Windows Hello 企業版原則設定

發行項
11/22/2024
適用於:

✅ Windows 11, ✅ Windows 10

本參考文章提供 Windows Hello 企業版原則設定的完整清單。設定清單會依字母順序排序，並以四個類別組織：

功能設定：用來啟用 Windows Hello 企業版並設定基本選項
PIN 設定：用來設定 PIN 驗證，例如 PIN 複雜度和復原
生物特徵辨識設定：用來設定生物特徵辨識驗證
智慧卡設定：用來設定與 Windows Hello 企業版搭配使用的智慧卡驗證

如需如何設定這些設定的資訊，請參閱設定 Windows Hello 企業版。

選擇其中一個索引標籤，以檢視可用設定的清單：

設定名稱	Csp	GPO
設定裝置解除鎖定因素	✅	✅
設定動態鎖定因素	✅	✅
使用硬體安全性裝置	✅	✅
使用憑證進行內部部署驗證	✅	✅
使用雲端 (Kerberos) 信任進行內部部署驗證	✅	✅
使用 Windows Hello 企業版	✅	✅

設定裝置解除鎖定因素

設定認證提供者 GUID 的逗號分隔清單，例如臉部和指紋提供者 GUID，以作為第一個和第二個解除鎖定因素。如果信任的訊號提供者指定為其中一個解除鎖定因素，您也應該以 xml 格式設定以逗號分隔的訊號規則清單，以供每個訊號類型驗證。

如果您啟用此原則設定，用戶必須使用每個清單中的一個因素，才能成功解除鎖定。如果您停用或未設定此原則設定，使用者可以使用現有的選項繼續解除鎖定。

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/` DeviceUnlock
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

如需詳細資訊，請參閱多重要素解除鎖定。

設定動態鎖定因素

針對每個訊號類型，以 xml 格式設定以逗號分隔的訊號規則清單。

如果您啟用此原則設定，系統會評估訊號規則以偵測使用者的不存在，並自動鎖定裝置
如果您停用或未設定設定，用戶可以繼續鎖定現有的選項

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/DynamicLock/` DynamicLock
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

使用硬體安全性裝置

信賴平臺模組 (TPM) 提供軟體額外的安全性優點，因為受其保護的數據無法在其他裝置上使用。

如果啟用此原則設定，Windows Hello 企業版布建只會在具有可用 1.2 或 2.0 TPM 的裝置上進行。您可以選擇性地排除 TPM 修訂 1.2 模組，以防止在這些裝置上布建 Windows Hello 企業版

提示

TPM 1.2 規格只允許使用 RSA 和 SHA-1 哈希演算法。 TPM 1.2 實作在原則設定中有所不同，這可能會導致鎖定原則不同而導致支持問題。建議您從 Windows Hello 企業版布建中排除 TPM 1.2 裝置。 -如果您停用或未設定此原則設定，仍會偏好使用 TPM，但如果 TPM 無法運作或無法使用，則所有裝置都可以使用軟體布建 Windows Hello 企業版。

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` RequireSecurityDevice `./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/` TPM12
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

使用憑證進行內部部署驗證

使用此原則設定來設定 Windows Hello 企業版，以註冊用於內部部署驗證的登入憑證。

如果您啟用此原則設定，Windows Hello 企業版會註冊用於內部部署驗證的登入憑證
如果您停用或未設定此原則設定，Windows Hello 企業版將會使用密鑰或 Kerberos 票證 (視內部部署驗證) 的其他原則設定而定

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` UseCertificateForOnPremAuth
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版用戶設定>系統管理範>本Windows 元件>Windows Hello 企業版

使用雲端信任進行內部部署驗證

使用此原則設定，將 Windows Hello 企業版設定為使用雲端 Kerberos 信任模型。

如果您啟用此原則設定，Windows Hello 企業版會使用從驗證擷取到內部部署驗證的 Microsoft Entra ID 的 Kerberos 票證
如果您停用或未設定此原則設定，Windows Hello 企業版會根據內部部署驗證) 的其他原則設定，使用密鑰或憑證 (

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` UseCloudTrustForOnPremAuth
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

注意

雲端 Kerberos 信任與憑證信任不相容。如果已啟用憑證信任原則設定，則優先於此原則設定。

使用 Windows Hello 企業版

如果您啟用此原則，裝置會使用所有使用者的金鑰或憑證布建 Windows Hello 企業版
如果您停用此原則設定，裝置不會為任何使用者布建 Windows Hello 企業版
如果您未設定此原則設定，用戶可以布建 Windows Hello 企業版

當您使用非Microsoft解決方案布建 Windows Hello 企業版時，請選取 [登入 后不要啟動 Windows Hello 布建] 選項：

如果您在登入后選取 [ 不要啟動 Windows Hello 布建]，則在使用者登入之後，Windows Hello 企業版不會自動開始布建
如果您未選取 [登入 后不要啟動 Windows Hello 布建]，Windows Hello 企業版會在使用者登入之後自動開始布建

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` UsePassportForWork `./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` DisablePostLogonProvisioning
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版用戶設定>系統管理範>本Windows 元件>Windows Hello 企業版

設定名稱	Csp	GPO
到期	✅	✅
歷程記錄	✅	✅
最大 PIN 長度	✅	✅
最小 PIN 長度	✅	✅
需要有數字	✅	✅
使用有小寫字母	✅	✅
需要有特殊字元	✅	✅
需要有大寫字母	✅	✅
使用 PIN 復原	✅	✅

到期

此設定會指定在系統要求使用者變更 PIN 之前，可以使用 PIN) 天 (一段時間。 PIN 可以設定為在 1 到 730 之間的天數之後過期，如果原則設定為 0，PIN 可以設定為永不過期。

預設值為 0。

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexityexpiration `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexityexpiration
GPO	計算機設定>系統管理範>本系統>PIN 複雜度

歷程記錄

此設定會指定可與無法重複使用之用戶帳戶相關聯的過去 PIN 數目。此原則可確保不會持續重複使用舊的 PIN，藉此增強安全性。值必須介於 0 到 50 個 PIN 之間。如果此原則設定為 0，則不需要儲存之前的 PIN。

預設值為 0。

注意

PIN 歷程記錄不會透過 PIN 重設來保留。

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexityhistory `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexityhistory
GPO	計算機設定>系統管理範>本系統>PIN 複雜度

最大 PIN 長度

PIN 長度上限會設定 PIN 允許的字元數上限。您可以為此原則設定設定的最大數目是 127。您可以設定的最低數字必須大於 [最小 PIN 長度] 原則設定或數位 4 中設定的數位，以大於者為準。如果您設定此原則設定，PIN 長度必須小於或等於此數位。

如果停用或未設定此原則設定，PIN 長度必須小於或等於 127。

注意

如果不符合上述 PIN 長度上限的指定條件，預設值會用於最大和最小 PIN 長度。

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexitymaximumpinlength `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexitymaximumpinlength
GPO	計算機設定>系統管理範>本系統>PIN 複雜度

最小 PIN 長度

PIN 長度下限會設定 PIN 所需的字元數下限。您可以為此原則設定的最低數位為 4。您可以設定的最大數字必須小於 [PIN 長度上限] 原則設定或數位 127 中設定的數位，以最低者為準。

如果您設定此原則設定，PIN 長度必須大於或等於此數位。如果停用或未設定此原則設定，PIN 長度必須大於或等於 6。

注意

如果不符合上述指定的最小 PIN 長度條件，預設值將用於最大和最小 PIN 長度。

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexityminimumpinlength `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexityminimumpinlength
GPO	計算機設定>系統管理範>本系統>PIN 複雜度

需要有數字

使用此原則設定來設定 PIN 中數位的使用：

如果您啟用此原則設定，Windows 會要求使用者在其 PIN 中至少包含一個數位
如果您停用此原則設定，Windows 不允許使用者在其 PIN 中包含數位
如果您未設定此原則設定，Windows 會允許但不需要 PIN 碼中的數位

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexitydigits `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexitydigits
GPO	計算機設定>系統管理範>本系統>PIN 複雜度

使用有小寫字母

使用此原則設定來設定在 PIN 中使用小寫字母：

如果您啟用此原則設定，Windows 會要求使用者在其 PIN 中至少包含一個小寫字母
如果您停用此原則設定，Windows 不允許使用者在其 PIN 中包含小寫字母
如果您未設定此原則設定，Windows 會在 PIN 中允許但不需要小寫字母

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexitylowercaseletters `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexitylowercaseletters
GPO	計算機設定>系統管理範>本系統>PIN 複雜度

需要有特殊字元

範圍：計算機

使用此原則設定來設定 PIN 中特殊字元的使用。特殊字元包括下列集合：

! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

如果您啟用此原則設定，Windows 會要求使用者在其 PIN 中至少包含一個特殊字元
如果您停用此原則設定，Windows 不允許使用者在其 PIN 中包含特殊字元
如果您未設定此原則設定，Windows 會允許但不需要 PIN 中的特殊字元

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexityspecialcharacters `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexityspecialcharacters
GPO	計算機設定>系統管理範>本系統>PIN 複雜度

需要有大寫字母

使用此原則設定來設定在 PIN 中使用大寫字母：

如果您啟用此原則設定，Windows 會要求使用者在其 PIN 中至少包含一個大寫字母
如果您停用此原則設定，Windows 不允許使用者在其 PIN 中包含大寫字母
如果您未設定此原則設定，Windows 會在 PIN 中允許但不需要大寫字母

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` devicetenantidpoliciespincomplexityuppercaseletters `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/` usertenantidpoliciespincomplexityuppercaseletters
GPO	計算機設定>系統管理範>本系統>PIN 複雜度

使用 PIN 復原

PIN Recovery 可讓使用者使用 Windows Hello 企業版 PIN 修復服務變更忘記的 PIN 碼，而不會遺失任何相關聯的認證或憑證，包括與裝置上使用者個人帳戶相關聯的任何密鑰。

為了達到此目的，PIN 復原服務會加密儲存在裝置上的修復密碼，而且需要 PIN 復原服務和裝置進行解密。

PIN 復原需要使用者執行多重要素驗證，才能Microsoft編碼標識符。

如果您啟用此原則設定，Windows Hello 企業版會使用 PIN 復原服務
如果您停用或未設定此原則設定，Windows 不會建立或儲存 PIN 修復秘密。如果用戶忘記 PIN 碼，就必須刪除現有的 PIN 碼並建立新的 PIN 碼，而且必須向舊 PIN 提供存取權的任何服務重新註冊

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` EnablePinRecovery `./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` EnablePinRecovery
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

如需詳細資訊，請參閱 PIN 重設。

設定名稱	Csp	GPO
設定增強型反詐騙	✅	✅
使用支持的周邊啟用 ESS	✅	✅
使用生物識別技術	✅	✅

設定增強型反詐騙

此原則設定可決定 Windows Hello 臉部驗證是否需要增強的反詐騙功能。

如果啟用此設定，Windows 必須使用增強型反詐騙功能進行臉部驗證

重要

這會在不支持增強型反詐騙的裝置上停用臉部驗證。
如果您停用或未設定此設定，Windows 就不需要增強的臉部驗證反詐騙功能

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/Biometrics/` FacialFeaturesUseEnhancedAntiSpoofing
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

使用支援的週邊設備啟用 ESS

增強的登入安全性 (ESS) 使用特殊的硬體和軟體元件，例如虛擬化型安全性 (VBS) 和信賴平臺模組 2.0，為生物特徵辨識數據新增一層安全性。使用 ESS，Windows Hello 生物特徵辨識 (臉部和指紋) 範本數據和比對作業會隔離到受信任的硬體或指定的記憶體區域，而其餘的操作系統無法存取或竄改它們。由於感測器與演算法之間的通道也受到保護，因此惡意代碼不可能插入或重新執行數據，以模擬使用者登入或將使用者鎖定在其電腦外。

如果啟用此原則，您可以設定下列值：

0：使用周邊或內建的非 ESS 感測器啟用 ESS。允許周邊 Windows Hello 裝置的驗證作業，但受限於目前的功能限制。 ESS 會在混合生物特徵辨識裝置的裝置上啟用，例如支援 ESS 的指紋讀取器和不具 ESS 功能的相機。因此，不建議使用此設定
1：不使用周邊或內建的非 ESS 感測器即可啟用 ESS。任何周邊生物特徵辨識裝置的驗證作業都會遭到封鎖，且無法供 Windows Hello 使用。建議使用此設定以獲得最高安全性

如果您停用或未設定此設定，則 ESS 裝置上會封鎖非 ESS 感測器。

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/Biometrics/` EnableESSwithSupportedPeripherals
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

如需詳細資訊，請參閱增強式登入安全性如何保護生物特徵辨識數據。

使用生物識別技術

Windows Hello 企業版可讓使用者使用生物特徵辨識手勢，例如臉部和指紋，作為 PIN 手勢的替代方案。不過，使用者仍然必須設定 PIN 以在發生失敗時使用。

如果您啟用或未設定此原則設定，Windows Hello 企業版允許使用生物特徵辨識手勢
如果您停用此原則設定，Windows Hello 企業版會防止使用生物特徵辨識手勢

注意

停用此原則可防止使用者在裝置上針對所有帳戶類型進行生物特徵辨識手勢。

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/Biometrics/` UseBiometrics
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

設定名稱	Csp	GPO
關閉智慧卡模擬	❌	✅
允許列舉所有用戶的模擬智慧卡	❌	✅
使用 Windows Hello 企業版憑證作為智慧卡憑證	✅	✅

允許列舉所有用戶的模擬智慧卡

Windows 可防止相同裝置上的使用者為其他使用者列舉已布建的 Windows Hello 企業版認證。如果您啟用此原則設定，Windows 會允許裝置的所有用戶列舉所有 Windows Hello 企業版認證，但仍需要每個使用者提供自己的驗證因素。如果您停用或未設定此原則設定，Windows 不允許針對相同裝置上的其他用戶列舉已布建的 Windows Hello 企業版認證。

此原則設定是針對在單一裝置上註冊 特殊權 限和 非特殊權 限帳戶的單一使用者所設計。用戶擁有這兩個認證，這可讓他們使用非特殊許可權認證登入，但可以執行提升許可權的工作，而不需要註銷。此原則設定與啟用 [關閉智慧卡模擬 原則] 設定時所布建的 Windows Hello 企業版認證不相容。

	路徑
Csp	無法使用
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

關閉智慧卡模擬

Windows Hello 企業版會自動提供智慧卡模擬，以與已啟用智慧卡的應用程式相容。

如果您啟用此原則設定，Windows Hello 企業版會布建與智慧卡應用程式不相容的 Windows Hello 企業版認證
如果您停用或未設定此原則設定，Windows Hello 企業版會布建與智慧卡應用程式相容的 Windows Hello 企業版認證

重要

此原則會在建立時影響 Windows Hello 企業版認證。在套用此原則之前建立的認證會繼續提供智慧卡模擬。若要變更現有的認證，請啟用此原則設定，然後從 [設定] 中選取 [我忘記 PIN ]。

	路徑
Csp	無法使用
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

使用 Windows Hello 企業版憑證作為智慧卡憑證

此原則設定的設計目的是要允許與完全依賴智慧卡憑證的應用程式相容。

如果您啟用此原則設定，應用程式會使用 Windows Hello 企業版憑證作為智慧卡憑證。當要求使用者授權使用憑證的私鑰時，無法使用生物特徵辨識因素
如果停用或未設定此原則設定，則應用程式不會使用 Windows Hello 企業版憑證作為智慧卡憑證，而當使用者被要求授權使用憑證的私鑰時，就會提供生物特徵辨識因素

此原則設定與啟用關閉智慧卡模擬時所布建的 Windows Hello 企業版認證不相容。

	路徑
Csp	`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/` UseHelloCertificatesAsSmartCardCertificates
GPO	計算機設定>系統管理範>本Windows 元件>Windows Hello 企業版

共用方式為