在混合式密鑰信任模型中設定及註冊 Windows Hello 企業版

• 適用於:

  ✅ Windows 11, ✅ Windows 10

本文說明 Windows Hello 企業版 適用的功能或案例：

• 部署類型：
• 信任類型：鑰信任
• 聯結類型： Microsoft Entra 加入 、 Microsoft Entra 混合式聯結

---

一旦符合必要條件並驗證 PKI 組態，部署 Windows Hello 企業版 包含下列步驟：

• 設定 Windows Hello 企業版原則設定
• 註冊 Windows Hello 企業版

設定 Windows Hello 企業版原則設定

在密鑰信任模型中啟用 Windows Hello 企業版 需要一個原則設定：

• 使用 Windows Hello 企業版

另一個選擇性但建議的原則設定如下：

• 使用硬體安全性裝置

下列指示說明如何使用 Microsoft Intune 或組策略 (GPO) 來設定您的裝置。

Intune/CSP

注意

檢閱使用 Microsoft Intune 設定 Windows Hello 企業版 一文，以瞭解 Microsoft Intune 為設定 Windows Hello 企業版 所提供的不同選項。

如果已啟用全租使用者 Intune 原則，並根據您的需求進行設定，您可以跳至註冊 Windows Hello 企業版。

若要使用 Microsoft Intune 設定裝置，請建立 [設定] 目錄原則，並使用下列設定：

類別	設定名稱	值
Windows Hello 企業版	使用商務用 Windows Hello	true
Windows Hello 企業版	需要安全性裝置	true

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

或者，您可以使用 自定義 原則搭配 PassportForWork CSP 來設定裝置。

設定
- OMA-URI：./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - 資料類型：bool - 價值：True
- OMA-URI：./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - 資料類型：bool - 價值：True

GPO

您可以在 GPO 的電腦或使用者節點中設定 [使用 Windows Hello 企業版 原則] 設定：

• 部署計算機節點原則設定，會導致所有登入目標裝置的用戶嘗試註冊 Windows Hello 企業版
• 部署使用者節點原則設定，只會讓目標用戶嘗試註冊 Windows Hello 企業版

如果同時部署使用者和電腦原則設定，使用者原則設定具備優先權。

若要使用組策略設定裝置，請使用本機 群組原則 編輯器。 若要設定多個已加入 Active Directory 的裝置，請 (GPO) 建立或編輯 組策略物件，並使用下列設定：

組策略路徑	組策略設定	值
計算機設定\系統管理範本\Windows 元件\Windows Hello 企業版 or 用戶設定\系統管理範本\Windows 元件\Windows Hello 企業版	使用 Windows Hello 企業版	啟用
計算機設定\系統管理範本\Windows 元件\Windows Hello 企業版	使用硬體安全性裝置	啟用

組策略可以 連結 至網域或組織單位、 使用安全組進行篩選，或 使用WMI篩選器進行篩選。

提示

部署 Windows Hello 企業版 GPO 的最佳方式是使用安全組篩選。 只有目標安全組的成員會布建 Windows Hello 企業版，以啟用階段式推出。 此解決方案允許將 GPO 連結至網域，確保 GPO 的範圍限於所有安全性主體。 安全組篩選可確保只有全域群組的成員會接收並套用 GPO，這會導致布建 Windows Hello 企業版。

如果您同時使用 群組原則 和 Intune 部署 Windows Hello 企業版 組態，則 群組原則 設定會優先，並忽略 Intune 設定。 如需原則衝突的詳細資訊，請參閱 來自多個原則來源的原則衝突

您可以設定其他原則設定來控制 Windows Hello 企業版 的行為。 如需詳細資訊，請參閱 Windows Hello 企業版 原則設定。

註冊 Windows Hello 企業版

Windows Hello 企業版 布建程式會在使用者配置檔載入之後，以及使用者收到其桌面之前立即開始。 若要開始布建程式，必須通過所有必要條件檢查。

您可以檢視 Windows 中 [應用程式和服務>記錄] 底下的 [用戶裝置註冊管理員記錄]，以判斷必要條件檢查的狀態Microsoft。>
您也可以從主控台使用 dsregcmd.exe /status 命令來取得這項資訊。 如需詳細資訊，請參閱 dsregcmd。

使用者體驗

使用者登入之後，Windows Hello 企業版 註冊程式會開始：

1. 如果裝置支援生物特徵辨識驗證，系統會提示使用者設定生物特徵辨識手勢。 此手勢可用來解除鎖定裝置，並驗證需要 Windows Hello 企業版 的資源。 如果使用者不想設定生物特徵辨識手勢，則可以略過此步驟
2. 系統會提示使用者搭配組織帳戶使用 Windows Hello。 用戶選取 [確定]
3. 布建流程會繼續進行註冊的多重要素驗證部分。 布建會通知使用者，其正透過其設定的 MFA 形式主動嘗試連絡使用者。 在驗證成功、失敗或逾時之前，布建程式不會繼續。MFA 失敗或逾時會導致錯誤，並要求使用者重試
4. MFA 成功後，佈建流程會要求使用者建立並驗證 PIN 碼。 此 PIN 必須觀察在裝置上設定的任何 PIN 複雜性原則
5. 佈建餘下的工作包括 Windows Hello 企業版要求使用者的非對稱金鑰組，最好是向 TPM 要求 (如果已透過原則明確設定，則必須如此)。 取得金鑰組之後，Windows 會與 IdP 通訊以註冊公鑰。 密鑰註冊完成時，Windows Hello 企業版 布建會通知用戶他們可以使用其 PIN 登入。 用戶可以關閉布建應用程式並存取其桌面

註冊之後，Microsoft Entra Connect 會將使用者的密鑰從 Microsoft Entra ID 同步處理至 Active Directory。

重要

將使用者公鑰從 Microsoft Entra ID 同步至 內部部署的 Active Directory 所需的最短時間為 30 分鐘。 Microsoft Entra Connect 排程器會控制同步處理間隔。 此同步處理延遲會延遲使用者驗證和使用內部部署資源的能力，直到使用者的公鑰同步至 Active Directory 為止。 同步處理之後，使用者就可以驗證和存取內部部署資源。 閱讀 Microsoft Entra Connect Sync： Scheduler 以檢視和調整組織的同步處理週期。

時序圖

若要進一步瞭解布建流程，請根據裝置加入和驗證類型檢閱下列循序圖：

• 使用受控驗證為已加入 Microsoft Entra 裝置布建
• 使用同盟驗證布建已加入 Microsoft Entra 裝置
• 使用受控驗證在混合式密鑰信任部署模型中佈建

若要進一步了解驗證流程，請檢閱下列循序圖：

• 使用金鑰 Microsoft Entra 混合式聯結驗證
• Microsoft Entra 使用金鑰將驗證加入 Active Directory