Intune for Windows Hello 企业版中的标识保护配置文件设置

  • 项目

重要

2024 年 7 月,以下用于标识保护和帐户保护的 Intune 配置文件已弃用,并替换为名为 “帐户保护”的新合并配置文件。 此较新的配置文件位于终结点安全的帐户保护策略节点中,并且是唯一可用于为标识和帐户保护创建新策略实例的配置文件模板。 此新配置文件中的设置也可通过设置目录获得。

已创建的以下旧配置文件的任何实例仍可供使用和编辑:

  • 标识保护 - 以前可从 设备>配置>创建新>策略>Windows 10 及更高版本的>模板>标识保护
  • 帐户保护 (预览版) - 以前可从 终结点安全>帐户保护>Windows 10 及更高版本>使用帐户保护 ( 预览版)

注意

Intune 支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到设置目录

本文介绍可以使用标识保护配置文件管理的 Windows Hello 企业版设置。 标识保护配置文件是 Microsoft Intune 中的设备配置策略的一部分。 但是,从 2024 年 7 月起, 标识保护 的设备配置文件将替换为 帐户保护的终结点安全配置文件。 虽然可以继续使用之前创建的标识保护配置文件,但 Intune 不再支持创建新实例。 相反,若要管理标识保护的设置,请使用终结点安全 帐户保护策略

使用标识保护配置文件,可以在 Windows 10/11 设备的离散组上配置设置。 若要在租户范围内配置 Windows Hello 企业版,作为 设备注册的一部分,请参阅将 Windows Hello 企业与 Microsoft Intune 集成中的创建 Windows Hello 企业版策略。

本文介绍注册策略的设置。

可以在 配置 Windows Hello 企业版策略设置中找到有关这些设置的其他信息,请参阅 Windows Hello 文档。

Windows Hello 企业版

以下设置详细信息仅适用于标识保护的设备配置文件模板,该模板在 2024 年 7 月已弃用。

  • 配置 Windows Hello 企业版

    • 未配置 (默认) - 如果不想使用 Intune 控制 Windows Hello 企业版设置,请选择此设置。 不会更改 Windows 10/11 设备上的任何现有 Windows Hello 企业版设置。 窗格中的所有其他设置将不可用。

    • 禁用 - 如果不想使用 Windows Hello 企业版,请选择此设置。 然后,屏幕上的所有其他设置都不可用。

    • 启用 - 如果要配置 Windows Hello 企业版设置,请选择此设置。

    设置为 “启用”时,以下设置可用:

    • 最小 PIN 长度
      指定设备的最小 PIN 长度,介于 4 到 127 个字符之间。 默认情况下,此设置为 “未配置”。

    • 最大 PIN 长度
      指定设备的最大 PIN 长度,从 4 到 127 个字符。 默认情况下,此设置为 “未配置”。

    • 在 PIN 中使用小写字母
      如果需要,用户 PIN 必须至少包含一个小写字母。 默认情况下,此设置为 “未配置”。

      • 不允许 - 阻止用户在 PIN 中使用小写字母。 如果未配置设置,也会发生此行为。
      • 允许 - 允许用户在 PIN 中使用小写字母,但不是必需的。
      • 必需 - 用户必须在 PIN 中包含至少一个小写字母。 例如,常见的做法是要求包含至少一个大写字母和一个特殊字符。

    • 在 PIN 中使用大写字母
      如果需要,用户 PIN 必须至少包含一个大写字母。 默认情况下,此设置为 “未配置”。

      • 不允许 - 阻止用户在 PIN 中使用大写字母。 如果未配置设置,也会发生此行为。
      • 允许 - 允许用户在 PIN 中使用大写字母,但不是必需的。
      • 必需 - 用户必须在 PIN 中包含至少一个大写字母。 例如,常见的做法是要求包含至少一个大写字母和一个特殊字符。

    • 在 PIN 中使用特殊字符
      如果需要,用户 PIN 必须至少包含一个特殊字符。 特殊字符包括: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • 不允许 (默认) - 阻止用户在 PIN 中使用特殊字符。 如果未配置设置,也会发生此行为。
      • 允许 - 允许用户在 PIN 中使用大写字母,但不是必需的。
      • 必需 - 用户必须在 PIN 中包含至少一个大写字母。 例如,常见的做法是要求包含至少一个大写字母和一个特殊字符。

    • PIN 有效期(天数)
      如果已配置,则会强制用户在设置的天数后更改其 PIN。 用户仍然可以在过期前主动更改其 PIN。 默认情况下,此设置为 “未配置”。

    • 记住 PIN 历史记录
      如果已配置,用户将无法重复使用此数目的以前 PIN。 默认情况下,此设置为 “未配置”。

    • 启用 PIN 恢复
      允许用户使用 Windows Hello 企业版 PIN 恢复服务。

      • 启用 - PIN 恢复机密存储在设备上,用户可以根据需要更改其 PIN。
      • 未配置 (默认) - 不会创建或存储恢复机密。

    • 使用受信任的平台模块 (TPM)
      TPM 芯片额外提供了一层数据安全。

      • 启用 - 只有具有可访问 TPM 的设备才能预配 Windows Hello 企业版。
      • 未配置 (默认) - 设备首次尝试使用 TPM。 如果 TPM 不可用,则可以使用软件加密。

    • 允许生物识别身份验证
      如果允许,Windows Hello 企业版可以使用手势(如人脸和指纹)进行身份验证。 如果失败,用户仍必须配置 PIN。

      • 启用 - Windows Hello 企业版允许生物识别身份验证。
      • (默认) 配置 - Windows Hello 企业版会阻止所有帐户类型 () 生物识别身份验证。

    • 使用增强的反欺骗(如果可用)
      如果启用,设备将使用增强的反欺骗功能(如果可用 (例如,检测人脸的照片而不是真实人脸) 。

      • 启用 - Windows 要求所有用户在支持面部功能时对面部功能使用反欺骗功能。
      • 未配置 (默认) - Windows 遵循设备上的反欺骗配置。

    • 本地资源的证书

      • 启用 - 允许 Windows Hello 企业版使用证书对本地资源进行身份验证。
      • 未配置 (默认) - 阻止 Windows Hello 企业版使用证书对本地资源进行身份验证。 相反,设备使用 密钥信任本地身份验证的默认行为。 有关详细信息,请参阅 Windows Hello 文档中 用于本地身份验证的用户证书

  • 使用安全密钥进行登录
    此设置适用于运行 Windows 10 版本 1903 或更高版本或 Windows 11 的设备。 使用它来管理对使用 Windows Hello 安全密钥进行登录的支持。

    • 启用 - 用户可以将 Windows Hello 安全密钥用作针对此策略的电脑的登录凭据。
    • 未配置 - 安全密钥已禁用,用户无法使用它们登录到电脑。

后续步骤

分配配置文件监视其状态