Настройка Windows Hello для бизнеса

В этой статье описаны параметры настройки Windows Hello для бизнеса в организации и способы их реализации.

Параметры конфигурации

Вы можете настроить Windows Hello для бизнеса с помощью следующих параметров:

  • Поставщик служб конфигурации (CSP): обычно используется для устройств, управляемых решением для мобильных Управление устройствами (MDM), таких как Microsoft Intune. CSP также можно настроить с помощью пакетов подготовки, которые обычно используются во время развертывания или для неуправляемых устройств. Чтобы настроить Windows Hello для бизнеса, используйте поставщик служб CSP PassportForWork.
  • Групповая политика (GPO): используется для устройств, присоединенных к Active Directory или Microsoft Entra гибридным присоединением, и не управляется решением для управления устройствами

Приоритет политики

Некоторые политики Windows Hello для бизнеса доступны для конфигурации компьютера и пользователя. В следующем списке описан приоритет политики для Windows Hello для бизнеса.

  • Политики пользователей имеют приоритет над политиками компьютеров. Если задана политика пользователя, соответствующая политика компьютера игнорируется. Если политика пользователя не задана, используется политика компьютера
  • Windows Hello для бизнеса параметры политики применяются с помощью следующей иерархии:
    • Пользователь — объект групповой политики
    • Компьютер — объект групповой политики
    • Пользователь — поставщик служб CSP PassportForWork
    • Поставщик служб CSP PassportForWork для устройства
    • Exchange Active Sync — поставщик служб CSP DeviceLock

Важно.

При настройке параметров длины и сложности пароля, определенных поставщиком служб CSP DeviceLock, а также параметров длины и сложности ПИН-кода, определенных поставщиком служб CSP PassportForWork, Windows применяет строгую политику из набора управляющих политик.

Поставщик служб CSP DeviceLock использует подсистему политики Exchange ActiveSync (EAS). Дополнительные сведения см. в статье Общие сведения о обработчике политик Exchange ActiveSync.

Примечание.

Если политика не настроена явным образом, чтобы требовать буквы или специальные символы, пользователи могут при необходимости задать буквенно-цифровой ПИН-код.

Получение идентификатора клиента Microsoft Entra

При настройке через CSP или реестр с различными параметрами политики Windows Hello для бизнеса необходимо указать идентификатор клиента Microsoft Entra, где зарегистрировано устройство.

Чтобы найти идентификатор клиента, ознакомьтесь с разделом Как найти идентификатор клиента Microsoft Entra или выполните следующие действия, чтобы войти в систему с учетной записью вашей организации:

GET https://graph.microsoft.com/v1.0/organization?$select=id

Например, в документации по поставщику служб CSP PassportForWork описывается настройка параметров Windows Hello для бизнеса с помощью OMA-URI:

./Device/Vendor/MSFT/PassportForWork/{TenantId}

При настройке устройств замените TenantID Microsoft Entra идентификатором клиента. Например, если идентификатор клиента Microsoft Entra — dcd219dd-bc68-4b9b-bf0b-4a33a796be35, OMA-URI будет следующим:

./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}

Настройка Windows Hello для бизнеса с помощью Microsoft Intune

Для Microsoft Entra присоединенных устройств и Microsoft Entra гибридных устройств, зарегистрированных в Intune, можно использовать политики Intune для управления Windows Hello для бизнеса.

В Intune можно включить и настроить Windows Hello для бизнеса различными способами.

Проверка политики на уровне клиента

Чтобы проверка параметры политики Windows Hello для бизнеса, примененные во время регистрации, выполните следующие действия:

  1. Вход в Центр администрирования Microsoft Intune

  2. Выберите Устройства>Регистрация Windows>

  3. Выберите Windows Hello для бизнеса

  4. Проверка состояния настройки Windows Hello для бизнеса и всех параметров, которые могут быть настроены

    Отключение Windows Hello для бизнеса из Центра администрирования Microsoft Intune.

Конфликты политик из нескольких источников политик

Windows Hello для бизнеса можно настроить с помощью объекта групповой политики или CSP, но не сочетание обоих. Избегайте смешивания параметров политики GPO и CSP для Windows Hello для бизнеса, так как это может привести к непредвиденным результатам. Если вы смешиваете параметры политики GPO и CSP, конфликтующие параметры CSP не применяются до тех пор, пока параметры групповой политики не будут очищены.

Важно.

Параметр политики MDMWinsOverGP не применяется к Windows Hello для бизнеса. MDMWinsOverGP применяется только к политикам в CSP политики, а политики Windows Hello для бизнеса находятся в поставщике CSP PassportForWork.

Примечание.

Дополнительные сведения о развертывании конфигурации Windows Hello для бизнеса с помощью Microsoft Intune см. в разделах Параметры устройства Windows для включения Windows Hello для бизнеса в Intune и PassportForWork CSP.

Отключение регистрации Windows Hello для бизнеса

Windows Hello для бизнеса включена по умолчанию для устройств, которые Microsoft Entra присоединены. Если необходимо отключить автоматическое включение, существуют различные варианты, в том числе:

  • Отключение Windows Hello с помощью политики на уровне клиента
  • Отключите его, используя один из типов политик, доступных в Intune, при этом включите страницу состояния регистрации (ESP). ESP можно настроить так, чтобы запретить пользователю доступ к рабочему столу до тех пор, пока устройство не получит все необходимые политики. Дополнительные сведения см . в разделе Настройка страницы состояния регистрации. Параметр политики для настройки — Use Windows Hello для бизнеса
  • Подготовьте устройства с помощью пакета подготовки, который отключает Windows Hello для бизнеса. Дополнительные сведения см. в разделе Пакеты подготовки для Windows.
  • Решения с помощью скриптов, которые могут изменять параметры реестра, чтобы отключить Windows Hello для бизнеса во время развертывания ОС
Тип конфигурации Сведения
CSP (пользователь) Путь к ключу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\Policies
Имя ключа: UsePassportForWork
Тип: REG_DWORD
Значение:
1 , чтобы включить
0 , чтобы отключить
CSP (устройство) Путь к ключу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\Policies
Имя ключа: UsePassportForWork
Тип: REG_DWORD
Значение:
1 , чтобы включить
0 , чтобы отключить
Объект групповой политики (пользователь) Путь к ключу: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWork
Имя ключа: Enabled
Тип: REG_DWORD
Значение:
1 , чтобы включить
0 , чтобы отключить
Объект групповой политики (устройство) Путь к ключу: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
Имя ключа: Enabled
Тип: REG_DWORD
Значение:
1 , чтобы включить
0 , чтобы отключить

Примечание.

Если существует конфликтующая политика устройства и политика пользователя, приоритет имеет политика пользователя. Не рекомендуется создавать локальный объект групповой политики или параметры реестра, которые могут конфликтовать с политикой MDM. Этот конфликт может привести к непредвиденным результатам.

Дальнейшие действия

Список параметров политики Windows Hello для бизнеса см. в разделе параметры политики Windows Hello для бизнеса.

Дополнительные сведения о функциях Windows Hello для бизнеса и их настройке см. в разделе: