Параметры политики Windows Hello для бизнеса

Настройка факторов разблокировки устройства

Настройте разделенный запятыми список GUID поставщика учетных данных, таких как guidID поставщика распознавания лиц и отпечатков пальцев, который будет использоваться в качестве первого и второго факторов разблокировки. Если доверенный поставщик сигналов указан в качестве одного из факторов разблокировки, следует также настроить разделенный запятыми список правил сигнала в формате XML для каждого типа сигнала, проверяемого.

Если этот параметр политики включен, пользователь должен использовать один фактор из каждого списка для успешной разблокировки. Если этот параметр политики отключен или не настроен, пользователи могут продолжать разблокировать с помощью существующих параметров.

Дополнительные сведения см. в разделе Многофакторная разблокировка.

Настройка факторов динамической блокировки

Настройте разделенный запятыми список правил сигнала в формате XML для каждого типа сигнала.

• Если этот параметр политики включен, правила сигнала оцениваются для обнаружения отсутствия пользователей и автоматической блокировки устройства.
• Если параметр отключен или не настроен, пользователи могут продолжать блокировать существующие параметры.

Использование устройства аппаратной защиты

Доверенный платформенный модуль (TPM) обеспечивает дополнительные преимущества безопасности по сравнению с программным обеспечением, так как данные, защищенные им, не могут использоваться на других устройствах.

• Если этот параметр политики включен, подготовка Windows Hello для бизнеса выполняется только на устройствах с TPM версии 1.2 или 2.0. При необходимости можно исключить модули TPM версии 1.2, что предотвращает подготовку Windows Hello для бизнеса на этих устройствах.

  Совет

  Спецификация TPM 1.2 позволяет использовать только RSA и алгоритм хэширования SHA-1. Реализация TPM 1.2 зависит от параметров политики, что может привести к проблемам с поддержкой, так как политики блокировки различаются. Рекомендуется исключить устройства TPM 1.2 из подготовки Windows Hello для бизнеса. Если этот параметр политики отключен или не настроен, доверенный платформенный модуль по-прежнему предпочтителен, но все устройства могут подготавливать Windows Hello для бизнеса с помощью программного обеспечения, если доверенный платформенный модуль нефункциональный или недоступен.

Использовать сертификат для локальной проверки подлинности

Используйте этот параметр политики, чтобы настроить Windows Hello для бизнеса для регистрации сертификата входа, используемого для локальной проверки подлинности.

• Если этот параметр политики включен, Windows Hello для бизнеса регистрирует сертификат входа, который используется для локальной проверки подлинности.
• Если этот параметр политики отключен или не настроен, Windows Hello для бизнеса будет использовать ключ или билет Kerberos (в зависимости от других параметров политики) для локальной проверки подлинности.

Использование доверия к облаку для локальной проверки подлинности

Используйте этот параметр политики, чтобы настроить Windows Hello для бизнеса на использование облачной модели доверия Kerberos.

• Если этот параметр политики включен, Windows Hello для бизнеса использует билет Kerberos, полученный при проверке подлинности в Идентификатор Microsoft Entra, для локальной проверки подлинности.
• Если этот параметр политики отключен или не настроен, Windows Hello для бизнеса использует ключ или сертификат (в зависимости от других параметров политики) для локальной проверки подлинности.

Использовать Windows Hello для бизнеса

• Если эта политика включена, устройство подготавливает Windows Hello для бизнеса с помощью ключей или сертификатов для всех пользователей.
• Если этот параметр политики отключен, устройство не подготавливает Windows Hello для бизнеса для любого пользователя.
• Если этот параметр политики не настроен, пользователи могут подготовить Windows Hello для бизнеса.

Выберите параметр Не запускать подготовку Windows Hello после входа при использовании решения сторонних поставщиков для подготовки Windows Hello для бизнеса:

• Если вы выберете Не запускать подготовку Windows Hello после входа, Windows Hello для бизнеса не начнется автоматически после входа пользователя в систему.
• Если вы не выберете Параметр Не запускать подготовку Windows Hello после входа, Windows Hello для бизнеса автоматически начнет подготовку после входа пользователя в систему.

Срок действия

Этот параметр указывает период времени (в днях), который можно использовать ПИН-код, прежде чем система потребует от пользователя изменить его. Пин-код может быть задан как срок действия через любое количество дней от 1 до 730, или пин-коды могут быть заданы как никогда не истечет, если политика имеет значение 0.

Значение по умолчанию — 0.

Журнал

Этот параметр указывает количество прошлых ПИН-кодов, которые можно связать с учетной записью пользователя, которую нельзя использовать повторно. Эта политика повышает безопасность за счет постоянного повторного использования старых ПИН-кодов. Значение должно быть от 0 до 50 ПИН-кодов. Если значение этой политики равно 0, предыдущие ПИН-коды не сохраняются.

Значение по умолчанию — 0.

Максимальная длина PIN-кода

Максимальная длина ПИН-кода настраивает максимальное число символов, допустимое для ПИН-кода. Наибольшее число, доступное для этого параметра политики, — 127. Наименьшее число, которое можно настроить, должно быть больше, чем число, настроенное в параметре политики Минимальная длина ПИН-кода, или число 4 в зависимости от того, какое из значений больше. При настройке этого параметра политики длина ПИН-кода должна быть меньше или равна этому числу.

Если этот параметр политики отключен или не настроен, длина ПИН-кода должна быть меньше или равна 127.

Минимальная длина PIN-кода

Минимальная длина ПИН-кода настраивает минимальное количество символов, необходимое для ПИН-кода. Наименьшее число, доступное для этого параметра политики, — 4. Наибольшее число, которое можно настроить, должно быть меньше числа, настроенного в параметре политики Максимальная длина ПИН-кода, или числа 127, в зависимости от того, какое из значений является наименьшим.

Если вы настроите этот параметр политики, длина ПИН-кода должна быть больше или равна этому числу. Если этот параметр политики отключен или не настроен, длина ПИН-кода должна быть больше или равна 6.

Требовать использование цифр

Используйте этот параметр политики, чтобы настроить использование цифр в ПИН-коде:

• Если этот параметр политики включен, Windows требует, чтобы пользователь включал хотя бы одну цифру в свой ПИН-код.
• Если этот параметр политики отключен, Windows не разрешает пользователю включать цифры в свои ПИН-коды.
• Если этот параметр политики не настроен, Windows разрешает, но не требуется, цифры в ПИН-коде

Требовать использование строчных букв

Используйте этот параметр политики, чтобы настроить использование строчных букв в ПИН-коде:

• Если этот параметр политики включен, Windows требует, чтобы пользователь включал по крайней мере одну строчную букву в свой ПИН-код.
• Если этот параметр политики отключен, Windows не разрешает пользователю включать строчные буквы в свой ПИН-код.
• Если этот параметр политики не настроен, Windows разрешает, но не требует, строчные буквы в ПИН-коде

Требовать использование специальных символов

Область: компьютер

Используйте этот параметр политики, чтобы настроить использование специальных символов в ПИН-коде. Специальные символы включают следующий набор:

! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

• Если этот параметр политики включен, Windows требует, чтобы пользователь включал по крайней мере один специальный символ в свой ПИН-код.
• Если этот параметр политики отключен, Windows не разрешает пользователю включать специальные символы в свой ПИН-код.
• Если этот параметр политики не настроен, Windows разрешает, но не требует, специальные символы в ПИН-коде.

Требовать использование прописных букв

Используйте этот параметр политики, чтобы настроить использование прописных букв в ПИН-коде:

• Если этот параметр политики включен, Windows требует, чтобы пользователь включал по крайней мере одну прописную букву в свой ПИН-код.
• Если этот параметр политики отключен, Windows не разрешает пользователю включать в ПИН-код прописные буквы.
• Если этот параметр политики не настроен, Windows разрешает, но не требует, прописные буквы в ПИН-коде

Использование восстановления ПИН-кода

Восстановление ПИН-кода позволяет пользователю изменить забытый ПИН-код с помощью службы восстановления ПИН-кода Windows Hello для бизнеса, не теряя связанных учетных данных или сертификатов, включая ключи, связанные с личными учетными записями пользователя на устройстве.

Для этого служба восстановления ПИН-кода шифрует секрет восстановления, хранящийся на устройстве, и требует расшифровки службы восстановления ПИН-кода и устройства.

Для восстановления ПИН-кода пользователь должен выполнить многофакторную проверку подлинности в Microsoft Entra ID.

• Если этот параметр политики включен, Windows Hello для бизнеса использует службу восстановления ПИН-кода.
• Если этот параметр политики отключен или не настроен, Windows не создает и не сохраняет секрет восстановления ПИН-кода. Если пользователь забыл свой ПИН-код, он должен удалить существующий ПИН-код и создать новый, а также повторно зарегистрироваться в любых службах, к которым старый ПИН-код предоставил доступ.

Дополнительные сведения см. в разделе Сброс ПИН-кода.

Настройка расширенной защиты от спуфингов

Этот параметр политики определяет, требуется ли расширенная защита от спуфингов для проверки подлинности лиц Windows Hello.

• Если этот параметр включен, Windows потребуется использовать расширенную защиту от спуфингов для проверки подлинности лиц.

  Важно.

  Это отключает проверку подлинности лиц на устройствах, которые не поддерживают расширенную защиту от спуфингов.

• Если этот параметр отключен или не настроен, Windows не требуется расширенная защита от спуфингов для проверки подлинности лиц.

Включение ESS с поддерживаемыми периферийными устройствами

Расширенная безопасность входа (ESS) обеспечивает уровень безопасности биометрических данных с помощью специализированных компонентов оборудования и программного обеспечения, например VBS и доверенного платформенного модуля 2.0. С помощью ESS биометрические данные (лица и отпечатки пальцев) Windows Hello и операции сопоставления изолируются от доверенного оборудования или указанных областей памяти, а остальная часть операционной системы не может получить к ним доступ или изменить их. Так как канал обмена данными между датчиками и алгоритмом также защищен, вредоносные программы не могут внедрять или воспроизводить данные, чтобы имитировать вход пользователя в систему или заблокировать пользователя на своем компьютере.

Если эта политика включена, можно настроить следующие значения:

• 0: ESS включается с периферийными или встроенными датчиками, не ESS. Операции проверки подлинности периферийных устройств с поддержкой Windows Hello разрешены с учетом текущих ограничений функций. Функция ESS включена на устройствах со смесью биометрических устройств, таких как средство чтения отпечатков пальцев с поддержкой ESS и камера, не поддерживающая ESS. Поэтому этот параметр не рекомендуется
• 1: функция ESS включена без периферийных или встроенных датчиков, отличных от ESS. Операции проверки подлинности любого периферийного биометрического устройства блокируются и недоступны для Windows Hello. Этот параметр рекомендуется для обеспечения максимальной безопасности

Если этот параметр отключен или не настроен, датчики, отличные от ESS, блокируются на устройстве ESS.

Дополнительные сведения см. в статье Как расширенная безопасность входа защищает биометрические данные.

Использование биометрии

Windows Hello для бизнеса позволяет пользователям использовать биометрические жесты, такие как лицо и отпечатки пальцев, в качестве альтернативы жесту ПИН-кода. Однако пользователи по-прежнему должны настроить ПИН-код для использования в случае сбоев.

• Если этот параметр политики включен или не настроен, Windows Hello для бизнеса разрешает использовать биометрические жесты.
• Если этот параметр политики отключен, Windows Hello для бизнеса запрещает использование биометрических жестов.

Разрешить перечисление эмулированных смарт-карт для всех пользователей

Windows запрещает пользователям на том же устройстве перечислять подготовленные учетные данные Windows Hello для бизнеса для других пользователей. Если этот параметр политики включен, Windows позволяет всем пользователям устройства перечислять все учетные данные Windows Hello для бизнеса, но по-прежнему требует, чтобы каждый пользователь предоставлял свои собственные факторы для проверки подлинности. Если этот параметр политики отключен или не настроен, Windows не разрешает перечисление подготовленных учетных данных Windows Hello для бизнеса для других пользователей на том же устройстве.

Этот параметр политики предназначен для одного пользователя, который регистрирует привилегированные и непривилегированные учетные записи на одном устройстве. Пользователь владеет обоими учетными данными, которые позволяют ему выполнять вход с использованием непривилегированных учетных данных, но может выполнять задачи с повышенными привилегиями без выхода. Этот параметр политики несовместим с учетными данными Windows Hello для бизнеса, подготовленными при включенном параметре политики отключить эмуляцию смарт-карт .

Отключение эмуляции смарт-карт

Windows Hello для бизнеса автоматически предоставляет эмуляцию смарт-карт для совместимости с приложениями с поддержкой смарт-карт.

• Если этот параметр политики включен, Windows Hello для бизнеса подготавливает учетные данные Windows Hello для бизнеса, которые несовместимы с приложениями смарт-карт.
• Если этот параметр политики отключен или не настроен, Windows Hello для бизнеса подготавливает учетные данные Windows Hello для бизнеса, совместимые с приложениями со смарт-картами.

Использование сертификатов Windows Hello для бизнеса в качестве сертификатов смарт-карт

Этот параметр политики предназначен для обеспечения совместимости с приложениями, которые используют исключительно сертификаты смарт-карт.

• Если этот параметр политики включен, приложения используют сертификаты Windows Hello для бизнеса в качестве сертификатов смарт-карт. Биометрические факторы недоступны, когда пользователю предлагается авторизовать использование закрытого ключа сертификата
• Если этот параметр политики отключен или не настроен, приложения не используют сертификаты Windows Hello для бизнеса в качестве сертификатов смарт-карт, а биометрические факторы будут доступны, когда пользователю предлагается авторизовать использование закрытого ключа сертификата.

Этот параметр политики несовместим с учетными данными Windows Hello для бизнеса, подготовленными при включенном отключении эмуляции смарт-карт .