僅限雲端部署指南
本文說明 Windows Hello 企業版 適用的功能或案例:
- 部署類型:雲端來完成
- 聯結類型: Microsoft Entra 加入
需求
開始部署之前,請檢閱規劃 Windows Hello 企業版 部署一文中所述的需求。
開始之前,請確定符合下列需求:
部署步驟
一旦符合必要條件,部署 Windows Hello 企業版 包含下列步驟:
設定 Windows Hello 企業版原則設定
當您 Microsoft Entra 加入裝置時,系統會嘗試在 Windows Hello 企業版 中自動註冊您。 如果您想要在僅限雲端的環境中使用 Windows Hello 企業版 及其預設設定,則不需要額外的設定。
僅限雲端部署會在 Windows Hello 企業版 註冊期間使用 Microsoft Entra 多重要素驗證 (MFA) ,而且不需要其他 MFA 設定。 如果您尚未在 MFA 中註冊,系統會引導您完成 MFA 註冊,作為 Windows Hello 企業版 註冊程式的一部分。
您可以透過設定服務提供者 (CSP) 或組策略 (GPO) ,設定原則設定來控制 Windows Hello 企業版 的行為。 在僅限雲端的部署中,通常會使用 PassportForWork CSP 透過 MDM 解決方案設定裝置,例如 Microsoft Intune。
注意
檢閱使用 Microsoft Intune 設定 Windows Hello 企業版 一文,以瞭解 Microsoft Intune 為設定 Windows Hello 企業版 所提供的不同選項。
如果將全租使用者 Intune 原則設定為停用 Windows Hello 企業版,或是停用 Windows Hello 部署裝置,您必須設定一個原則設定來啟用 Windows Hello 企業版:
另一個選擇性但建議的原則設定如下:
請遵循下列指示,使用 Microsoft Intune 或組策略 (GPO) 來設定您的裝置。
若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:
類別 | 設定名稱 | 值 |
---|---|---|
Windows Hello 企業版 | 使用商務用 Windows Hello | true |
Windows Hello 企業版 | 需要安全性裝置 | true |
將原則指派給包含 為您要設定之裝置或用戶成員的群組。
或者,您可以使用 自定義 原則搭配 PassportForWork CSP 來設定裝置。
設定 |
---|
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - 資料類型: bool - 價值: True |
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - 資料類型: bool - 價值: True |
提示
如果您使用 Microsoft Intune,而且您未使用全租用戶原則,請啟用註冊狀態頁面 (ESP) ,以確保裝置在使用者存取其桌面之前收到 Windows Hello 企業版 原則設定。 如需 ESP 的詳細資訊, 請參閱設定註冊狀態頁面。
您可以設定更多原則設定來控制 Windows Hello 企業版 的行為。 如需詳細資訊,請參閱 Windows Hello 企業版 原則設定。
註冊 Windows Hello 企業版
如果通過特定必要條件檢查,Windows Hello 企業版 布建程式會在使用者登入之後立即開始。
使用者體驗
使用者登入之後,Windows Hello 企業版 註冊程式會開始:
- 如果裝置支援生物特徵辨識驗證,系統會提示使用者設定生物特徵辨識手勢。 此手勢可用來解除鎖定裝置,並驗證需要 Windows Hello 企業版 的資源。 如果使用者不想設定生物特徵辨識手勢,則可以略過此步驟
- 系統會提示使用者搭配組織帳戶使用 Windows Hello。 用戶選取 [確定]
- 布建流程會繼續進行註冊的多重要素驗證部分。 布建會通知使用者,其正透過其設定的 MFA 形式主動嘗試連絡使用者。 在驗證成功、失敗或逾時之前,布建程式不會繼續。MFA 失敗或逾時會導致錯誤,並要求使用者重試
- MFA 成功後,佈建流程會要求使用者建立並驗證 PIN 碼。 此 PIN 必須觀察在裝置上設定的任何 PIN 複雜性原則
- 佈建餘下的工作包括 Windows Hello 企業版要求使用者的非對稱金鑰組,最好是向 TPM 要求 (如果已透過原則明確設定,則必須如此)。 取得金鑰組之後,Windows 會與 IdP 通訊以註冊公鑰。 密鑰註冊完成時,Windows Hello 企業版 布建會通知用戶他們可以使用其 PIN 登入。 用戶可以關閉布建應用程式並存取其桌面
時序圖
若要進一步瞭解布建流程,請根據驗證類型檢閱下列循序圖:
若要進一步了解驗證流程,請檢閱下列循序圖:
停用自動註冊
如果您想要停用自動 Windows Hello 企業版 註冊,您可以使用原則設定或登錄機碼來設定裝置。 如需詳細資訊,請參閱停用 Windows Hello 企業版 註冊。
注意
在 OOBE) Microsoft Entra 加入流程的全新體驗 (,當您沒有 Intune 時,系統會引導您註冊 Windows Hello 企業版。 您可以取消 PIN 畫面並存取桌面,而不需要註冊 Windows Hello 企業版。