Intune'a kaydolan cihazlarda İş İçin Windows Hello'yu yapılandırma
Microsoft Intune ile, bu cihazların Intune'a kaydolacağı sırada Windows 10 veya Windows 11 cihazlarında İş İçin Windows Hello kullanımını yapılandıran kiracı genelinde bir ilke oluşturabilirsiniz. Bu ilke kuruluşunuzun tamamını hedefler ve Windows Autopilot ilk çalıştırma deneyimini (OOBE) destekler.
Windows 10/11 cihazlarında , İş İçin Windows Hello'nun kullanılması, cihazlarda parola kullanımının yerini güçlü iki faktörlü kimlik doğrulamasıyla değiştirir. Bu kimlik doğrulaması, bir cihaza bağlı olan ve biyometrik veya PIN kullanan bir kullanıcı kimlik bilgilerinden oluşur.
Cihaz kaydından sonra veya kiracı genelinde kayıt ilkesini kullanmamayı seçtiğinizde, Intune ayrı cihaz gruplarında Windows Hello'yu yönetmek için aşağıdaki yöntemleri destekler:
Uç nokta güvenliği Hesap koruma ilkesi: Intune'a kaydolduktan sonra cihazlarda Windows Hello'yu yönetmek için, uç nokta güvenliği Hesap koruma ilkesinin bir parçası olan Intune Hesap koruma profilini kullanın.
Güvenlik temelleri: Windows Hello için bazı ayarlar , Uç Nokta için Microsoft Defender güvenliği temelleri veya Windows 10 ve üzeri için Güvenlik Temeli gibi güvenlik temelleri tarafından yönetilebilir.
Ayarlar kataloğu: Uç nokta güvenliği Hesap koruma profillerindeki ayarlar, Intune ayarları kataloğunda bulunur.
Önemli
Yıldönümü Güncelleştirmesi(Windows sürüm 1607) öncesinde, kaynaklarda kimlik doğrulaması yapmak için kullanılabilecek iki farklı PIN ayarlayabilirsiniz:
- Cihazın kilidini açmak ve bulut kaynaklarına bağlanmak için cihaz PIN'i kullanılabilir.
- İş PIN'i, kullanıcının kişisel cihazında (KCG) Microsoft Entra kaynaklarına erişmek için kullanıldı.
Yıldönümü Güncelleştirmesi'nde bu iki PIN tek bir cihaz PIN'inde birleştirildi. Cihaz PIN'ini denetlemek için ayarladığınız tüm Intune yapılandırma ilkeleri ve ayrıca yapılandırdığınız tüm İş İçin Windows Hello ilkeleri artık bu yeni PIN değerini ayarlar. PIN'i denetlemek için her iki ilke türünü de ayarladıysanız İş İçin Windows Hello ilkesi uygulanır. İlke çakışmalarının çözümlendiğinden ve PIN ilkesinin doğru uygulandığından emin olmak için İş İçin Windows Hello İlkenizi yapılandırma ilkenizdeki ayarlarla eşleşecek şekilde güncelleştirin ve kullanıcılarınızdan Şirket Portalı uygulamasında cihazlarını eşitlemelerini isteyin.
Rol tabanlı erişim denetimi
Windows kaydında İş İçin Windows Hello ilkesi oluşturmak veya düzenlemek için Intune Hizmet Yöneticisi olmanız gerekir. Diğer tüm Intune rollerinin salt okunur erişimi vardır. Rol tabanlı erişim denetimi (RBAC) hakkında daha fazla bilgi için bkz. Microsoft Intune ile RBAC.
Cihaz kaydı için İş İçin Windows Hello ilkesi oluşturma
Microsoft Intune yönetim merkezinde oturum açın.
Cihazlar>Kaydı'na gidin.
Windows sekmesindeki Kayıt seçenekleri'nin altında İş İçin Windows Hello'yu seçin. İş İçin Windows Hello bölmesi açılırken bekleyin.
İş İçin Windows Hello'yu Yapılandırma için aşağıdaki seçeneklerden birini belirleyin:
Etkin. İş İçin Windows Hello ayarlarını yapılandırmak istiyorsanız bu ayarı seçin. Etkin'i seçtiğinizde, Windows Hello'ya yönelik diğer ayarlar görünür ve cihazlar için yapılandırılabilir.
Devre dışı. Cihaz kaydı sırasında İş İçin Windows Hello'yu etkinleştirmek istemiyorsanız bu seçeneği belirleyin. Devre dışı bırakıldığında, kullanıcılar İş İçin Windows Hello'yu sağlayamaz. Devre Dışı olarak ayarlandığında, bu ilke İş İçin Windows Hello'yu etkinleştirmese bile, İş İçin Windows Hello'nun sonraki ayarlarını yapılandırmaya devam edebilirsiniz.
Yapılandırılmadı. İş İçin Windows Hello ayarlarını denetlemek için Intune kullanmak istemiyorsanız bu ayarı seçin. Windows 10/11 cihazlarında mevcut İş İçin Windows Hello ayarları değişmez. Bölmedeki diğer tüm ayarlar kullanılamıyor.
Önceki adımda Etkin'i seçtiyseniz, tüm kayıtlı Windows 10/11 cihazlarına uygulanan gerekli ayarları yapılandırın. Bu ayarları yapılandırdıktan sonra Kaydet'i seçin.
Güvenilir Platform Modülü (TPM) kullanın:
TPM yongası başka bir veri güvenliği katmanı sağlar. Aşağıdaki değerlerden birini seçin:
- Gerekli (varsayılan). Yalnızca erişilebilir TPM'ye sahip cihazlar İş İçin Windows Hello sağlayabilir.
- Tercih edilen. Cihazlar önce BIR TPM kullanmayı dener. Bu seçenek kullanılamıyorsa yazılım şifrelemesi kullanabilirler.
Minimum PIN uzunluğu ve Maksimum PIN uzunluğu:
Güvenli oturum açmanın sağlanmasına yardımcı olmak için cihazları belirttiğiniz en düşük ve en yüksek PIN uzunluklarını kullanacak şekilde yapılandırılır. Varsayılan PIN uzunluğu altı karakterdir, ancak en az dört karakterlik bir uzunluk uygulayabilirsiniz. Maksimum PIN uzunluğu 127 karakterdir.
PIN'de küçük harfler, PIN'de büyük harfler ve PIN'de özel karakterler.
PIN'de büyük harfler, küçük harfler ve özel karakterler kullanılmasını zorunlu kılarak daha güçlü bir PIN uygulayabilirsiniz. Her bir için şunları seçin:
İzin verilir: Kullanıcılar PIN'lerinde karakter türünü kullanabilir, ancak zorunlu değildir.
Gerekli: Kullanıcıların PIN'lerine en az bir karakter türü içermesi gerekir. Örneğin, en az bir büyük harf ve bir özel karakter gerektirmek yaygın bir uygulamadır.
İzin verilmiyor (varsayılan): Kullanıcılar PIN'lerinde bu karakter türlerini kullanmamalıdır. (Ayar yapılandırılmamışsa davranış da budur.)
Özel karakterler şunlardır: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~
PIN süre sonu (gün):
Pin için bir süre sonu belirtmek iyi bir uygulamadır ve bu süre sonunda kullanıcıların pini değiştirmesi gerekir. Varsayılan değer 41 gündür.
PIN geçmişini anımsa:
Daha önce kullanılan PIN'lerin yeniden kullanılmasını kısıtlar. Varsayılan olarak, son 5 PIN yeniden kullanılamaz.
Biyometrik kimlik doğrulamasına izin ver:
İş İçin Windows Hello PIN'ine alternatif olarak yüz tanıma veya parmak izi gibi biyometrik kimlik doğrulamasını etkinleştirir. Biyometrik kimlik doğrulamasının başarısız olması durumunda kullanıcıların yine de bir iş PIN'i yapılandırması gerekir. Aralarından seçim yapın:
- Evet, evet. İş İçin Windows Hello biyometrik kimlik doğrulamasına izin verir.
- Hayır, hayır. İş İçin Windows Hello biyometrik kimlik doğrulamasını engeller (tüm hesap türleri için).
Kullanılabilir olduğunda gelişmiş kimlik sahtekarlığı önleme özelliğini kullanın:
Windows Hello'nun kimlik sahtekarlığı önleme özelliklerinin onu destekleyen cihazlarda kullanılıp kullanılmayacağını yapılandırılır. Örneğin, gerçek yüz yerine bir yüzün fotoğrafını algılama.
Evet olarak ayarlandığında Windows, desteklendiğinde tüm kullanıcıların yüz özellikleri için kimlik sahtekarlığı önleme kullanmasını gerektirir.
Telefonda oturum açmaya izin ver:
Bu seçenek Evet olarak ayarlanırsa, kullanıcılar masaüstü bilgisayar kimlik doğrulaması için taşınabilir yardımcı cihaz olarak hizmet vermek üzere uzak bir pasaport kullanabilir. Masaüstü bilgisayar Microsoft Entra'ya katılmış olmalı ve yardımcı cihaz bir İş için Windows Hello PIN'i ile yapılandırılmalıdır.
Gelişmiş oturum açma güvenliğini etkinleştirin:
Uyumlu donanıma sahip cihazlarda Windows Hello Gelişmiş Oturum Açma Güvenliği'nin yapılandırılması. Seçenekleriniz:
- Donanıma sahip sistemlerde gelişmiş oturum açma güvenliği etkinleştirilecektir (varsayılan): Cihaz kullanıcıları, Windows Hello ile cihazlarında oturum açmak için dış çevre birimlerini kullanamaz.
- Gelişmiş oturum açma güvenliği tüm sistemlerde devre dışı bırakılacak: Cihaz kullanıcıları, cihazlarında oturum açmak için Windows Hello ile uyumlu dış çevre birimlerini kullanabilir.
Oturum açmak için güvenlik anahtarlarını kullanın:
Etkin olarak ayarlandığında, bu ayar müşterinin kuruluşundaki tüm bilgisayarlar için Windows Hello Güvenlik Anahtarlarını uzaktan AÇMA/KAPATMA kapasitesi sağlar.
Windows Holographic for Business desteği
Windows Holographic for Business, İş için Windows Hello için aşağıdaki ayarları destekler:
- Güvenilir Platform Modülü (TPM) kullanma
- Minimum PIN uzunluğu
- En fazla PIN uzunluğu
- PIN'de küçük harfler
- PIN'de büyük harfler
- PIN'teki özel karakterler
- PIN süre sonu (gün)
- PIN geçmişini anımsa
Sonraki adımlar
Windows belgelerinde aşağıdaki konulardan Windows Hello hakkında daha fazla bilgi edinin: