System Center Configuration Manager 的 Windows Hello 企業版設定

 

適用於: System Center Configuration Manager (current branch)

System Center Configuration Manager 可讓您整合 Windows Hello 企業版,其為 Windows 10 裝置的替代登入方式。 Windows Hello 企業版使用 Active Directory 或 Azure Active Directory 帳戶來取代密碼、智慧卡或虛擬智慧卡。

Windows Hello 企業版可讓您藉由使用者手勢登入,而不使用密碼。 使用者手勢可能是簡單的 PIN、生物識別驗證或外部裝置 (例如指紋辨識器)。

Configuration Manager 整合 Windows Hello 企業版的兩種方式:

  1. 在 Configuration Manager 主控台中,按一下 [系統管理] 。

  2. 在 [管理] 工作區中,展開 [雲端服務] ,然後按一下 [Microsoft Intune 訂閱] 。

  3. 從清單中選取您的 Microsoft Intune 訂閱,然後在 [首頁] 索引標籤的 [訂閱] 群組中,按一下 [設定平台] > [Windows (MDM)]

  4. [Microsoft Intune 訂閱內容] 對話方塊的 [Windows Hello 企業版] 索引標籤上,從下列值中進行選擇,即可對所有已註冊 Windows 10 裝置和 Windows 10 行動裝置版裝置發揮效力:

    • 停用註冊之裝置上的 Windows Hello 企業版啟用註冊之裝置上的 Windows Hello 企業版 - 在所有已註冊的 Windows 10 和 Windows 10 行動裝置版裝置上,啟用或停用 Windows Hello 企業版。

    • 使用信賴平台模組 (TPM) - 信賴平台模組 (TPM) 晶片提供額外一層資料安全性。 選擇下列其中一個值:

      • 必要 (預設) - 只有能存取 TPM 的裝置可以佈建 Windows Hello 企業版。

      • 慣用 - 第一次嘗試使用 TPM 的裝置。 如果無法使用此值,則可以使用軟體加密

    • 需要 PIN 碼長度下限 - 指定 Windows Hello 企業版的 PIN 所需字元數目下限。 您必須使用至少 4 個字元 (預設值是 6 個字元)。

    • 需要 PIN 碼長度上限 - 指定 Windows Hello 企業版的 PIN 允許字元數目上限。 您最多可以使用 127 個字元。

    • PIN 中需要有小寫字母 - 指定 Windows Hello 企業版的 PIN 是否必須使用小寫字母。 從下列選項進行選擇:

      • 允許 - 使用者可以在 PIN 中使用小寫字元。

      • 必要 - 使用者必須在 PIN 中包含至少一個小寫字元。

      • 不允許 (預設) - 使用者不得在 PIN 中使用小寫字元。

    • PIN 中需要有大寫字母 - 指定 Windows Hello 企業版的 PIN 是否必須使用大寫字母。 從下列選項進行選擇:

      • 允許 - 使用者可以在 PIN 中使用大寫字元。

      • 必要 - 使用者必須在 PIN 中包含至少一個大寫字元。

      • 不允許 (預設) - 使用者不得在 PIN 中使用大寫字元。

    • 需要特殊字元 - 指定在 PIN 中使用特殊字元的方式。 從下列選項進行選擇:

      • 允許 - 使用者可以在 PIN 中使用特殊字元。

      • 必要 - 使用者必須在 PIN 中包含至少一個特殊字元。

      • 不允許] (預設) - 使用者不得在 PIN 中使用特殊字元 (這也是在未進行設定時會採取的行為)。

      特殊字元包含:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    • 需要 PIN 碼期限 (天) - 指定必須變更裝置 PIN 的天數。 預設為 41 天。

    • 禁止重複使用舊 PIN 碼 - 使用此設定來限制重複使用先前用過的 PIN。 預設為不能重複使用最後 5 個使用過的 PIN。

    • 啟用生物識別手勢 - 啟用生物識別驗證 (例如臉部辨識或指紋) 以替代 Windows Hello 企業版的 PIN。 使用者仍然必須設定公司 PIN 以免生物識別驗證失敗。

      若設為 [已啟用],Windows Hello 企業版即允許生物識別驗證。 若設為 [已停用],Windows Hello 企業版會防止生物識別驗證 (針對所有帳戶類型)。

    • 使用進階防詐騙 (如可使用) - 設定是否在支援的裝置上使用進階防詐騙功能。

      若設為 [已啟用] ,Windows 即要求所有使用者在支援的情況下,使用臉部特徵防詐騙。

    • 使用遠端 Passport - 若此選項設為 [已啟用],使用者即可使用遠端 Windows Hello 企業版作為桌上型電腦驗證的可攜式配套裝置。 桌上型電腦必須已加入 Azure Active Directory,且配套裝置必須設有 Windows Hello 企業版的 PIN。

  5. 完成後,請按一下 [確定] 。

若您想要使用 Windows Hello 企業版憑證式登入或使用 Microsoft Hello,請進行下列設定:

  • Configuration Manager 憑證設定檔。

  • 在憑證設定檔中,選取使用智慧卡登入 EKU 的範本。

如需詳細資訊,請參閱 System Center Configuration Manager 中的憑證設定檔

請參閱

Protect data and site infrastructure with System Center Configuration Manager (使用 System Center Configuration Manager 保護資料和站台基礎結構)

Manage identity verification using Microsoft Passport (使用 Microsoft Passport 管理身分識別驗證)。

顯示: