Настройка Windows Hello для бизнеса
В этой статье описаны параметры настройки Windows Hello для бизнеса в организации и способы их реализации.
Параметры конфигурации
Вы можете настроить Windows Hello для бизнеса с помощью следующих параметров:
- Поставщик служб конфигурации (CSP): обычно используется для устройств, управляемых решением для мобильных Управление устройствами (MDM), таких как Microsoft Intune. CSP также можно настроить с помощью пакетов подготовки, которые обычно используются во время развертывания или для неуправляемых устройств. Чтобы настроить Windows Hello для бизнеса, используйте поставщик служб CSP PassportForWork.
- Групповая политика (GPO): используется для устройств, присоединенных к Active Directory или Microsoft Entra гибридным присоединением, и не управляется решением для управления устройствами
Приоритет политики
Некоторые политики Windows Hello для бизнеса доступны для конфигурации компьютера и пользователя. В следующем списке описан приоритет политики для Windows Hello для бизнеса.
- Политики пользователей имеют приоритет над политиками компьютеров. Если задана политика пользователя, соответствующая политика компьютера игнорируется. Если политика пользователя не задана, используется политика компьютера
- Windows Hello для бизнеса параметры политики применяются с помощью следующей иерархии:
- Пользователь — объект групповой политики
- Компьютер — объект групповой политики
- Пользователь — поставщик служб CSP PassportForWork
- Поставщик служб CSP PassportForWork для устройства
- Exchange Active Sync — поставщик служб CSP DeviceLock
Важно.
При настройке параметров длины и сложности пароля, определенных поставщиком служб CSP DeviceLock, а также параметров длины и сложности ПИН-кода, определенных поставщиком служб CSP PassportForWork, Windows применяет строгую политику из набора управляющих политик.
Поставщик служб CSP DeviceLock использует подсистему политики Exchange ActiveSync (EAS). Дополнительные сведения см. в статье Общие сведения о обработчике политик Exchange ActiveSync.
Примечание.
Если политика не настроена явным образом, чтобы требовать буквы или специальные символы, пользователи могут при необходимости задать буквенно-цифровой ПИН-код.
Получение идентификатора клиента Microsoft Entra
При настройке через CSP или реестр с различными параметрами политики Windows Hello для бизнеса необходимо указать идентификатор клиента Microsoft Entra, где зарегистрировано устройство.
Чтобы найти идентификатор клиента, ознакомьтесь с разделом Как найти идентификатор клиента Microsoft Entra или выполните следующие действия, чтобы войти в систему с учетной записью вашей организации:
GET https://graph.microsoft.com/v1.0/organization?$select=id
Например, в документации по поставщику служб CSP PassportForWork описывается настройка параметров Windows Hello для бизнеса с помощью OMA-URI:
./Device/Vendor/MSFT/PassportForWork/{TenantId}
При настройке устройств замените TenantID
Microsoft Entra идентификатором клиента. Например, если идентификатор клиента Microsoft Entra — dcd219dd-bc68-4b9b-bf0b-4a33a796be35
, OMA-URI будет следующим:
./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}
Настройка Windows Hello для бизнеса с помощью Microsoft Intune
Для Microsoft Entra присоединенных устройств и Microsoft Entra гибридных устройств, зарегистрированных в Intune, можно использовать политики Intune для управления Windows Hello для бизнеса.
В Intune можно включить и настроить Windows Hello для бизнеса различными способами.
- Использование политики, применяемой на уровне клиента. Политика клиента:
- Применяется только во время регистрации, а любые изменения в его конфигурации не применяются к устройствам, уже зарегистрированным в Intune
- Она применяется ко всем устройствам, зарегистрированным в Intune. По этой причине политика обычно отключена и Windows Hello для бизнеса включена с помощью политики, ориентированной на группу безопасности.
- Политика конфигурации устройства, применяемая после регистрации устройства. Любые изменения политики применяются к устройствам в течение регулярных интервалов обновления политики. Существуют различные типы политик на выбор:
Проверка политики на уровне клиента
Чтобы проверка параметры политики Windows Hello для бизнеса, примененные во время регистрации, выполните следующие действия:
Выберите Устройства>Регистрация Windows>
Выберите Windows Hello для бизнеса
Проверка состояния настройки Windows Hello для бизнеса и всех параметров, которые могут быть настроены
Конфликты политик из нескольких источников политик
Windows Hello для бизнеса можно настроить с помощью объекта групповой политики или CSP, но не сочетание обоих. Избегайте смешивания параметров политики GPO и CSP для Windows Hello для бизнеса, так как это может привести к непредвиденным результатам. Если вы смешиваете параметры политики GPO и CSP, конфликтующие параметры CSP не применяются до тех пор, пока параметры групповой политики не будут очищены.
Важно.
Параметр политики MDMWinsOverGP не применяется к Windows Hello для бизнеса. MDMWinsOverGP применяется только к политикам в CSP политики, а политики Windows Hello для бизнеса находятся в поставщике CSP PassportForWork.
Примечание.
Дополнительные сведения о развертывании конфигурации Windows Hello для бизнеса с помощью Microsoft Intune см. в разделах Параметры устройства Windows для включения Windows Hello для бизнеса в Intune и PassportForWork CSP.
Отключение регистрации Windows Hello для бизнеса
Windows Hello для бизнеса включена по умолчанию для устройств, которые Microsoft Entra присоединены. Если необходимо отключить автоматическое включение, существуют различные варианты, в том числе:
- Отключение Windows Hello с помощью политики на уровне клиента
- Отключите его, используя один из типов политик, доступных в Intune, при этом включите страницу состояния регистрации (ESP). ESP можно настроить так, чтобы запретить пользователю доступ к рабочему столу до тех пор, пока устройство не получит все необходимые политики. Дополнительные сведения см . в разделе Настройка страницы состояния регистрации. Параметр политики для настройки — Use Windows Hello для бизнеса
- Подготовьте устройства с помощью пакета подготовки, который отключает Windows Hello для бизнеса. Дополнительные сведения см. в разделе Пакеты подготовки для Windows.
- Решения с помощью скриптов, которые могут изменять параметры реестра, чтобы отключить Windows Hello для бизнеса во время развертывания ОС
Тип конфигурации | Сведения |
---|---|
CSP (пользователь) |
Путь к ключу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\Policies Имя ключа: UsePassportForWork Тип: REG_DWORD Значение: 1 , чтобы включить0 , чтобы отключить |
CSP (устройство) |
Путь к ключу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\Policies Имя ключа: UsePassportForWork Тип: REG_DWORD Значение: 1 , чтобы включить0 , чтобы отключить |
Объект групповой политики (пользователь) |
Путь к ключу: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWork Имя ключа: Enabled Тип: REG_DWORD Значение: 1 , чтобы включить0 , чтобы отключить |
Объект групповой политики (устройство) |
Путь к ключу: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork Имя ключа: Enabled Тип: REG_DWORD Значение: 1 , чтобы включить0 , чтобы отключить |
Примечание.
Если существует конфликтующая политика устройства и политика пользователя, приоритет имеет политика пользователя. Не рекомендуется создавать локальный объект групповой политики или параметры реестра, которые могут конфликтовать с политикой MDM. Этот конфликт может привести к непредвиденным результатам.
Дальнейшие действия
Список параметров политики Windows Hello для бизнеса см. в разделе параметры политики Windows Hello для бизнеса.
Дополнительные сведения о функциях Windows Hello для бизнеса и их настройке см. в разделе: