Внедрение Microsoft Passport в вашей организации

  • Статья

Вы можете создать групповую политику или политику управления мобильными устройствами (MDM), которая внедрит службу Microsoft Passport на устройства под управлением Windows 10.

Важно  

Параметр групповой политики Включить вход с помощью ПИН-кода не применяется в Windows 10. Для управления ПИН-кодом используйте параметры политики Microsoft Passport для работы.

 

Параметры групповой политики для Passport

В указанной ниже таблице представлены параметры групповой политики, которые можно настроить, чтобы использовать Passport на рабочем месте. Путь к этим параметрам политики: Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Microsoft Passport для работы.

ПолитикаПараметры
Использование Microsoft Passport for Work

Не задана: пользователи могут подготовить службу Passport for Work, которая шифрует их пароль к домену.

Включена: устройство подготавливает Passport for Work с помощью ключей или сертификатов для всех пользователей.

Отключена: устройство не подготавливает Passport for Work для какого-либо пользователя.

Использование устройства аппаратной защиты

Не задана: служба Passport for Work будет подготовлена с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если доверенный платформенный модуль недоступен.

Включена: служба Passport for Work будет подготовлена с помощью доверенного платформенного модуля.

Отключена: служба Passport for Work будет подготовлена с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если доверенный платформенный модуль недоступен.

Использование биометрии

Не задана: биометрию можно использовать при жестах вместо ПИН-кода.

Включена: биометрию можно использовать при жестах вместо ПИН-кода.

Отключена: при жестах может использоваться только ПИН-код.

Сложность ПИН-кодаИспользование цифр

Не задана: пользователи должны включить цифру в свой ПИН-код.

Включена: пользователи должны включить цифру в свой ПИН-код.

Отключена: пользователи не могут использовать цифры в своем ПИН-коде.

Использование строчных букв

Не задана: пользователи не могут использовать строчные буквы в своем ПИН-коде.

Включена: пользователи должны включить в свой ПИН-код хотя бы одну строчную букву.

Отключена: пользователи не могут использовать строчные буквы в своем ПИН-коде.

Максимальная длина PIN-кода

Не задана: длина ПИН-кода должна быть меньше или равна 127.

Включена: длина ПИН-кода должна быть меньше или равна указанному вами числу.

Отключена: длина ПИН-кода должна быть меньше или равна 127.

Минимальная длина PIN-кода

Не задана: длина ПИН-кода должна быть больше или равна 4.

Включена: длина ПИН-кода должна быть больше или равна указанному вами числу.

Отключена: длина ПИН-кода должна быть больше или равна 4.

Срок действия

Не задана: ПИН-код действует бессрочно.

Включена: задается срок действия ПИН-кода в днях (от 1 до 730). Чтобы ПИН-код действовал бессрочно, задайте этой политике значение 0.

Отключена: ПИН-код действует бессрочно.

Журнал

Не задана: предыдущие ПИН-коды не сохраняются.

Включена: задается количество предыдущих ПИН-кодов, связанных с учетной записью пользователя, повторное использование которых недопустимо.

Отключена: предыдущие ПИН-коды не сохраняются.

Примечание  Текущий ПИН-код включен в журнал ПИН-кодов.
 
Использование специальных символов

Не задана: пользователи не могут включать специальный знак в свой ПИН-код.

Включена: пользователи должны включить в свой ПИН-код хотя бы один специальный знак.

Отключена: пользователи не могут включать специальный знак в свой ПИН-код.

Использование прописных букв

Не задана: пользователи не могут включать прописную букву в свой ПИН-код.

Включена: пользователи должны включить в свой ПИН-код хотя бы одну прописную букву.

Отключена: пользователи не могут включать прописную букву в свой ПИН-код.

Удаленный доступ к Passport

Использование удаленного доступа к Passport

Примечание  Относится только к настольным компьютерам. Функция входа через телефон в настоящее время доступна только отдельным участникам программы принятия технологий (TAP).
 

Не задана: удаленный доступ к Passport отключен.

Включена: пользователи могут использовать мобильное зарегистрированное устройство в качестве вспомогательного устройства для прохождения проверки подлинности на настольном компьютере.

Отключена: удаленный доступ к Passport отключен.

 

Параметры политики управления мобильными устройствами для Passport

В указанной ниже таблице представлены параметры политики управления мобильными устройствами (MDM), которые можно настроить для использования Passport на рабочем месте. Для этих параметров политики MDM используется поставщик службы конфигурации (CSP) PassportForWork.

ПолитикаОбластьЗначение по умолчаниюПараметры
UsePassportForWorkУстройствоИстина

Истина: служба Passport подготавливается для всех пользователей на устройстве.

Ложь: пользователи не смогут подготовить Passport.

Примечание  Если служба Passport включена и параметр политики меняется на значение False (Ложь), то пользователи, которые ранее настраивали Passport, смогут и дальше использовать эту службу, но не смогут настроить ее на других устройствах.
 
RequireSecurityDeviceУстройствоFalse

True: служба Passport будет подготовлена с помощью доверенного платформенного модуля.

False: служба Passport будет подготовлена с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если доверенный платформенный модуль недоступен.

Biometrics

UseBiometrics

Устройство False

True: биометрию можно использовать при жестах вместо ПИН-кода для входа в домен.

False: ПИН-код можно использовать при жестах для входа в домен.

FacialFeaturesUser

EnhancedAntiSpoofing

УстройствоНе настроено

Не настроено: пользователи могут выбрать, включить улучшенную защиту от подделок или нет.

True: улучшенная защита от подделок требуется на устройствах, которые поддерживают эту функцию.

False: пользователи не смогут включать улучшенную защиту от подделок.

PINComplexity
ЦифрыУстройство или пользователь2

1: использование цифр не допускается;

2: требуется по крайней мере одна цифра.

Строчные буквыУстройство или пользователь1

1: строчные буквы не разрешены;

2: требуется по крайней мере одна строчная буква.

Максимальная длина ПИН-кодаУстройство или пользователь127

Максимальная длина, которую можно установить, равна 127. Максимальная длина не может быть меньше установленной минимальной.

Минимальная длина PIN-кодаУстройство или пользователь4

Минимальная длина, которую можно установить, равна 4. Минимальная длина не может превышать установленную максимальную.

Срок действияУстройство или пользователь0

Целое число, представляющее собой период в днях, в течение которого используется ПИН-код, прежде чем для пользователя отобразится запрос о его изменении. Максимальное значение для этого параметра политики — 730. Минимальное значение для этого параметра политики — 0. Если значение этой политики равно 0, ПИН-код пользователя будет действовать бессрочно.

ЖурналУстройство или пользователь0

Целое число, которое определяет количество прошлых ПИН-кодов, связанных с учетной записью пользователя, повторное использование которых недопустимо. Максимальное значение для этого параметра политики — 50. Минимальное значение для этого параметра политики — 0. Если значение этой политики равно 0, предыдущие ПИН-коды не сохраняются.

Специальные знакиУстройство или пользователь1

1: специальные знаки не разрешены;

2: требуется по крайней мере один специальный знак.

Прописные буквыУстройство или пользователь1

1: прописные буквы не разрешены;

2: требуется по крайней мере одна прописная буква.

Remote

UseRemotePassport

Примечание  Относится только к настольным компьютерам. Функция входа через телефон в настоящее время доступна только отдельным участникам программы принятия технологий (TAP).
 
Устройство или пользовательFalse

True: удаленный доступ к Passport включен.

False: удаленный доступ к Passport отключен.

 

Примечание  

Если политика не настроена на явное требование букв или специальных знаков, пользователи будут ограничены созданием числового PIN-кода.

 

Необходимые условия

Для установки политик Microsoft Passport в вашей организации понадобится следующее программное обеспечение.

Режим Microsoft Passport Azure AD Локальная служба Active Directory (AD) (доступна в рабочем выпуске Windows Server 2016 Technical Preview) Гибридная Azure AD/AD (доступна в рабочем выпуске Windows Server 2016 Technical Preview)
Проверка подлинности на основе ключей Подписка на Azure AD
  • Служба федерации Active Directory (AD FS) (Windows Server 2016 Technical Preview)
  • Несколько контроллеров домена Windows Server 2016 Technical Preview на локальных ресурсах
  • Microsoft System Center 2012 R2 Configuration Manager с пакетом обновления 2 (SP2)
  • Подписка на Azure AD
  • Подключение к Azure AD
  • Несколько контроллеров домена Windows Server 2016 Technical Preview на локальных ресурсах
  • Решение для управления, такое как диспетчер конфигураций, групповая политика или MDM
  • Службы сертификатов Active Directory (AD CS) без службы регистрации сертификатов для сетевых устройств (NDES)
Проверка подлинности на основе сертификатов
  • Подписка на Azure AD
  • Intune или стороннее решение для управления мобильными устройствами (MDM)
  • Инфраструктура PKI
  • ADFS (Windows Server 2016 Technical Preview)
  • Схема доменных служб Active Directory (AD DS) Windows Server 2016 Technical Preview
  • Инфраструктура PKI
  • Configuration Manager с пакетом обновления 2 (SP2), Intune или стороннее решение MDM
  • Подписка на Azure AD
  • Подключение к Azure AD
  • Служба сертификатов Active Directory со службой регистрации сертификатов для сетевых устройств
  • Configuration Manager (current branch), Configuration Manager 2016 Technical Preview для регистрации присоединенных к домену сертификатов, InTune для устройств, не присоединенных к домену, или сторонняя служба MDM с поддержкой Passport for Work

 

Configuration Manager и MDM предоставляют возможность управления политикой Passport, а также развертывания и управления сертификатами, защищенными службой Passport.

Azure AD предоставляет возможность регистрации устройств в организации и подготовки Passport для учетных записей организации.

Active Directory предоставляет возможность авторизации пользователей и устройств с помощью ключей с защитой Passport, если контроллеры домена находятся под управлением Windows 10 и служба подготовки Microsoft Passport работает в Windows 10 AD FS.

Passport для BYOD

Службой Passport можно управлять на персональных устройствах, которыми пользуются сотрудники с помощью MDM. На личных устройствах пользователи могут создать собственный ПИН-код службы Passport для разблокировки устройства и отдельный ПИН-код для доступа к рабочим ресурсам.

Управление рабочим ПИН-кодом происходит с помощью тех же политик службы Passport, которые вы используете для управления службой Passport на корпоративных устройствах. Управление личным ПИН-кодом осуществляется отдельно с помощью политики DeviceLock. Политику DeviceLock можно использовать для отслеживания требований, касающихся длины, сложности, журнала и срока действия, и настраивать с помощью поставщика службы конфигурации политики.

Связанные разделы

Биометрия Windows Hello на предприятии

Почему ПИН-код лучше пароля

Управление проверкой личности с помощью Microsoft Passport

Подготовка пользователей к использованию Microsoft Passport

Microsoft Passport и изменения пароля

Ошибки Microsoft Passport во время создания ПИН-кода

Идентификатор события 300 — паспорт создан успешно