適用于
你可以創建組策略或移動設備管理(MDM)策略,該策略將在運行 Windows10 的設備上實現 Windows Hello。
windows企業版產品密鑰??重要
組策略設置啟用 PIN 登錄不適用于 Windows Hello 企業版。?它仍阻止或允許創建 Windows 10 版本 1507 和 1511 的便捷型 PIN。
從版本 1607 開始,在所有已加入域的計算機上默認禁用作為便捷型 PIN 的 Windows Hello。?若要為 Windows 10 版本 1607 啟用便捷型 PIN,請啟用組策略設置啟用便捷型 PIN 登錄。
Windows Hello攝像頭、使用?PIN 復雜性策略設置管理 Windows Hello 企業版的 PIN。
下表列出了可在工作區中為 Windows Hello 的使用配置的組策略設置。?這些策略設置在 "策略?>?管理模板?>?windows 組件?>?windows組件" 下的 "用戶配置和計算機配置" 下可用。
?備注
win7企業版好用嗎。從 Windows 10 版本1709開始,組策略的 "PIN 復雜性" 部分的位置為: "計算機配置?>?" 管理模板?>?系統?>?PIN 復雜性。
策略 | 范圍 | 選項 | |
---|---|---|---|
使用 Windows Hello 企業版 | ? | 計算機或用戶 | 未配置:設備不為任何用戶預配 Windows Hello 企業版。 已啟用:設備使用密鑰或證書為所有用戶預配 Windows Hello 企業版。 已禁用:設備不為任何用戶預配 Windows Hello 企業版。 |
使用硬件安全設備 | ? | 計算機 | 未配置:如果 TPM 可用,將使用 TPM 預配 Windows Hello 企業版;如果 TPM 不可用,將使用軟件預配它。 已啟用:將僅使用 TPM 預配 Windows Hello 企業版。?此功能將使用 TPM 1.2 設置 Windows Hello 企業版,除非顯式設置用于排除它們的選項。 已禁用:如果 TPM 可用,將使用 TPM 預配 Windows Hello 企業版;如果 TPM 不可用,將使用軟件預配它。 |
使用證書進行本地身份驗證 | ? | 計算機或用戶 | 未配置: Windows Hello 企業版注冊用于本地身份驗證的密鑰。 已啟用: Windows Hello 企業版使用用于本地身份驗證的 ADFS 注冊登錄證書。 已禁用: Windows Hello 企業版將注冊用于本地身份驗證的密鑰。 |
使用 PIN 恢復 | ? | 計算機 | 已在 Windows 10 版本1703中添加 未配置: Windows Hello 企業版不會創建或存儲 PIN 恢復密碼。?PIN 重置不使用基于 Azure 的 PIN 恢復服務。 已啟用: Windows Hello 企業版使用基于 AZURE 的 pin 恢復服務進行 PIN 重置。 已禁用: Windows Hello 企業版不會創建或存儲 PIN 恢復密碼。?PIN 重置不使用基于 Azure 的 PIN 恢復服務。 ? 有關使用 PIN 恢復服務進行 PIN 重置的詳細信息,請參閱Windows Hello 企業版 PIN 重置。 ? |
使用生物識別 | ? | 計算機 | 未配置:生物識別可用作替代 PIN 的手勢。 已啟用:生物識別可用作替代 PIN 的手勢。 已禁用:僅 PIN 可以用作手勢。 |
PIN 復雜性 | 需要數字 | 計算機 | 未配置:用戶必須在其 PIN 中包含數字。 已啟用:用戶必須在其 PIN 中包含數字。 已禁用:用戶不能在其 PIN 中使用數字。 |
需要小寫字母 | 計算機 | 未配置:用戶不能在其 PIN 中使用小寫字母。 已啟用:用戶必須在其 PIN 中至少包含一個小寫字母。 已禁用:用戶不能在其 PIN 中使用小寫字母。 | |
最大 PIN 長度 | 計算機 | 未配置:PIN 長度必須小于或等于 127。 已啟用:PIN 長度必須小于或等于你指定的數字。 已禁用:PIN 長度必須小于或等于 127。 | |
最小 PIN 長度 | 計算機 | 未配置:PIN 長度必須大于或等于 4。 已啟用:PIN 長度必須大于或等于你指定的數字。 已禁用:PIN 長度必須大于或等于 4。 | |
到期 | 計算機 | 未配置:PIN 不會到期。 已啟用:PIN 可以設置為在 1 到 730 之間的任意天數后到期,或者可以通過將策略設置為 0 來將 PIN 設置為永遠不會到期。 已禁用:PIN 不會到期。 | |
歷史記錄 | 計算機 | 未配置:不會存儲以前的 PIN。 已啟用:指定可與可以't 重復使用的用戶帳戶相關聯的以前 pin 的數量。 已禁用:不會存儲以前的 PIN。 注意當前 pin 包括在固定歷史記錄中。 ? | |
需要特殊字符 | 計算機 | 未配置:用戶無法在其 PIN 中包含特殊字符。 已啟用:用戶必須在其 PIN 中至少包含一個特殊字符。 已禁用:用戶無法在其 PIN 中包含特殊字符。 | |
需要大寫字母 | 計算機 | 未配置:用戶無法在其 PIN 中包含大寫字母。 已啟用:用戶必須在其 PIN 中至少包含一個大寫字母。 已禁用:用戶無法在其 PIN 中包含大寫字母。 | |
手機登錄 | 使用手機登錄 | 計算機 | 目前尚不支持。 |
下表列出了可在工作區中為 Windows Hello 企業版的使用配置的 MDM 策略設置。?這些 MDM 策略設置使用?PassportForWork 配置服務提供程序 (CSP)。
?重要
從 Windows 10 版本 1607 開始,所有設備都只有一個 PIN 與 Windows Hello 企業版相關聯。?這意味著設備上的任何 PIN 將遵循 PassportForWork CSP 中指定的策略。?指定值的優先級高于通過 Exchange ActiveSync (EAS) 或 DeviceLock CSP 設置的任何復雜規則。
策略 | 范圍 | 默認值 | 選項 | |
---|---|---|---|---|
UsePassportForWork | ? | 設備或用戶 | True | True:將為設備上的所有用戶預配 Windows Hello 企業版。 False:用戶將不能預配 Windows Hello 企業版。 注意如果 Windows Hello 企業版已啟用,并且策略已更改為 False,則以前設置 Windows Hello 企業版的用戶可以繼續使用它,但無法在其他設備上設置 Windows Hello 企業版。 ? |
RequireSecurityDevice | ? | 設備或用戶 | False | True:將僅使用 TPM 預配 Windows Hello 企業版。 False:如果 TPM 可用,將使用 TPM 預配 Windows Hello 企業版;如果 TPM 不可用,將使用軟件預配它。 |
ExcludeSecurityDevice | TPM12 | 設備 | False | 已在 Windows 10 版本1703中添加 True:將不允許將 TPM 版本1.2 模塊與 Windows Hello 企業版配合使用。 False:將允許將 TPM 版本1.2 模塊與 Windows Hello 企業版配合使用。 |
EnablePinRecovery | ? | 設備或用戶 | False | 已在 Windows 10 版本1703中添加 True: Windows Hello 企業版使用基于 Azure 的 PIN 恢復服務進行 PIN 重置。 False: Windows Hello 企業版不會創建或存儲 PIN 恢復密碼。?PIN 重置不使用基于 Azure 的 PIN 恢復服務。 ? 有關使用 PIN 恢復服務進行 PIN 重置的詳細信息,請參閱Windows Hello 企業版 PIN 重置。 ? |
生物識別 | UseBiometrics | 設備 | False | True:生物識別可用作替代 PIN 的手勢進行域登錄。 False:僅 PIN 可用作進行域登錄的手勢。 |
FacialFeaturesUser EnhancedAntiSpoofing | 設備 | 未配置 | 未配置:用戶可以選擇是否打開增強的反欺騙功能。 True:在支持的設備上需要增強的反欺騙功能。 False:用戶無法打開增強的反欺騙功能。 | |
PINComplexity | ||||
數字 | 設備或用戶 | raid-1 | 0:允許使用數字。 1:至少需要一個數字。 2:不允許使用數字。 | |
小寫字母 | 設備或用戶 | ppls-2 | 0:允許使用小寫字母。 1:至少需要一個小寫字母。 2:不允許使用小寫字母。 | |
特殊字符 | 設備或用戶 | ppls-2 | 0:允許使用特殊字符。 1:至少需要一個特殊字符。 2:不允許使用特殊字符。 | |
大寫字母 | 設備或用戶 | ppls-2 | 0:允許使用大寫字母。 1:至少需要一個大寫字母。 2:不允許使用大寫字母。 | |
最大 PIN 長度 | 設備或用戶 | 127 | 可以設置的最大長度為 127。?最大長度不能小于最小設置。 | |
最小 PIN 長度 | 設備或用戶 | 第 | 可以設置的最小長度為 4。?最小長度不能大于最大設置。 | |
到期 | 設備或用戶 | 0 | 整數值指定在系統需要用戶更改 PIN 之前可以使用它的時間段(以天為單位)。?你可以為此策略設置配置的最大數為 730。?你可以為此策略設置配置的最小數為 0。?如果此策略設置為0,則用戶的 PIN 將永不過期。 | |
歷史記錄 | 設備或用戶 | 0 | 整數值,指定可與無法重復使用的用戶帳戶相關聯的過去引腳的數量。?你可以為此策略設置配置的最大數為 50。?你可以為此策略設置配置的最小數為 0。?如果此策略設置為 0,則不需要存儲以前的 PIN。 | |
遠程 | UseRemotePassport | 設備或用戶 | False | 目前尚不支持。 |
?備注
在 Windows 10 版本1709及更高版本中,如果策略未配置為明確要求字母或特殊字符,則用戶可以選擇設置字母數字 PIN。?在版本1709之前,需要用戶設置數字 PIN。
Windows Hello 企業版旨在由組策略或 MDM 管理,但不能同時管理二者。?如果同時從兩個源設置策略,則可能會導致為用戶或設備實際強制執行的混合結果。
Windows Hello 企業版策略的實施使用以下層次結構:用戶組策略 > 計算機組策略 > 用戶 MDM > 設備 MDM > 設備鎖定策略。?所有 PIN 復雜性策略都分組在一起,并通過單個策略源強制執行。
使用硬件安全設備和 RequireSecurityDevice 強制也與 PIN 復雜性策略組合在一起。?針對其他 Windows Hello 企業版策略的沖突解決方法是針對每個策略執行的。
?備注
Windows Hello 企業版策略沖突解決邏輯與策略 CSP 中的 ControlPolicyConflict/MDMWinsOverGP 策略不相關。
示例
使用計算機組策略配置以下內容:
- 使用 Windows Hello 企業版-已啟用
- 本地身份驗證的用戶證書-已啟用
- 需要數字-已啟用
- 最小 PIN 長度-6
使用設備 MDM 策略配置以下內容:
- UsePassportForWork-已禁用
- UseCertificateForOnPremAuth-已禁用
- MinimumPINLength-8
- 數字-1
- LowercaseLetters-1
- SpecialCharacters-1
強制策略集:
- 使用 Windows Hello 企業版-已啟用
- 將證書用于本地身份驗證-已啟用
- 需要數字-已啟用
- 最小 PIN 長度-6d
在 Azure AD 中有三種使用 Windows Hello 企業版的情形 - 僅組織:
如果要將 Windows Hello 企業版與證書配合使用,您需要設備注冊系統。?這意味著設置 Configuration Manager、Microsoft Intune 或兼容的非 Microsoft MDM 系統,并啟用它來注冊設備。?無論 IDP 為何,這是將 Windows Hello 企業版與證書一起使用的先決條件步驟,因為注冊系統負責使用必要的證書預配設備。
版权声明:本站所有资料均为网友推荐收集整理而来,仅供学习和研究交流使用。
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态