Настройка Windows Hello для бизнеса

В этой статье описаны параметры настройки Windows Hello для бизнеса в организации и способы их реализации.

Параметры конфигурации

Вы можете настроить Windows Hello для бизнеса с помощью следующих параметров:

• Поставщик служб конфигурации (CSP): обычно используется для устройств, управляемых решением управления мобильными устройствами (MDM), например Microsoft Intune. CSP также можно настроить с помощью пакетов подготовки, которые обычно используются во время развертывания или для неуправляемых устройств. Чтобы настроить Windows Hello для бизнеса, используйте поставщик служб CSP PassportForWork.
• Групповая политика (GPO): используется для устройств, присоединенных к Active Directory или гибридных присоединений к Microsoft Entra, и не управляется решением для управления устройствами.

Приоритет политики

Некоторые политики Windows Hello для бизнеса доступны как для конфигурации компьютера, так и для пользователей. В следующем списке описан приоритет политик для Windows Hello для бизнеса.

• Политики пользователей имеют приоритет над политиками компьютеров. Если задана политика пользователя, соответствующая политика компьютера игнорируется. Если политика пользователя не задана, используется политика компьютера
• Параметры политики Windows Hello для бизнеса применяются с помощью следующей иерархии:
  • Пользователь — объект групповой политики
  • Компьютер — объект групповой политики
  • Пользователь — поставщик служб CSP PassportForWork
  • Поставщик служб CSP PassportForWork для устройства
  • Exchange Active Sync — поставщик служб CSP DeviceLock

Получение идентификатора клиента Microsoft Entra

Для настройки через CSP или реестр с различными параметрами политики Windows Hello для бизнеса необходимо указать идентификатор клиента Microsoft Entra, где зарегистрировано устройство.

Чтобы найти идентификатор клиента, ознакомьтесь с разделом Как найти идентификатор клиента Microsoft Entra или выполните следующие действия, чтобы выполнить вход с учетной записью вашей организации:

GET https://graph.microsoft.com/v1.0/organization?$select=id

Например, в документации по поставщику CSP PassportForWork описано, как настроить параметры Windows Hello для бизнеса с помощью OMA-URI:

./Device/Vendor/MSFT/PassportForWork/{TenantId}

При настройке устройств замените TenantID идентификатором клиента Microsoft Entra. Например, если идентификатор клиента Microsoft Entra — dcd219dd-bc68-4b9b-bf0b-4a33a796be35, OMA-URI будет следующим:

./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}

Настройка Windows Hello для бизнеса с помощью Microsoft Intune

Для устройств, присоединенных к Microsoft Entra, и устройств с гибридным присоединением к Microsoft Entra, зарегистрированных в Intune, можно использовать политики Intune для управления Windows Hello для бизнеса.

Включить и настроить Windows Hello для бизнеса в Intune можно разными способами:

• Использование политики, применяемой на уровне клиента. Политика клиента:
  • Применяется только во время регистрации, а любые изменения в его конфигурации не применяются к устройствам, уже зарегистрированным в Intune.
  • Он применяется ко всем устройствам , зарегистрированным в Intune. По этой причине политика обычно отключена, а Windows Hello для бизнеса включена с помощью политики, ориентированной на группу безопасности.
• Политика конфигурации устройства, применяемая после регистрации устройства. Любые изменения политики применяются к устройствам в течение регулярных интервалов обновления политики. Существуют различные типы политик на выбор:
  • Каталог параметров
  • Базовые показатели безопасности
  • Настраиваемая политика через поставщик служб CSP PassportForWork
  • Политика защиты учетных записей
  • Шаблон политики защиты идентификации

Проверка политики на уровне клиента

Чтобы проверить параметры политики Windows Hello для бизнеса, применяемые во время регистрации, выполните следующие действия:

1. Вход в Центр администрирования Microsoft Intune
2. Выберите Устройства>Регистрация Windows>
3. Выберите Windows Hello для бизнеса
4. Проверьте состояние настройки Windows Hello для бизнеса и все параметры, которые могут быть настроены.

Конфликты политик из нескольких источников политик

Windows Hello для бизнеса можно настроить с помощью GPO или CSP, но не сочетание обоих вариантов. Избегайте смешивания параметров политики GPO и CSP для Windows Hello для бизнеса, так как это может привести к непредвиденным результатам. Если вы смешиваете параметры политики GPO и CSP, конфликтующие параметры CSP не применяются до тех пор, пока параметры групповой политики не будут очищены.

Отключение регистрации Windows Hello для бизнеса

Windows Hello для бизнеса включен по умолчанию для устройств, присоединенных к Microsoft Entra. Если необходимо отключить автоматическое включение, существуют различные варианты, в том числе:

• Отключение Windows Hello с помощью политики на уровне клиента
• Отключите его с помощью одного из типов политик, доступных в Intune, при включении страницы состояния регистрации (ESP). ESP можно настроить так, чтобы запретить пользователю доступ к рабочему столу до тех пор, пока устройство не получит все необходимые политики. Дополнительные сведения см . в разделе Настройка страницы состояния регистрации. Параметр политики для настройки — Use Windows Hello for Business
• Подготовьте устройства с помощью пакета подготовки, который отключает Windows Hello для бизнеса. Дополнительные сведения см. в разделе Пакеты подготовки для Windows.
• Решения с помощью скриптов, которые могут изменять параметры реестра, чтобы отключить Windows Hello для бизнеса во время развертывания ОС

Дальнейшие действия

Список параметров политики Windows Hello для бизнеса см. в разделе Параметры политики Windows Hello для бизнеса.

Дополнительные сведения о функциях Windows Hello для бизнеса и их настройке см. в разделе:

• Сброс ПИН-кода
• Двойная регистрация
• Динамическая блокировка
• Многофакторная разблокировка
• Данные для входа в удаленный рабочий стол (RDP)