Внедрение Microsoft Passport в вашей организации
Вы можете создать групповую политику или политику управления мобильными устройствами (MDM), которая внедрит службу Microsoft Passport на устройства под управлением Windows 10.
Важно
Параметр групповой политики Включить вход с помощью ПИН-кода не применяется в Windows 10. Для управления ПИН-кодом используйте параметры политики Microsoft Passport для работы.
Параметры групповой политики для Passport
В указанной ниже таблице представлены параметры групповой политики, которые можно настроить, чтобы использовать Passport на рабочем месте. Путь к этим параметрам политики: Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Microsoft Passport для работы.
Политика | Параметры | |
---|---|---|
Использование Microsoft Passport for Work |
Не задана: пользователи могут подготовить службу Passport for Work, которая шифрует их пароль к домену. Включена: устройство подготавливает Passport for Work с помощью ключей или сертификатов для всех пользователей. Отключена: устройство не подготавливает Passport for Work для какого-либо пользователя. | |
Использование устройства аппаратной защиты |
Не задана: служба Passport for Work будет подготовлена с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если доверенный платформенный модуль недоступен. Включена: служба Passport for Work будет подготовлена с помощью доверенного платформенного модуля. Отключена: служба Passport for Work будет подготовлена с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если доверенный платформенный модуль недоступен. | |
Использование биометрии |
Не задана: биометрию можно использовать при жестах вместо ПИН-кода. Включена: биометрию можно использовать при жестах вместо ПИН-кода. Отключена: при жестах может использоваться только ПИН-код. | |
Сложность ПИН-кода | Использование цифр |
Не задана: пользователи должны включить цифру в свой ПИН-код. Включена: пользователи должны включить цифру в свой ПИН-код. Отключена: пользователи не могут использовать цифры в своем ПИН-коде. |
Использование строчных букв |
Не задана: пользователи не могут использовать строчные буквы в своем ПИН-коде. Включена: пользователи должны включить в свой ПИН-код хотя бы одну строчную букву. Отключена: пользователи не могут использовать строчные буквы в своем ПИН-коде. | |
Максимальная длина PIN-кода |
Не задана: длина ПИН-кода должна быть меньше или равна 127. Включена: длина ПИН-кода должна быть меньше или равна указанному вами числу. Отключена: длина ПИН-кода должна быть меньше или равна 127. | |
Минимальная длина PIN-кода |
Не задана: длина ПИН-кода должна быть больше или равна 4. Включена: длина ПИН-кода должна быть больше или равна указанному вами числу. Отключена: длина ПИН-кода должна быть больше или равна 4. | |
Срок действия |
Не задана: ПИН-код действует бессрочно. Включена: задается срок действия ПИН-кода в днях (от 1 до 730). Чтобы ПИН-код действовал бессрочно, задайте этой политике значение 0. Отключена: ПИН-код действует бессрочно. | |
Журнал |
Не задана: предыдущие ПИН-коды не сохраняются. Включена: задается количество предыдущих ПИН-кодов, связанных с учетной записью пользователя, повторное использование которых недопустимо. Отключена: предыдущие ПИН-коды не сохраняются. Примечание Текущий ПИН-код включен в журнал ПИН-кодов. | |
Использование специальных символов |
Не задана: пользователи не могут включать специальный знак в свой ПИН-код. Включена: пользователи должны включить в свой ПИН-код хотя бы один специальный знак. Отключена: пользователи не могут включать специальный знак в свой ПИН-код. | |
Использование прописных букв |
Не задана: пользователи не могут включать прописную букву в свой ПИН-код. Включена: пользователи должны включить в свой ПИН-код хотя бы одну прописную букву. Отключена: пользователи не могут включать прописную букву в свой ПИН-код. | |
Удаленный доступ к Passport |
Использование удаленного доступа к Passport Примечание Относится только к настольным компьютерам. Функция входа через телефон в настоящее время доступна только отдельным участникам программы принятия технологий (TAP). |
Не задана: удаленный доступ к Passport отключен. Включена: пользователи могут использовать мобильное зарегистрированное устройство в качестве вспомогательного устройства для прохождения проверки подлинности на настольном компьютере. Отключена: удаленный доступ к Passport отключен. |
Параметры политики управления мобильными устройствами для Passport
В указанной ниже таблице представлены параметры политики управления мобильными устройствами (MDM), которые можно настроить для использования Passport на рабочем месте. Для этих параметров политики MDM используется поставщик службы конфигурации (CSP) PassportForWork.
Политика | Область | Значение по умолчанию | Параметры | |
---|---|---|---|---|
UsePassportForWork | Устройство | Истина |
Истина: служба Passport подготавливается для всех пользователей на устройстве. Ложь: пользователи не смогут подготовить Passport. Примечание Если служба Passport включена и параметр политики меняется на значение False (Ложь), то пользователи, которые ранее настраивали Passport, смогут и дальше использовать эту службу, но не смогут настроить ее на других устройствах. | |
RequireSecurityDevice | Устройство | False |
True: служба Passport будет подготовлена с помощью доверенного платформенного модуля. False: служба Passport будет подготовлена с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если доверенный платформенный модуль недоступен. | |
Biometrics |
UseBiometrics | Устройство | False |
True: биометрию можно использовать при жестах вместо ПИН-кода для входа в домен. False: ПИН-код можно использовать при жестах для входа в домен. |
FacialFeaturesUser EnhancedAntiSpoofing | Устройство | Не настроено |
Не настроено: пользователи могут выбрать, включить улучшенную защиту от подделок или нет. True: улучшенная защита от подделок требуется на устройствах, которые поддерживают эту функцию. False: пользователи не смогут включать улучшенную защиту от подделок. | |
PINComplexity | ||||
Цифры | Устройство или пользователь | 2 |
1: использование цифр не допускается; 2: требуется по крайней мере одна цифра. | |
Строчные буквы | Устройство или пользователь | 1 |
1: строчные буквы не разрешены; 2: требуется по крайней мере одна строчная буква. | |
Максимальная длина ПИН-кода | Устройство или пользователь | 127 |
Максимальная длина, которую можно установить, равна 127. Максимальная длина не может быть меньше установленной минимальной. | |
Минимальная длина PIN-кода | Устройство или пользователь | 4 |
Минимальная длина, которую можно установить, равна 4. Минимальная длина не может превышать установленную максимальную. | |
Срок действия | Устройство или пользователь | 0 |
Целое число, представляющее собой период в днях, в течение которого используется ПИН-код, прежде чем для пользователя отобразится запрос о его изменении. Максимальное значение для этого параметра политики — 730. Минимальное значение для этого параметра политики — 0. Если значение этой политики равно 0, ПИН-код пользователя будет действовать бессрочно. | |
Журнал | Устройство или пользователь | 0 |
Целое число, которое определяет количество прошлых ПИН-кодов, связанных с учетной записью пользователя, повторное использование которых недопустимо. Максимальное значение для этого параметра политики — 50. Минимальное значение для этого параметра политики — 0. Если значение этой политики равно 0, предыдущие ПИН-коды не сохраняются. | |
Специальные знаки | Устройство или пользователь | 1 |
1: специальные знаки не разрешены; 2: требуется по крайней мере один специальный знак. | |
Прописные буквы | Устройство или пользователь | 1 |
1: прописные буквы не разрешены; 2: требуется по крайней мере одна прописная буква. | |
Remote |
UseRemotePassport Примечание Относится только к настольным компьютерам. Функция входа через телефон в настоящее время доступна только отдельным участникам программы принятия технологий (TAP). | Устройство или пользователь | False |
True: удаленный доступ к Passport включен. False: удаленный доступ к Passport отключен. |
Примечание
Если политика не настроена на явное требование букв или специальных знаков, пользователи будут ограничены созданием числового PIN-кода.
Необходимые условия
Для установки политик Microsoft Passport в вашей организации понадобится следующее программное обеспечение.
Режим Microsoft Passport | Azure AD | Локальная служба Active Directory (AD) (доступна в рабочем выпуске Windows Server 2016 Technical Preview) | Гибридная Azure AD/AD (доступна в рабочем выпуске Windows Server 2016 Technical Preview) |
---|---|---|---|
Проверка подлинности на основе ключей | Подписка на Azure AD |
|
|
Проверка подлинности на основе сертификатов |
|
|
|
Configuration Manager и MDM предоставляют возможность управления политикой Passport, а также развертывания и управления сертификатами, защищенными службой Passport.
Azure AD предоставляет возможность регистрации устройств в организации и подготовки Passport для учетных записей организации.
Active Directory предоставляет возможность авторизации пользователей и устройств с помощью ключей с защитой Passport, если контроллеры домена находятся под управлением Windows 10 и служба подготовки Microsoft Passport работает в Windows 10 AD FS.
Passport для BYOD
Службой Passport можно управлять на персональных устройствах, которыми пользуются сотрудники с помощью MDM. На личных устройствах пользователи могут создать собственный ПИН-код службы Passport для разблокировки устройства и отдельный ПИН-код для доступа к рабочим ресурсам.
Управление рабочим ПИН-кодом происходит с помощью тех же политик службы Passport, которые вы используете для управления службой Passport на корпоративных устройствах. Управление личным ПИН-кодом осуществляется отдельно с помощью политики DeviceLock. Политику DeviceLock можно использовать для отслеживания требований, касающихся длины, сложности, журнала и срока действия, и настраивать с помощью поставщика службы конфигурации политики.
Связанные разделы
Биометрия Windows Hello на предприятии
Управление проверкой личности с помощью Microsoft Passport
Подготовка пользователей к использованию Microsoft Passport
Microsoft Passport и изменения пароля