在组织中管理 Windows Hello 企业版

https://docs.microsoft.com/zh-cn/windows/security/identity-protection/hello-for-business/hello-manage-in-organization

适用于

Windows 10

你可以创建组策略或移动设备管理（MDM）策略，该策略将在运行 Windows10 的设备上实现 Windows Hello。

重要

组策略设置启用 PIN 登录不适用于 Windows Hello 企业版。它仍阻止或允许创建 Windows 10 版本 1507 和 1511 的便捷型 PIN。

从版本 1607 开始，在所有已加入域的计算机上默认禁用作为便捷型 PIN 的 Windows Hello。若要为 Windows 10 版本 1607 启用便捷型 PIN，请启用组策略设置启用便捷型 PIN 登录。

使用 PIN 复杂性策略设置管理 Windows Hello 企业版的 PIN。

Windows Hello 企业版的组策略设置

下表列出了可在工作区中为 Windows Hello 的使用配置的组策略设置。这些策略设置在 "策略 > 管理模板 > windows 组件 > windows组件" 下的 "用户配置和计算机配置" 下可用。

备注

从 Windows 10 版本1709开始，组策略的 "PIN 复杂性" 部分的位置为： "计算机配置 > " 管理模板 > 系统 > PIN 复杂性。

WINDOWS HELLO 企业版的组策略设置
策略		范围	选项
使用 Windows Hello 企业版		计算机或用户	未配置：设备不为任何用户预配 Windows Hello 企业版。已启用：设备使用密钥或证书为所有用户预配 Windows Hello 企业版。已禁用：设备不为任何用户预配 Windows Hello 企业版。
使用硬件安全设备		计算机	未配置：如果 TPM 可用，将使用 TPM 预配 Windows Hello 企业版；如果 TPM 不可用，将使用软件预配它。已启用：将仅使用 TPM 预配 Windows Hello 企业版。此功能将使用 TPM 1.2 设置 Windows Hello 企业版，除非显式设置用于排除它们的选项。已禁用：如果 TPM 可用，将使用 TPM 预配 Windows Hello 企业版；如果 TPM 不可用，将使用软件预配它。
使用证书进行本地身份验证		计算机或用户	未配置： Windows Hello 企业版注册用于本地身份验证的密钥。已启用： Windows Hello 企业版使用用于本地身份验证的 ADFS 注册登录证书。已禁用： Windows Hello 企业版将注册用于本地身份验证的密钥。
使用 PIN 恢复		计算机	已在 Windows 10 版本1703中添加未配置： Windows Hello 企业版不会创建或存储 PIN 恢复密码。 PIN 重置不使用基于 Azure 的 PIN 恢复服务。已启用： Windows Hello 企业版使用基于 AZURE 的 pin 恢复服务进行 PIN 重置。已禁用： Windows Hello 企业版不会创建或存储 PIN 恢复密码。 PIN 重置不使用基于 Azure 的 PIN 恢复服务。有关使用 PIN 恢复服务进行 PIN 重置的详细信息，请参阅Windows Hello 企业版 PIN 重置。
使用生物识别		计算机	未配置：生物识别可用作替代 PIN 的手势。已启用：生物识别可用作替代 PIN 的手势。已禁用：仅 PIN 可以用作手势。
PIN 复杂性	需要数字	计算机	未配置：用户必须在其 PIN 中包含数字。已启用：用户必须在其 PIN 中包含数字。已禁用：用户不能在其 PIN 中使用数字。
	需要小写字母	计算机	未配置：用户不能在其 PIN 中使用小写字母。已启用：用户必须在其 PIN 中至少包含一个小写字母。已禁用：用户不能在其 PIN 中使用小写字母。
	最大 PIN 长度	计算机	未配置：PIN 长度必须小于或等于 127。已启用：PIN 长度必须小于或等于你指定的数字。已禁用：PIN 长度必须小于或等于 127。
	最小 PIN 长度	计算机	未配置：PIN 长度必须大于或等于 4。已启用：PIN 长度必须大于或等于你指定的数字。已禁用：PIN 长度必须大于或等于 4。
	到期	计算机	未配置：PIN 不会到期。已启用：PIN 可以设置为在 1 到 730 之间的任意天数后到期，或者可以通过将策略设置为 0 来将 PIN 设置为永远不会到期。已禁用：PIN 不会到期。
	历史记录	计算机	未配置：不会存储以前的 PIN。已启用：指定可与可以't 重复使用的用户帐户相关联的以前 pin 的数量。已禁用：不会存储以前的 PIN。注意当前 pin 包括在固定历史记录中。
	需要特殊字符	计算机	未配置：用户无法在其 PIN 中包含特殊字符。已启用：用户必须在其 PIN 中至少包含一个特殊字符。已禁用：用户无法在其 PIN 中包含特殊字符。
	需要大写字母	计算机	未配置：用户无法在其 PIN 中包含大写字母。已启用：用户必须在其 PIN 中至少包含一个大写字母。已禁用：用户无法在其 PIN 中包含大写字母。
手机登录	使用手机登录	计算机	目前尚不支持。

Windows Hello 企业版的 MDM 策略设置

下表列出了可在工作区中为 Windows Hello 企业版的使用配置的 MDM 策略设置。这些 MDM 策略设置使用 PassportForWork 配置服务提供程序 (CSP)。

重要

从 Windows 10 版本 1607 开始，所有设备都只有一个 PIN 与 Windows Hello 企业版相关联。这意味着设备上的任何 PIN 将遵循 PassportForWork CSP 中指定的策略。指定值的优先级高于通过 Exchange ActiveSync (EAS) 或 DeviceLock CSP 设置的任何复杂规则。

WINDOWS HELLO 企业版的 MDM 策略设置
策略		范围	默认值	选项
UsePassportForWork		设备或用户	True	True：将为设备上的所有用户预配 Windows Hello 企业版。 False：用户将不能预配 Windows Hello 企业版。注意如果 Windows Hello 企业版已启用，并且策略已更改为 False，则以前设置 Windows Hello 企业版的用户可以继续使用它，但无法在其他设备上设置 Windows Hello 企业版。
RequireSecurityDevice		设备或用户	False	True：将仅使用 TPM 预配 Windows Hello 企业版。 False：如果 TPM 可用，将使用 TPM 预配 Windows Hello 企业版；如果 TPM 不可用，将使用软件预配它。
ExcludeSecurityDevice	TPM12	设备	False	已在 Windows 10 版本1703中添加 True：将不允许将 TPM 版本1.2 模块与 Windows Hello 企业版配合使用。 False：将允许将 TPM 版本1.2 模块与 Windows Hello 企业版配合使用。
EnablePinRecovery		设备或用户	False	已在 Windows 10 版本1703中添加 True： Windows Hello 企业版使用基于 Azure 的 PIN 恢复服务进行 PIN 重置。 False： Windows Hello 企业版不会创建或存储 PIN 恢复密码。 PIN 重置不使用基于 Azure 的 PIN 恢复服务。有关使用 PIN 恢复服务进行 PIN 重置的详细信息，请参阅Windows Hello 企业版 PIN 重置。
生物识别	UseBiometrics	设备	False	True：生物识别可用作替代 PIN 的手势进行域登录。 False：仅 PIN 可用作进行域登录的手势。
生物识别	FacialFeaturesUser EnhancedAntiSpoofing	设备	未配置	未配置：用户可以选择是否打开增强的反欺骗功能。 True：在支持的设备上需要增强的反欺骗功能。 False：用户无法打开增强的反欺骗功能。
PINComplexity
	数字	设备或用户	raid-1	0：允许使用数字。 1：至少需要一个数字。 2：不允许使用数字。
	小写字母	设备或用户	ppls-2	0：允许使用小写字母。 1：至少需要一个小写字母。 2：不允许使用小写字母。
	特殊字符	设备或用户	ppls-2	0：允许使用特殊字符。 1：至少需要一个特殊字符。 2：不允许使用特殊字符。
	大写字母	设备或用户	ppls-2	0：允许使用大写字母。 1：至少需要一个大写字母。 2：不允许使用大写字母。
	最大 PIN 长度	设备或用户	127	可以设置的最大长度为 127。最大长度不能小于最小设置。
	最小 PIN 长度	设备或用户	第	可以设置的最小长度为 4。最小长度不能大于最大设置。
	到期	设备或用户	0	整数值指定在系统需要用户更改 PIN 之前可以使用它的时间段（以天为单位）。你可以为此策略设置配置的最大数为 730。你可以为此策略设置配置的最小数为 0。如果此策略设置为0，则用户的 PIN 将永不过期。
	历史记录	设备或用户	0	整数值，指定可与无法重复使用的用户帐户相关联的过去引脚的数量。你可以为此策略设置配置的最大数为 50。你可以为此策略设置配置的最小数为 0。如果此策略设置为 0，则不需要存储以前的 PIN。
远程	UseRemotePassport	设备或用户	False	目前尚不支持。

备注

在 Windows 10 版本1709及更高版本中，如果策略未配置为明确要求字母或特殊字符，则用户可以选择设置字母数字 PIN。在版本1709之前，需要用户设置数字 PIN。

来自多个策略源的策略冲突

Windows Hello 企业版旨在由组策略或 MDM 管理，但不能同时管理二者。如果同时从两个源设置策略，则可能会导致为用户或设备实际强制执行的混合结果。

Windows Hello 企业版策略的实施使用以下层次结构：用户组策略 > 计算机组策略 > 用户 MDM > 设备 MDM > 设备锁定策略。所有 PIN 复杂性策略都分组在一起，并通过单个策略源强制执行。

使用硬件安全设备和 RequireSecurityDevice 强制也与 PIN 复杂性策略组合在一起。针对其他 Windows Hello 企业版策略的冲突解决方法是针对每个策略执行的。

备注

Windows Hello 企业版策略冲突解决逻辑与策略 CSP 中的 ControlPolicyConflict/MDMWinsOverGP 策略不相关。

示例

使用计算机组策略配置以下内容：

使用 Windows Hello 企业版-已启用

本地身份验证的用户证书-已启用

需要数字-已启用

最小 PIN 长度-6

使用设备 MDM 策略配置以下内容：

UsePassportForWork-已禁用

UseCertificateForOnPremAuth-已禁用

MinimumPINLength-8

数字-1

LowercaseLetters-1

SpecialCharacters-1

强制策略集：

使用 Windows Hello 企业版-已启用

将证书用于本地身份验证-已启用

需要数字-已启用

最小 PIN 长度-6d

如何将 Windows Hello 企业版和 Azure Active Directory 结合使用

在 Azure AD 中有三种使用 Windows Hello 企业版的情形 - 仅组织：

使用 Office 365 附带的 Azure AD 版本的组织。对于这些组织，不需要任何附加操作。当 Windows10 公开发布时，Microsoft 更改了 Office 365 Azure AD 堆栈的行为。当用户选择加入工作或学校网络的选项时，设备会自动加入到 Office 365 租户的目录分区，为该设备颁发证书，如果租户已订阅该功能，则该证书将变为符合 Office 365 MDM 的条件。此外，将提示用户登录并输入 Azure AD 发送到他或她的手机的 MFA 证明（如果已启用 MFA）。
使用免费的 Azure AD 层的组织。对于这些组织，Microsoft 未启用自动域加入到 Azure AD。已注册免费版的组织可选择启用或禁用此功能，因此除非组织的管理员决定启用自动加入域，否则不会启用自动加入域。当启用该功能时，使用“连接到工作或学校”对话框加入 Azure AD 域的设备将支持自动注册到 Windows Hello 企业版，但不会注册之前已加入的设备。
已订阅 Azure AD Premium 的组织有权访问全套 Azure AD MDM 功能。这些功能包括 Windows Hello 企业版管理控制。你可以设置策略来禁用或强制执行 Windows Hello 企业版的使用、要求使用 TPM 和控制在设备上设置的 PIN 的长度和强度。

如果要将 Windows Hello 企业版与证书配合使用，您需要设备注册系统。这意味着设置 Configuration Manager、Microsoft Intune 或兼容的非 Microsoft MDM 系统，并启用它来注册设备。无论 IDP 为何，这是将 Windows Hello 企业版与证书一起使用的先决条件步骤，因为注册系统负责使用必要的证书预配设备。

反馈