使用Intune禁用Windows Hello -综合指南
在本文中,我将向您展示如何使用Intune禁用Windows Hello for Business。您现在可以使用Intune禁用“您的组织需要Windows Hello”或“使用Windows Hello与您的帐户”提示在自动驾驶仪OOBE期间,并永久摆脱WHfB。
Windows Hello是一种生物识别设备解锁功能,使用指纹或面部识别。微软Intune可以使用管理Windows Hello在Windows 10和Windows 11上都可以访问。使用Windows Hello登录设备是一种更安全的方法。
与微软Intune,您可以设置一个租户范围的策略,指示Windows 10或Windows 11设备在Intune注册时使用Windows Hello for Business。此策略针对您的整个组织并支持Windows自动驾驶仪out-of-box-experience(脱体经验)。
如果您选择不为Windows Hello for Business配置租户范围策略,则可以使用设备配置身份保护配置文件为Windows Hello配置设备组。不使用Intune的组织可以利用禁用Windows Hello的组策略.如果你想用Intune禁用Windows Hello for Business,这篇文章就是为你准备的。
为什么禁用Windows Hello for Business?
虽然Windows hello是一个很好的功能,但并不是每个人都需要它。并非所有组织都喜欢使用Windows hello,因为它需要双因素身份验证而不是密码。当您为员工分配一台由Autopilot提供的新笔记本电脑时,Windows Hello将在OOBE期间出现。
您的组织在自动驾驶脱体过程中需要Windows Hello
下面的截图是在“脱体”过程中,在配备了自动驾驶仪的笔记本电脑上出现Windows Hello屏幕的一个例子。在用户驱动的自动驾驶期间启用了Windows Hello for business,您将看到带有以下消息的窗口:
在你的帐户上使用Windows Hello。您的组织要求您使用Windows Hello Face、指纹或PIN设置您的工作或学校帐户。如果你已经在这个设备上设置了Windows Hello,我们会自动为这个帐户添加它。您可能会被要求使用Windows Hello重新验证。如果您的组织需要更复杂的PIN, Windows将提示您更改它。
Windows Hello和Windows Hello for Business的区别
使用Windows Hello,个人可以在个人设备上创建个人识别码或生物识别手势,方便登录。这种配置被称为Windows Hello便利PIN,它不受非对称(公钥/私钥)或基于证书的身份验证的支持。
虽然Windows Hello for Business是通过组策略或移动设备管理(MDM)策略(如Intune)配置的,但始终使用基于密钥或基于证书的身份验证。这种行为使它比Windows Hello方便PIN码更安全。
关闭Windows Hello for Business的方法
下面列出了在Intune中为业务配置禁用Windows hello的不同方法
- 从Windows注册配置Windows Hello for Business(适用于整个租户)
- 使用Intune WHfB设备配置文件禁用Windows Hello for Business(作用域方法)
- 使用端点安全-帐户保护
我想在这里强调一点。当您从Windows注册设置中禁用Windows hello for business时,该设置将应用于整个租户,并且不能确定范围。因此,如果您想在OOBE期间删除Hello for Business提示(以自动驾驶仪为例),请使用此方法。
使用Intune禁用Windows Hello for Business
你需要用Intune管理员角色.使用Intune禁用Windows Hello for Business的操作步骤如下:
- 登录到Microsoft Intune管理中心。
- 去设备>窗户>Windows注册.
- 下一般部分中,选择Windows Hello for Business.
在Windows hello for Business窗口中,我们看到两个选项:
- 配置Windows Hello for Business:没有配置.
- 使用安全密钥登录:没有配置.
在选项旁边配置Windows Hello for Business,选择下拉菜单,选择禁用.禁用后,用户无法提供Windows Hello for Business。
请注意:如果您不想在设备注册期间启用Windows Hello for Business,请设置配置Windows Hello for Business禁用。当设置为禁用时,您仍然可以配置Windows Hello for Business的后续设置,即使该策略不会启用Windows Hello for Business。
您看到的其他选项在启用时也适用配置Windows Hello for Business设置。完成上述更改后,请选择保存.
这将禁用
使用Intune配置Windows Hello for Business
有时,即使禁用了Windows hello for business功能,用户在登录过程中仍会看到Windows hello屏幕。如果希望在特定设备组或用户组的业务设置中禁用Windows hello,而不是在整个Intune租户中禁用,则必须创建一个配置概要文件。
执行以下步骤在Intune中创建设备配置文件,以配置Windows Hello for Business。第一次登录Intune管理中心。选择设备>配置概要文件>创建概要文件.
在创建概要文件窗口,配置以下信息并选择创建.
- 平台: Windows 10及以上版本
- 概要文件类型:模板
- 模板名称:身份保护
在基础知识选项卡,输入以下属性。
- 的名字:为概要文件输入一个描述性的名称,以便稍后容易地识别它们。例如,一个好的配置文件名称是Configure Windows Hello For Business。
- 描述:输入配置文件的简要描述。此设置是可选的,但推荐使用。
点击下一个.
在设置旁边配置Windows Hello for Business,点击下拉菜单选择禁用.背景”使用安全密钥登录,则设置为没有配置.选择下一个.
在作业选项卡,选择将接收WHfB配置文件的Azure AD组。点击下一个.
在适用性规则选项卡,您可以使用规则,财产,价值选项来定义Intune WHfB配置文件如何在分配的组中应用。例如,您可以将此Windows Hello For Business配置文件应用于特定的Windows版本或OS版本。Intune将概要文件应用到满足您输入的规则的设备。这里我什么都不指定,点击下一个.
在回顾+创建,检查Windows Hello的业务设置。当你选择创建,保存您的更改,并分配Intune WHfB配置文件。中的配置文件列表中也显示了策略管理中心.
在您将Intune WHfB配置文件分配给您的设备和用户之后,一旦设备与Intune服务签入,配置文件设置将逐渐应用。你也可以强制同步Intune策略在你的电脑上。
监控Intune WHfB配置文件状态
只需几个简单的步骤,就可以在Microsoft Intune中监视设备配置概要文件。此外,您可以检查概要文件的状态,查看分配了哪些设备,并更新概要文件的属性。要完成此操作,请转到设备>配置概要文件>选择配置Windows Hello for Business配置文件.在“设备和用户签入状态”,选择查看报告.
从下面的屏幕截图中,我们可以看到配置文件分配在多个设备上已经成功。如果您遇到任何错误,错误代码将帮助您排除Intune中的配置文件分配失败。
