Opis:

Za pomocą Microsoft Intune można utworzyć zasady dla całej dzierżawy, które konfigurują korzystanie z Windows Hello dla firm na urządzeniach Windows 10 lub Windows 11 w czasie rejestrowania tych urządzeń w Intune. Te zasady są przeznaczone dla całej organizacji i obsługują wbudowane środowisko rozwiązania Windows Autopilot (OOBE). W przypadku urządzeń Windows 10/11 użycie Windows Hello dla firm zastępuje używanie haseł silnym uwierzytelnianiem dwuskładnikowym na urządzeniach. To uwierzytelnianie składa się z poświadczeń użytkownika powiązanych z urządzeniem i używających danych biometrycznych lub numeru PIN.

Jeśli nie chcesz konfigurować zasad dla całej dzierżawy dla Windows Hello dla firm, możesz użyć profilu ochrony tożsamości konfiguracji urządzenia, aby skonfigurować grupy urządzeń dla Windows Hello.

Konfiguracja:

• Zaloguj się do centrum administracyjnego Microsoft Intune.

• Przejdź do pozycji Urządzenia Rejestrowanie -> urządzeń -> Rejestracja -> systemu Windows Windows Hello dla firm. Zostanie otwarte okienko Windows Hello dla firm.

• Wybierz jedną z następujących opcji, aby skonfigurować Windows Hello dla firm:

- Włączone. Wybierz to ustawienie, jeśli chcesz skonfigurować ustawienia Windows Hello dla firm. Po wybraniu pozycji Włączone inne ustawienia dla Windows

Hello są widoczne i można je skonfigurować dla urządzeń.

- Wyłączone. Jeśli nie chcesz włączać Windows Hello dla firm podczas rejestracji urządzenia, wybierz tę opcję. Po wyłączeniu użytkownicy nie mogą

aprowizować Windows Hello dla firm. Po ustawieniu opcji Wyłączone nadal można skonfigurować kolejne ustawienia dla Windows Hello dla firm, mimo że te

zasady nie będą włączać Windows Hello dla firm.

- Nie skonfigurowano. Wybierz to ustawienie, jeśli nie chcesz używać Intune do kontrolowania ustawień Windows Hello dla firm. Żadne istniejące ustawienia

Windows Hello dla firm na urządzeniach 10/11 nie są zmieniane. Wszystkie inne ustawienia w okienku są niedostępne.

• Jeśli w poprzednim kroku wybrano opcję Włączone, skonfiguruj wymagane ustawienia, które są stosowane do wszystkich zarejestrowanych urządzeń Windows 10/11. Po skonfigurowaniu tych ustawień wybierz pozycję Zapisz.

- Użyj modułu TPM (Trusted Platform Module):

Mikroukład modułu TPM zapewnia kolejną warstwę zabezpieczeń danych. Wybierz jedną z następujących wartości:

Wymagane (wartość domyślna). Tylko urządzenia z dostępnym modułem TPM mogą aprowizować Windows Hello dla firm.

Preferowane. Urządzenia najpierw próbują użyć modułu TPM. Jeśli ta opcja nie jest dostępna, mogą użyć szyfrowania oprogramowania.

- Minimalna długość numeru PIN i maksymalna długość numeru PIN:

Konfiguruje urządzenia tak, aby używały określonych minimalnych i maksymalnych długości numeru PIN w celu zapewnienia bezpiecznego logowania.

Domyślna długość numeru PIN to sześć znaków, ale można wymusić minimalną długość czterech znaków. Maksymalna długość numeru PIN wynosi 127

znaków.

- Małe litery w numerze PIN, wielkie litery w numerze PIN i znaki specjalne w numerze PIN.

Możesz wymusić silniejszy numer PIN, wymagając użycia wielkich liter, małych liter i znaków specjalnych w numerze PIN. Dla każdego wybierz pozycję z:

Dozwolone. Użytkownicy mogą używać typu znaku w numerze PIN, ale nie jest to obowiązkowe.

Wymagane. Użytkownicy muszą uwzględnić co najmniej jeden z typów znaków w numerze PIN. Na przykład powszechną praktyką jest wymaganie co

najmniej jednej wielkiej litery i jednego znaku specjalnego.

Niedozwolone (wartość domyślna). Użytkownicy nie mogą używać tych typów znaków w numerze PIN. (Jest to również zachowanie, jeśli ustawienie nie

jest skonfigurowane).

Znaki specjalne to: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

- Wygaśnięcie numeru PIN (dni)::

Dobrym rozwiązaniem jest określenie okresu wygaśnięcia numeru PIN, po którym użytkownicy muszą go zmienić. Wartość domyślna to 41 dni.

- Pamiętaj historię numeru PIN:

Ogranicza ponowne użycie wcześniej używanych numerów PIN. Domyślnie nie można użyć ostatnich 5 numerów PIN.

- Zezwalaj na uwierzytelnianie biometryczne:

Umożliwia uwierzytelnianie biometryczne, takie jak rozpoznawanie twarzy lub odcisk palca, jako alternatywę dla numeru PIN dla Windows Hello dla firm.

Użytkownicy muszą nadal konfigurować służbowy numer PIN w przypadku niepowodzenia uwierzytelniania biometrycznego. Wybierz jedną z

następujących opcji:

Tak. Windows Hello dla firm umożliwia uwierzytelnianie biometryczne.

Nie. Windows Hello dla firm uniemożliwia uwierzytelnianie biometryczne (dla wszystkich typów kont).

- Użyj rozszerzonej ochrony przed fałszowaniem, jeśli jest dostępna:

Określa, czy funkcje ochrony przed fałszowaniem Windows Hello są używane na obsługiwanych urządzeniach. Na przykład wykrywanie zdjęcia twarzy

zamiast prawdziwej twarzy. Po ustawieniu opcji Tak system Windows wymaga, aby wszyscy użytkownicy korzystali z funkcji ochrony przed fałszowaniem

twarzy, gdy jest to obsługiwane.

- Zezwalaj na logowanie telefoniczne:

Jeśli ta opcja jest ustawiona na Wartość Tak, użytkownicy mogą używać paszportu zdalnego, aby służyć jako przenośne urządzenie towarzyszące do

wierzytelniania komputera stacjonarnego. Komputer stacjonarny musi być przyłączony do usługi Azure Active Directory, a urządzenie towarzyszące musi

być skonfigurowane przy użyciu numeru PIN Windows Hello dla firm.

- Użyj kluczy zabezpieczeń na potrzeby logowania:

Po ustawieniu opcji Włącz to ustawienie zapewnia pojemność zdalnego włączania/wyłączania Windows Hello kluczy zabezpieczeń dla wszystkich

komputerów w organizacji klienta.