使用Intune禁用Windows Hello -综合指南
在本文中,我将向您展示如何使用Intune禁用Windows Hello for Business。您现在可以使用Intune禁用“您的组织需要Windows Hello”或“使用Windows Hello与您的帐户”提示在自动驾驶仪OOBE期间,并永久摆脱WHfB。
Windows Hello是一种生物识别设备解锁功能,使用指纹或面部识别。微软Intune可以使用管理Windows Hello在Windows 10和Windows 11上都可以访问。使用Windows Hello登录设备是一种更安全的方法。
与微软Intune,您可以设置一个租户范围的策略,指示Windows 10或Windows 11设备在Intune注册时使用Windows Hello for Business。此策略针对您的整个组织并支持Windows自动驾驶仪out-of-box-experience(脱体经验)。
![Disable Windows Hello for Business using Intune - Comprehensive Guide 1 PatchMyPC HorizontalAD](http://www.photo-critics.com/wp-content/uploads/2022/12/PatchMyPC_HorizontalAD.jpg)
如果您选择不为Windows Hello for Business配置租户范围策略,则可以使用设备配置身份保护配置文件为Windows Hello配置设备组。不使用Intune的组织可以利用禁用Windows Hello的组策略.如果你想用Intune禁用Windows Hello for Business,这篇文章就是为你准备的。
为什么禁用Windows Hello for Business?
虽然Windows hello是一个很好的功能,但并不是每个人都需要它。并非所有组织都喜欢使用Windows hello,因为它需要双因素身份验证而不是密码。当您为员工分配一台由Autopilot提供的新笔记本电脑时,Windows Hello将在OOBE期间出现。
您的组织在自动驾驶脱体过程中需要Windows Hello
下面的截图是在“脱体”过程中,在配备了自动驾驶仪的笔记本电脑上出现Windows Hello屏幕的一个例子。在用户驱动的自动驾驶期间启用了Windows Hello for business,您将看到带有以下消息的窗口:
在你的帐户上使用Windows Hello。您的组织要求您使用Windows Hello Face、指纹或PIN设置您的工作或学校帐户。如果你已经在这个设备上设置了Windows Hello,我们会自动为这个帐户添加它。您可能会被要求使用Windows Hello重新验证。如果您的组织需要更复杂的PIN, Windows将提示您更改它。
![Disable Windows Hello for Business using Intune - Comprehensive Guide 2 您的组织在脱体过程中需要Windows Hello提示](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap1.jpg)
Windows Hello和Windows Hello for Business的区别
使用Windows Hello,个人可以在个人设备上创建个人识别码或生物识别手势,方便登录。这种配置被称为Windows Hello便利PIN,它不受非对称(公钥/私钥)或基于证书的身份验证的支持。
虽然Windows Hello for Business是通过组策略或移动设备管理(MDM)策略(如Intune)配置的,但始终使用基于密钥或基于证书的身份验证。这种行为使它比Windows Hello方便PIN码更安全。
关闭Windows Hello for Business的方法
下面列出了在Intune中为业务配置禁用Windows hello的不同方法
- 从Windows注册配置Windows Hello for Business(适用于整个租户)
- 使用Intune WHfB设备配置文件禁用Windows Hello for Business(作用域方法)
- 使用端点安全-帐户保护
我想在这里强调一点。当您从Windows注册设置中禁用Windows hello for business时,该设置将应用于整个租户,并且不能确定范围。因此,如果您想在OOBE期间删除Hello for Business提示(以自动驾驶仪为例),请使用此方法。
使用Intune禁用Windows Hello for Business
你需要用Intune管理员角色.使用Intune禁用Windows Hello for Business的操作步骤如下:
- 登录到Microsoft Intune管理中心。
- 去设备>窗户>Windows注册.
- 下一般部分中,选择Windows Hello for Business.
![Disable Windows Hello for Business using Intune - Comprehensive Guide 3 使用Intune禁用Windows Hello for Business](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap2-1024x506.jpg)
在Windows hello for Business窗口中,我们看到两个选项:
- 配置Windows Hello for Business:没有配置.
- 使用安全密钥登录:没有配置.
![Disable Windows Hello for Business using Intune - Comprehensive Guide 4 使用Intune禁用Windows Hello for Business](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap3.jpg)
在选项旁边配置Windows Hello for Business,选择下拉菜单,选择禁用.禁用后,用户无法提供Windows Hello for Business。
请注意:如果您不想在设备注册期间启用Windows Hello for Business,请设置配置Windows Hello for Business禁用。当设置为禁用时,您仍然可以配置Windows Hello for Business的后续设置,即使该策略不会启用Windows Hello for Business。
您看到的其他选项在启用时也适用配置Windows Hello for Business设置。完成上述更改后,请选择保存.
这将禁用
![Disable Windows Hello for Business using Intune - Comprehensive Guide 5 使用Intune禁用Windows Hello for Business](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap4.jpg)
使用Intune配置Windows Hello for Business
有时,即使禁用了Windows hello for business功能,用户在登录过程中仍会看到Windows hello屏幕。如果希望在特定设备组或用户组的业务设置中禁用Windows hello,而不是在整个Intune租户中禁用,则必须创建一个配置概要文件。
![Disable Windows Hello for Business using Intune - Comprehensive Guide 6 Windows Autopilot OOBE:您的组织需要Windows Hello](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap5-1024x737.jpg)
执行以下步骤在Intune中创建设备配置文件,以配置Windows Hello for Business。第一次登录Intune管理中心。选择设备>配置概要文件>创建概要文件.
![Disable Windows Hello for Business using Intune - Comprehensive Guide 7 使用Intune配置Windows Hello for Business](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap6.jpg)
在创建概要文件窗口,配置以下信息并选择创建.
- 平台: Windows 10及以上版本
- 概要文件类型:模板
- 模板名称:身份保护
![Disable Windows Hello for Business using Intune - Comprehensive Guide 8 输入身份保护模板](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap7.jpg)
在基础知识选项卡,输入以下属性。
- 的名字:为概要文件输入一个描述性的名称,以便稍后容易地识别它们。例如,一个好的配置文件名称是Configure Windows Hello For Business。
- 描述:输入配置文件的简要描述。此设置是可选的,但推荐使用。
点击下一个.
![Disable Windows Hello for Business using Intune - Comprehensive Guide 9 使用Intune配置Windows Hello for Business](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap8.jpg)
在设置旁边配置Windows Hello for Business,点击下拉菜单选择禁用.背景”使用安全密钥登录,则设置为没有配置.选择下一个.
![Disable Windows Hello for Business using Intune - Comprehensive Guide 10 使用Intune配置Windows Hello for Business](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap9-1024x826.jpg)
在作业选项卡,选择将接收WHfB配置文件的Azure AD组。点击下一个.
![Disable Windows Hello for Business using Intune - Comprehensive Guide 11 Intune配置文件分配](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap10.jpg)
在适用性规则选项卡,您可以使用规则,财产,价值选项来定义Intune WHfB配置文件如何在分配的组中应用。例如,您可以将此Windows Hello For Business配置文件应用于特定的Windows版本或OS版本。Intune将概要文件应用到满足您输入的规则的设备。这里我什么都不指定,点击下一个.
![Disable Windows Hello for Business using Intune - Comprehensive Guide 12 使用Intune配置Windows Hello for Business](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap11.jpg)
在回顾+创建,检查Windows Hello的业务设置。当你选择创建,保存您的更改,并分配Intune WHfB配置文件。中的配置文件列表中也显示了策略管理中心.
![Disable Windows Hello for Business using Intune - Comprehensive Guide 13 使用Intune配置Windows Hello for Business](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap12.jpg)
在您将Intune WHfB配置文件分配给您的设备和用户之后,一旦设备与Intune服务签入,配置文件设置将逐渐应用。你也可以强制同步Intune策略在你的电脑上。
监控Intune WHfB配置文件状态
只需几个简单的步骤,就可以在Microsoft Intune中监视设备配置概要文件。此外,您可以检查概要文件的状态,查看分配了哪些设备,并更新概要文件的属性。要完成此操作,请转到设备>配置概要文件>选择配置Windows Hello for Business配置文件.在“设备和用户签入状态”,选择查看报告.
从下面的屏幕截图中,我们可以看到配置文件分配在多个设备上已经成功。如果您遇到任何错误,错误代码将帮助您排除Intune中的配置文件分配失败。
![Disable Windows Hello for Business using Intune - Comprehensive Guide 14 监控Intune WHfB配置文件](http://www.photo-critics.com/wp-content/uploads/2023/03/Disable-Windows-Hello-for-Business-using-Intune-Snap13-1024x727.jpg)