Udostępnij za pośrednictwem

Ustawienia profilu ochrony tożsamości w Intune dla Windows Hello dla firm

  • Artykuł

Ważna

W lipcu 2024 r. następujące profile Intune na potrzeby ochrony tożsamości i ochrony konta zostały przestarzałe i zastąpione nowym skonsolidowanym profilem o nazwie Ochrona konta. Ten nowszy profil znajduje się w węźle zasad ochrony konta zabezpieczeń punktu końcowego i jest jedynym szablonem profilu, który pozostaje dostępny do tworzenia nowych wystąpień zasad na potrzeby ochrony tożsamości i konta. Ustawienia z tego nowego profilu są również dostępne w katalogu ustawień.

Wszystkie utworzone przez Ciebie wystąpienia następujących starszych profilów pozostają dostępne do użycia i edycji:

  • Ochrona tożsamości — wcześniej dostępna w obszarzeKonfiguracja>urządzeń>Utwórz>nowe zasady>Windows 10 i nowsze>szablony>Ochrona tożsamości
  • Ochrona konta (wersja zapoznawcza) — wcześniej dostępna w usłudze Endpoint Security>Account Protection>Windows 10 i nowszej>ochrony konta (wersja zapoznawcza)

Uwaga

Intune może obsługiwać więcej ustawień niż ustawienia wymienione w tym artykule. Nie wszystkie ustawienia są udokumentowane i nie zostaną udokumentowane. Aby wyświetlić ustawienia, które można skonfigurować, utwórz zasady konfiguracji urządzenia i wybierz pozycję Katalog ustawień. Aby uzyskać więcej informacji, przejdź do katalogu ustawień.

W tym artykule opisano ustawienia Windows Hello dla firm, które można zarządzać przy użyciu profilu ochrony tożsamości. Profile ochrony tożsamości są częścią zasad konfiguracji urządzeń w Microsoft Intune. Jednak od lipca 2024 r. profile konfiguracji urządzeń dla ochrony tożsamości są zastępowane przez profile zabezpieczeń punktu końcowego na potrzeby ochrony konta. Chociaż można nadal używać wcześniej utworzonych profilów ochrony tożsamości, Intune nie obsługuje już tworzenia nowych wystąpień. Zamiast tego, aby zarządzać ustawieniami ochrony tożsamości, użyj zasad ochrony konta zabezpieczeń punktu końcowego.

Za pomocą profilu ochrony tożsamości można skonfigurować ustawienia dla odrębnych grup urządzeń Windows 10/11. Aby skonfigurować Windows Hello dla firm całej dzierżawy w ramach rejestracji urządzeń, zobacz Tworzenie zasad Windows Hello dla firm w temacie Integrowanie Windows Hello dla firm z Microsoft Intune.

W tym artykule opisano ustawienia zasad rejestracji.

Dodatkowe informacje o tych ustawieniach można znaleźć w temacie Konfigurowanie ustawień zasad Windows Hello dla firm w dokumentacji Windows Hello.

Windows Hello dla firm

Poniższe szczegóły ustawień dotyczą tylko szablonu profilu konfiguracji urządzenia dla ochrony tożsamości, który został wycofany w lipcu 2024 r.

  • Skonfiguruj Windows Hello dla firm:

    • Nie skonfigurowano (ustawienie domyślne) — wybierz to ustawienie, jeśli nie chcesz używać Intune do kontrolowania ustawień Windows Hello dla firm. Żadne istniejące ustawienia Windows Hello dla firm na urządzeniach Windows 10/11 nie są zmieniane. Wszystkie inne ustawienia w okienku są niedostępne.

    • Wyłącz — jeśli nie chcesz używać Windows Hello dla firm, wybierz to ustawienie. Wszystkie inne ustawienia na ekranie są wtedy niedostępne.

    • Włącz — wybierz to ustawienie, jeśli chcesz skonfigurować ustawienia Windows Hello dla firm.

    Po ustawieniu opcji Włącz dostępne są następujące ustawienia:

    • Minimalna długość numeru PIN
      Określ minimalną długość numeru PIN dla urządzeń z zakresu od 4 do 127 znaków. Domyślnie to ustawienie nie jest skonfigurowane.

    • Maksymalna długość numeru PIN
      Określ maksymalną długość numeru PIN dla urządzeń z zakresu od czterech do 127 znaków. Domyślnie to ustawienie nie jest skonfigurowane.

    • Małe litery w numerze PIN
      W razie potrzeby numer PIN użytkownika musi zawierać co najmniej jedną małą literę. Domyślnie to ustawienie nie jest skonfigurowane.

      • Niedozwolone — uniemożliwia użytkownikom używanie małych liter w numerze PIN. To zachowanie występuje również wtedy, gdy ustawienie nie jest skonfigurowane.
      • Dozwolone — zezwalaj użytkownikom na używanie małych liter w numerze PIN, ale nie jest to wymagane.
      • Wymagane — użytkownicy muszą zawierać co najmniej jedną małą literę w numerze PIN. Na przykład powszechną praktyką jest wymaganie co najmniej jednej wielkiej litery i jednego znaku specjalnego.

    • Wielkie litery w numerze PIN
      W razie potrzeby numer PIN użytkownika musi zawierać co najmniej jedną wielką literę. Domyślnie to ustawienie nie jest skonfigurowane.

      • Niedozwolone — blokuj użytkownikom możliwość używania wielkich liter w numerze PIN. To zachowanie występuje również wtedy, gdy ustawienie nie jest skonfigurowane.
      • Dozwolone — zezwalaj użytkownikom na używanie wielkich liter w numerze PIN, ale nie jest to wymagane.
      • Wymagane — użytkownicy muszą zawierać co najmniej jedną wielką literę w numerze PIN. Na przykład powszechną praktyką jest wymaganie co najmniej jednej wielkiej litery i jednego znaku specjalnego.

    • Znaki specjalne w numerze PIN
      W razie potrzeby numer PIN użytkownika musi zawierać co najmniej jeden znak specjalny. Znaki specjalne obejmują: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Niedozwolone (ustawienie domyślne) — uniemożliwia użytkownikom używanie znaków specjalnych w numerze PIN. To zachowanie występuje również wtedy, gdy ustawienie nie jest skonfigurowane.
      • Dozwolone — zezwalaj użytkownikom na używanie wielkich liter w numerze PIN, ale nie jest to wymagane.
      • Wymagane — użytkownicy muszą zawierać co najmniej jedną wielką literę w numerze PIN. Na przykład powszechną praktyką jest wymaganie co najmniej jednej wielkiej litery i jednego znaku specjalnego.

    • Wygaśnięcie numeru PIN (dni)
      Jeśli konfiguracja zostanie skonfigurowana, użytkownik będzie zmuszony do zmiany numeru PIN po określonej liczbie dni. Użytkownik może nadal proaktywnie zmieniać swój numer PIN przed wygaśnięciem. Domyślnie to ustawienie nie jest skonfigurowane.

    • Zapamiętywanie historii numeru PIN
      W przypadku skonfigurowania użytkownik nie będzie mógł ponownie użyć tej liczby poprzednich numerów PIN. Domyślnie to ustawienie nie jest skonfigurowane.

    • Włączanie odzyskiwania numeru PIN
      Umożliwia użytkownikowi korzystanie z usługi odzyskiwania numeru PIN Windows Hello dla firm.

      • Włącz — wpis tajny odzyskiwania numeru PIN jest przechowywany na urządzeniu, a użytkownik może w razie potrzeby zmienić swój numer PIN.
      • Nie skonfigurowano (wartość domyślna) — wpis tajny odzyskiwania nie jest tworzony ani przechowywany.

    • Korzystanie z modułu TPM (Trusted Platform Module)
      Mikroukład modułu TPM zapewnia dodatkową warstwę zabezpieczeń danych.

      • Włącz — tylko urządzenia z dostępnym modułem TPM mogą aprowizować Windows Hello dla firm.
      • Nie skonfigurowano (ustawienie domyślne) — urządzenia najpierw próbują użyć modułu TPM. Jeśli moduł TPM nie jest dostępny, może użyć szyfrowania oprogramowania.

    • Zezwalaj na uwierzytelnianie biometryczne
      Jeśli jest to dozwolone, Windows Hello dla firm może uwierzytelniać się przy użyciu gestów, takich jak twarz i odcisk palca. Użytkownicy muszą nadal konfigurować numer PIN w przypadku awarii.

      • Włącz — Windows Hello dla firm umożliwia uwierzytelnianie biometryczne.
      • Nie skonfigurowano (ustawienie domyślne) — Windows Hello dla firm uniemożliwia uwierzytelnianie biometryczne (dla wszystkich typów kont).

    • Używanie rozszerzonej ochrony przed fałszowaniem, jeśli jest dostępna
      Jeśli ta opcja jest włączona, urządzenia używają rozszerzonej ochrony przed fałszowaniem, jeśli jest dostępna (na przykład wykrywanie zdjęcia twarzy zamiast prawdziwej twarzy).

      • Włącz — system Windows wymaga, aby wszyscy użytkownicy korzystali z funkcji ochrony przed fałszowaniem twarzy, gdy jest to obsługiwane.
      • Nie skonfigurowano (ustawienie domyślne) — system Windows obsługuje konfiguracje chroniące przed fałszowaniem na urządzeniu.

    • Certyfikat dla zasobów lokalnych

      • Włącz — umożliwia Windows Hello dla firm używanie certyfikatów do uwierzytelniania w zasobach lokalnych.
      • Nie skonfigurowano (ustawienie domyślne) — uniemożliwia Windows Hello dla firm używanie certyfikatów do uwierzytelniania w zasobach lokalnych. Zamiast tego urządzenia używają domyślnego zachowania uwierzytelniania lokalnego zaufania kluczy. Aby uzyskać więcej informacji, zobacz Certyfikat użytkownika na potrzeby uwierzytelniania lokalnego w dokumentacji Windows Hello.

  • Używanie kluczy zabezpieczeń do logowania
    To ustawienie jest dostępne dla urządzeń z systemem Windows 10 wersji 1903 lub nowszej lub Windows 11. Służy do zarządzania obsługą korzystania z Windows Hello kluczy zabezpieczeń na potrzeby logowania.

    • Włącz — użytkownicy mogą używać klucza zabezpieczeń Windows Hello jako poświadczenia logowania dla komputerów objętych tymi zasadami.
    • Nie skonfigurowano — klucze zabezpieczeń są wyłączone, a użytkownicy nie mogą ich używać do logowania się na komputerach.

Następne kroki

Przypisywanie profilu i monitorowanie jego stanu