和複雜度設定,以及 PassportForWork CSP 所定義的 PIN 長度和複雜度設定,Windows 會在一組治理原則中強制執行最嚴格的原則。
DeviceLock CSP 會利用 Exchange ActiveSync 原則 (EAS) 引擎。 如需詳細資訊,請參閱 Exchange ActiveSync 原則引擎概觀。
注意
如果原則未明確設定為需要字母或特殊字元,用戶可以選擇性地設定英數位元 PIN。
擷取 Microsoft Entra 租用戶標識碼
透過 CSP 或不同 Windows Hello 企業版 原則設定的登錄進行設定時,必須指定裝置註冊所在的 Microsoft Entra 租使用者識別碼。
若要查閱您的租使用者標識碼,請參閱如何尋找您的 Microsoft Entra 租使用者標識元,或嘗試下列步驟,確保使用組織的帳戶登入:
GET https://graph.microsoft.com/v1.0/organization?$select=id
例如,PassportForWork CSP 文件說明如何使用 OMA-URI 設定 Windows Hello 企業版 選項:
./Device/Vendor/MSFT/PassportForWork/{TenantId}
設定裝置時,請將 取代TenantID為您的 Microsoft Entra 租使用者標識符。 例如,如果您 Microsoft Entra 租使用者標識符為 dcd219dd-bc68-4b9b-bf0b-4a33a796be35,則 OMA-URI 會是:
./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}
使用 Microsoft Intune 設定 Windows Hello 企業版
針對 Microsoft Entra 加入的裝置,以及 Microsoft Entra Intune 註冊的混合式加入裝置,您可以使用 Intune 原則來管理 Windows Hello 企業版。
在 Intune 中啟用和設定 Windows Hello 企業版 的方法有很多種:
- 使用在租用戶層級套用的原則。 租用戶原則:
- 只會在註冊時套用,而且其設定的任何變更都不會套用至已在 Intune 中註冊的裝置
- 它適用於已在 Intune 中註冊的所有裝置。 因此,原則通常會停用,而且會使用以安全組為目標的原則來啟用 Windows Hello 企業版
- 裝置註冊 之後 套用的裝置設定原則。 原則的任何變更都會在一般原則重新整理間隔期間套用至裝置。 有不同的原則類型可供選擇:
確認全租用戶原則
若要檢查註冊時套用的 Windows Hello 企業版 原則設定:
選 取裝置>Windows>註冊
選取 [Windows Hello 企業版
確認 [設定 Windows Hello 企業版 的狀態,以及任何可能設定的設定
來自多個原則來源的原則衝突
Windows Hello 企業版 可由 GPO 或 CSP 設定,但不能兩者組合。 避免混用適用於 Windows Hello 企業版 的 GPO 和 CSP 原則設定,因為這可能會導致非預期的結果。 如果您混用 GPO 和 CSP 原則設定,則在清除組策略設定之前,不會套用衝突的 CSP 設定。
重要
MDMWinsOverGP 原則設定不適用於 Windows Hello 企業版。 MDMWinsOverGP 僅適用於原則 CSP 中的原則,而 Windows Hello 企業版 原則位於 PassportForWork CSP 中。
注意
如需使用 Microsoft Intune 部署 Windows Hello 企業版 組態的詳細資訊,請參閱在 Intune 和 PassportForWork CSP中啟用 Windows Hello 企業版 的 Windows 裝置設定。
停用 Windows Hello 企業版 註冊
默認會針對 Microsoft Entra 聯結的裝置啟用 Windows Hello 企業版。 如果您需要停用自動啟用,則有不同的選項,包括:
- 使用全租用戶原則停用 Windows Hello
- 在啟用 ESP) 的註冊狀態 (頁面時,請使用 Intune 中可用的其中一個原則類型加以停用。 ESP 可以設定為防止使用者存取桌面,直到裝置收到所有必要的原則為止。 如需詳細資訊, 請參閱設定註冊狀態頁面。 要設定的原則設定為 [使用 Windows Hello 企業版
- 使用停用 Windows Hello 企業版 的布建套件來布建裝置。 如需詳細資訊,請參閱 布建 Windows 套件
- 可修改登錄設定以在OS部署期間停用 Windows Hello 企業版的腳本解決方案
| 組態類型 | 詳細資料 |
|---|---|
| CSP (使用者) |
索引鍵路徑: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\Policies機碼名稱: UsePassportForWork類型: REG_DWORD值: 1 若要啟用0 表示停用 |
| CSP (裝置) |
索引鍵路徑: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\Policies機碼名稱: UsePassportForWork類型: REG_DWORD值: 1 若要啟用0 表示停用 |
| GPO (使用者) |
索引鍵路徑: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWork機碼名稱: Enabled類型: REG_DWORD值: 1 若要啟用0 表示停用 |
| GPO (裝置) |
索引鍵路徑: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork機碼名稱: Enabled類型: REG_DWORD值: 1 若要啟用0 表示停用 |
注意
如果有衝突的裝置原則和用戶原則,用戶原則會優先。 不建議建立可能與 MDM 原則衝突的本機 GPO 或登錄設定。 此衝突可能會導致非預期的結果。
後續步驟
如需 Windows Hello 企業版 原則設定的清單,請參閱 Windows Hello 企業版 原則設定。
若要深入瞭解 Windows Hello 企業版 功能及其設定方式,請參閱: