仅限云的部署指南

项目
07/04/2024
适用于:

✅ Windows 11, ✅ Windows 10

本文介绍适用于以下应用的 Windows Hello 企业版功能或方案：

部署类型：
联接类型：Microsoft Entra 加入

要求

在开始部署之前，请查看规划 Windows Hello 企业版部署一文中所述的要求。

在开始之前，请确保满足以下要求：

部署步骤

满足先决条件后，部署 Windows Hello 企业版包括以下步骤：

配置 Windows Hello 企业版策略设置
注册 Windows Hello 企业版

配置 Windows Hello 企业版策略设置

当你Microsoft Entra 加入设备时，系统会尝试在 Windows Hello 企业版中自动注册你。如果要在具有默认设置的仅限云环境中使用 Windows Hello 企业版，则无需进行额外的配置。

仅限云的部署在 Windows Hello 企业版注册期间使用 Microsoft Entra 多重身份验证 (MFA) ，无需进行其他 MFA 配置。如果你尚未在 MFA 中注册，则会在 Windows Hello 企业版注册过程中指导你完成 MFA 注册。

可以通过配置服务提供商 (CSP) 或组策略 (GPO) ，将策略设置配置为控制 Windows Hello 企业版的行为。在仅限云的部署中，设备通常通过 MDM 解决方案（如 Microsoft Intune）使用 PassportForWork CSP 进行配置。

注意

查看使用 Microsoft Intune 配置 Windows Hello 企业版一文，了解 Microsoft Intune 为配置 Windows Hello 企业版提供的不同选项。

如果 Intune 租户范围策略配置为 禁用 Windows Hello 企业版，或者如果设备部署时禁用了 Windows Hello，则必须配置一个策略设置来启用 Windows Hello 企业版：

使用 Windows Hello 企业版

另一个可选但建议的策略设置是：

使用硬件安全设备

按照以下说明使用 Microsoft Intune 或组策略 (GPO) 配置设备。

Intune/CSP
GPO

若要使用 Microsoft Intune 配置设备，请创建设置目录策略并使用以下设置：

类别	设置名称	值
Windows Hello 企业版	使用 Passport for Work	true
Windows Hello 企业版	需要安全设备	true

将策略分配给一个组，该组包含要配置的设备或用户作为成员。

或者，可以使用 PassportForWork CSP 的自定义策略配置设备。

设置
- OMA-URI：`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork` - 数据类型：`bool` - 价值：`True`
- OMA-URI：`./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice` - 数据类型：`bool` - 价值：`True`

若要使用组策略配置设备，请使用本地组策略编辑器。

组策略路径	组策略设置	值
计算机配置\管理模板\Windows 组件\Windows Hello 企业版或用户配置\管理模板\Windows 组件\Windows Hello 企业版	使用 Windows Hello 企业版	Enabled
计算机配置\管理模板\Windows 组件\Windows Hello 企业版	使用硬件安全设备	Enabled

提示

如果使用 Microsoft Intune，并且未使用租户范围策略，请启用注册状态页 (ESP) ，以确保设备在用户可以访问其桌面之前接收 Windows Hello 企业版策略设置。有关 ESP 的详细信息，请参阅设置注册状态页。

可以将更多策略设置配置为控制 Windows Hello 企业版的行为。有关详细信息，请参阅 Windows Hello 企业版策略设置。

注册 Windows Hello 企业版

如果通过了某些先决条件检查，Windows Hello 企业版预配过程会在用户登录后立即开始。

用户体验

用户登录后，Windows Hello 企业版注册过程将开始：

如果设备支持生物识别身份验证，系统会提示用户设置生物识别手势。此手势可用于解锁设备，并向需要 Windows Hello 企业版的资源进行身份验证。如果用户不想设置生物识别手势，则可以跳过此步骤
系统会提示用户使用组织帐户的 Windows Hello。用户选择 “确定”
预配流将转到注册的多重身份验证部分。预配会通知用户，它正积极尝试通过配置的 MFA 形式与用户联系。在身份验证成功、失败或超时之前，预配过程不会继续。MFA 失败或超时会导致错误，并要求用户重试
MFA 成功之后, 预配流程将要求用户创建并验证 PIN。此 PIN 必须观察设备上配置的任何 PIN 复杂性策略
预配的其余部分包括为用户请求非对称密钥对的 Windows Hello 企业版，最好通过 TPM（或在通过策略显式设置时需要）。获取密钥对后，Windows 将与 IdP 通信以注册公钥。密钥注册完成后，Windows Hello 企业版预配会通知用户他们可以使用其 PIN 进行登录。用户可以关闭预配应用程序并访问其桌面

序列图

若要更好地了解预配流，请根据身份验证类型查看以下序列图：

若要更好地了解身份验证流，请查看以下序列图：

Microsoft Entra 将身份验证加入到 Microsoft Entra ID

禁用自动注册

如果要禁用自动 Windows Hello 企业版注册，可以使用策略设置或注册表项配置设备。有关详细信息，请参阅禁用 Windows Hello 企业版注册。

注意

在 (OOBE) Microsoft Entra 加入流的现成体验中，如果没有 Intune，系统会引导你注册 Windows Hello 企业版。无需注册 Windows Hello 企业版，即可取消 PIN 屏幕并访问桌面。

通过