Table of contents
TOC
折叠目录
展开目录

启用手机登录电脑或 VPN

J. Decker|上次更新日期: 2016/12/27
|
1 参与者

适用于

  • Windows 10
  • Windows 10 移动版

在 Windows 10 版本 1607 中,网络用户可以使用带 Windows Hello 的 Windows Phone 登录到电脑、连接到 VPN,以及在浏览器中登录 Office 365。 手机登录使用蓝牙,这意味着无需等待电话呼叫,只需解锁手机并点击应用即可。

登录设备

注意

手机登录当前限制为选择使用技术采用计划 (TAP) 的参与者。

可以创建组策略或移动设备管理 (MDM) 策略,这将允许用户使用存储在其 Windows 10 手机上的凭据登录到工作电脑或公司的 VPN。

先决条件

  • 手机和电脑都必须运行 Windows 10 版本 1607。
  • 电脑必须运行 Windows 10 专业版、企业版或教育版
  • 手机和电脑都必须具有蓝牙。
  • 必须在手机上安装了“Microsoft Authenticator”应用。
  • 电脑必须加入已连接到 Azure Active Directory (Azure AD) 域的 Active Directory 域,或者电脑必须加入 Azure AD。
  • 手机必须加入 Azure AD,或者已添加工作帐户。
  • VPN 配置文件必须使用基于证书的身份验证。

设置策略

若要启用手机登录,必须使用组策略或 MDM 启用以下策略。

  • 组策略:“计算机配置”或“用户配置” > “策略” > “管理模板” > “Windows 组件” > “Windows Hello 企业版”
    • 启用“使用 Windows Hello 企业版”
    • 启用“手机登录”
  • MDM:
    • 将“UsePassportForWork”设置为 True
    • 将“Remote\UseRemotePassport”设置为 True

配置 VPN

若要启用手机登录 VPN,必须针对手机登录启用策略,并确保 VPN 已配置为如下内容:

  • 对于内置 VPN,使用具有智能卡或其他证书 (TLS) EAP类型(也称为 EAP 传输级别安全 (EAP-TLS))的可扩展身份验证协议 (EAP) 来设置 VPN 配置文件。 若要以独占方式访问手机上的 VPN 证书,请在 EAP 筛选 XML 中,添加“EKU”和/或“颁发者”筛选以确保它仅选取远程 NGC 证书。
  • 对于通用 Windows 平台 (UWP) VPN 插件,基于远程 NGC 证书的第三方机制添加筛选条件。

获取应用

如果要分发“Microsoft Authenticator”应用,组织必须设置适用于企业的 Windows 应用商店,并且已将 Microsoft 添加为业务线 (LOB) 发布者

告诉用户如何使用他们的手机登录。

相关主题

使用 Windows Hello 企业版管理身份验证

在组织中实现 Windows Hello 企业版

PIN 优于密码的原因

使用户准备好使用 Windows Hello

Windows Hello 和密码更改

PIN 创建期间的 Windows Hello 错误

事件 ID 300 - Windows Hello 成功创建

企业中的 Windows Hello 生物识别

© 2017 Microsoft