僅限雲端部署指南

本文說明適用於下列專案的 Windows Hello 企業版功能或案例：

• 部署類型：雲端來完成
• 聯結類型：Microsoft加入 Entra

需求

開始部署之前，請檢閱 規劃 Windows Hello 企業版部署一 文中所述的需求。

開始之前，請確定符合下列需求：

部署步驟

設定 Windows Hello 企業版原則設定

當您Microsoft加入裝置時，系統會嘗試在 Windows Hello 企業版中自動註冊您。 如果您想要在僅限雲端的環境中使用 Windows Hello 企業版及其預設設定，則不需要額外的設定。

僅限雲端部署會在 Windows Hello 企業版註冊期間使用 Microsoft Entra 多重要素驗證 (MFA) ，而且不需要其他 MFA 設定。 如果您尚未在 MFA 中註冊，系統會在 Windows Hello 企業版註冊程式中引導您完成 MFA 註冊。

原則設定可以設定為透過設定服務提供者 (CSP) 或組策略 (GPO) 來控制 Windows Hello 企業版的行為。 在僅限雲端的部署中，裝置通常是透過 MDM 解決方案來設定，例如使用 PassportForWork CSP Microsoft Intune。

如果 Intune 全租使用者原則設定為 停用 Windows Hello 企業版，或如果裝置已停用 Windows Hello 部署，您必須設定一個原則設定以啟用 Windows Hello 企業版：

• 使用 Windows Hello 企業版

另一個選擇性但建議的原則設定如下：

• 使用硬體安全性裝置

請遵循下列指示，使用 Microsoft Intune 或組策略 (GPO) 來設定您的裝置。

您可以設定更多原則設定來控制 Windows Hello 企業版的行為。 如需詳細資訊，請參閱 Windows Hello 企業版原則設定。

在 Windows Hello 企業版中註冊

如果通過特定必要條件檢查，Windows Hello 企業版布建程式會在使用者登入后立即開始。

使用者體驗

使用者登入之後，Windows Hello 企業版註冊程式就會開始：

1. 如果裝置支援生物特徵辨識驗證，系統會提示使用者設定生物特徵辨識手勢。 此手勢可用來解除鎖定裝置，並驗證需要 Windows Hello 企業版的資源。 如果使用者不想設定生物特徵辨識手勢，則可以略過此步驟
2. 系統會提示使用者搭配組織帳戶使用 Windows Hello。 用戶選取 [確定]
3. 布建流程會繼續進行註冊的多重要素驗證部分。 布建會通知使用者，其正透過其設定的 MFA 形式主動嘗試連絡使用者。 在驗證成功、失敗或逾時之前，布建程式不會繼續。MFA 失敗或逾時會導致錯誤，並要求使用者重試
4. MFA 成功後，佈建流程會要求使用者建立並驗證 PIN 碼。 此 PIN 必須觀察在裝置上設定的任何 PIN 複雜性原則
5. 佈建餘下的工作包括 Windows Hello 企業版要求使用者的非對稱金鑰組，最好是向 TPM 要求 (如果已透過原則明確設定，則必須如此)。 取得金鑰組之後，Windows 會與 IdP 通訊以註冊公鑰。 密鑰註冊完成時，Windows Hello 企業版佈建會通知用戶他們可以使用 PIN 登入。 用戶可以關閉布建應用程式並存取其桌面

時序圖

若要進一步瞭解布建流程，請根據驗證類型檢閱下列循序圖：

• 使用受控驗證布建Microsoft加入 Entra 的裝置
• 使用同盟驗證布建Microsoft加入 Entra 的裝置

若要進一步了解驗證流程，請檢閱下列循序圖：

• Microsoft Entra Join 驗證以Microsoft Entra ID

停用自動註冊

如果您想要停用自動 Windows Hello 企業版註冊，您可以使用原則設定或登錄機碼來設定裝置。 如需詳細資訊， 請參閱停用 Windows Hello 企業版註冊。