Поделиться через


Параметры политики Windows Hello для бизнеса

В этой справочной статье представлен полный список параметров политики для Windows Hello для бизнеса. Список параметров отсортирован в алфавитном порядке и упорядочен по четырем категориям:

  • Параметры компонентов: используются для включения Windows Hello для бизнеса и настройки основных параметров
  • Параметр ПИН-кода: используется для настройки проверки подлинности ПИН-кода, например сложность и восстановление ПИН-кода.
  • Биометрический параметр: используется для настройки биометрической проверки подлинности
  • Параметры смарт-карты: используются для настройки проверки подлинности смарт-карт, используемой в сочетании с Windows Hello для бизнеса

Сведения о настройке этих параметров см. в разделе Настройка Windows Hello для бизнеса.

Выберите одну из вкладок, чтобы просмотреть список доступных параметров:

Имя параметра CSP Объект групповой политики
Настройка факторов разблокировки устройства
Настройка факторов динамической блокировки
Использование устройства аппаратной защиты
Использовать сертификат для локальной проверки подлинности
Использование доверия к облаку (Kerberos) для локальной проверки подлинности
Использовать Windows Hello для бизнеса

Настройка факторов разблокировки устройства

Настройте разделенный запятыми список GUID поставщика учетных данных, таких как guidID поставщика распознавания лиц и отпечатков пальцев, который будет использоваться в качестве первого и второго факторов разблокировки. Если доверенный поставщик сигналов указан в качестве одного из факторов разблокировки, следует также настроить разделенный запятыми список правил сигнала в формате XML для каждого типа сигнала, проверяемого.

Если этот параметр политики включен, пользователь должен использовать один фактор из каждого списка для успешной разблокировки. Если этот параметр политики отключен или не настроен, пользователи могут продолжать разблокировать с помощью существующих параметров.

Путь
CSP ./Device/Vendor/MSFT/PassportForWork/ DeviceUnlock
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsWindows Hello для бизнеса

Дополнительные сведения см. в разделе Многофакторная разблокировка.

Настройка факторов динамической блокировки

Настройте разделенный запятыми список правил сигнала в формате XML для каждого типа сигнала.

  • Если этот параметр политики включен, правила сигнала оцениваются для обнаружения отсутствия пользователей и автоматической блокировки устройства.
  • Если параметр отключен или не настроен, пользователи могут продолжать блокировать существующие параметры.
Путь
CSP ./Device/Vendor/MSFT/PassportForWork/DynamicLock/ DynamicLock
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsWindows Hello для бизнеса

Использование устройства аппаратной защиты

Доверенный платформенный модуль (TPM) обеспечивает дополнительные преимущества безопасности по сравнению с программным обеспечением, так как данные, защищенные им, не могут использоваться на других устройствах.

  • Если этот параметр политики включен, подготовка Windows Hello для бизнеса выполняется только на устройствах с TPM версии 1.2 или 2.0. При необходимости можно исключить модули TPM версии 1.2, что предотвращает подготовку Windows Hello для бизнеса на этих устройствах.

    Совет

    Спецификация TPM 1.2 позволяет использовать только RSA и алгоритм хэширования SHA-1. Реализация TPM 1.2 зависит от параметров политики, что может привести к проблемам с поддержкой, так как политики блокировки различаются. Рекомендуется исключить устройства TPM 1.2 из подготовки Windows Hello для бизнеса. Если этот параметр политики отключен или не настроен, доверенный платформенный модуль по-прежнему предпочтителен, но все устройства могут подготавливать Windows Hello для бизнеса с помощью программного обеспечения, если доверенный платформенный модуль нефункциональный или недоступен.

Путь
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ RequireSecurityDevice

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/ TPM12
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsWindows Hello для бизнеса

Использовать сертификат для локальной проверки подлинности

Используйте этот параметр политики, чтобы настроить Windows Hello для бизнеса для регистрации сертификата входа, используемого для локальной проверки подлинности.

  • Если этот параметр политики включен, Windows Hello для бизнеса регистрирует сертификат входа, который используется для локальной проверки подлинности.
  • Если этот параметр политики отключен или не настроен, Windows Hello для бизнеса будет использовать ключ или билет Kerberos (в зависимости от других параметров политики) для локальной проверки подлинности.
Путь
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCertificateForOnPremAuth
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsWindows Hello для бизнеса

Конфигурация> пользователяАдминистративные шаблоны>Компоненты> WindowsWindows Hello для бизнеса

Использование доверия к облаку для локальной проверки подлинности

Используйте этот параметр политики, чтобы настроить Windows Hello для бизнеса на использование облачной модели доверия Kerberos.

  • Если этот параметр политики включен, Windows Hello для бизнеса использует билет Kerberos, полученный при проверке подлинности в Идентификатор Microsoft Entra, для локальной проверки подлинности.
  • Если этот параметр политики отключен или не настроен, Windows Hello для бизнеса использует ключ или сертификат (в зависимости от других параметров политики) для локальной проверки подлинности.
Путь
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCloudTrustForOnPremAuth
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsWindows Hello для бизнеса

Примечание.

Доверие Cloud Kerberos несовместимо с доверием к сертификату. Если параметр политики доверия сертификату включен, он имеет приоритет над этим параметром политики.

Использовать Windows Hello для бизнеса

  • Если эта политика включена, устройство подготавливает Windows Hello для бизнеса с помощью ключей или сертификатов для всех пользователей.
  • Если этот параметр политики отключен, устройство не подготавливает Windows Hello для бизнеса для любого пользователя.
  • Если этот параметр политики не настроен, пользователи могут подготовить Windows Hello для бизнеса.

Выберите параметр Не запускать подготовку Windows Hello после входа при использовании решения сторонних поставщиков для подготовки Windows Hello для бизнеса:

  • Если вы выберете Не запускать подготовку Windows Hello после входа, Windows Hello для бизнеса не начнется автоматически после входа пользователя в систему.
  • Если вы не выберете Параметр Не запускать подготовку Windows Hello после входа, Windows Hello для бизнеса автоматически начнет подготовку после входа пользователя в систему.
Путь
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UsePassportForWork

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ DisablePostLogonProvisioning
Объект групповой политики Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsWindows Hello для бизнеса

Конфигурация> пользователяАдминистративные шаблоны>Компоненты> WindowsWindows Hello для бизнеса