使用 Intune 禁用 Windows Hello 企业版 - 综合指南

在本文中，我将向您展示如何使用 Intune 禁用 Windows Hello 企业版。现在，你可以使用 Intune 在 Autopilot OOBE 期间禁用“你的组织需要 Windows Hello”或“通过你的帐户使用 Windows Hello”提示，并永久摆脱 WHfB。

Windows Hello 是一种生物识别设备解锁功能，可与指纹或面部识别配合使用。 Microsoft Intune 可用于管理 Windows Hello，并且可在 Windows 10 和 Windows 11 上访问。更安全的登录设备方法是使用 Windows Hello。

借助 Microsoft Intune，你可以设置租户范围的策略，指示 Windows 10 或 Windows 11 设备在注册 Intune 时使用 Windows Hello 企业版。此策略针对您的整个组织，并支持 Windows Autopilot 开箱即用体验 (OOBE)。

如果选择不为 Windows Hello 企业版配置租户范围的策略，则可以使用设备配置身份保护配置文件来为 Windows Hello 配置设备组。不使用 Intune 的组织可以利用组策略禁用 Windows Hello。如果您希望使用 Intune 禁用 Windows Hello 企业版，这篇文章适合您。

为什么要禁用 Windows Hello 企业版？

虽然 Windows hello 是一个很棒的功能，但并不是每个人都需要它。并非所有组织都喜欢使用 Windows hello，因为它需要双因素身份验证而不是密码。当您为 Autopilot 配置的员工分配一台新笔记本电脑时，在 OOBE 期间会出现 Windows Hello。

您的组织在 Autopilot OOBE 期间需要 Windows Hello

下面的屏幕截图是在 OOBE 期间配置了 Autopilot 的笔记本电脑上显示的 Windows Hello 屏幕的示例。在用户驱动的 Autopilot 期间启用 Windows Hello 企业版后，您会看到包含以下消息的窗口：

通过您的帐户使用 Windows Hello。您的组织要求您使用 Windows Hello 脸部识别、指纹或 PIN 码设置您的工作或学校帐户。如果您已在此设备上设置 Windows Hello，我们会自动为此帐户添加它。系统可能会要求您使用 Windows Hello 重新验证。如果您的组织需要更复杂的 PIN，Windows 将提示您更改它。

Windows Hello 和 Windows Hello 企业版之间的区别

借助 Windows Hello，个人可以在其个人设备上创建 PIN 或生物识别手势以方便登录。此配置称为 Windows Hello 便利 PIN，它不受非对称（公钥/私钥）或基于证书的身份验证的支持。

尽管 Windows Hello 企业版是通过组策略或移动设备管理 (MDM) 策略（例如 Intune）进行配置，但始终使用基于密钥或基于证书的身份验证。此行为使其比 Windows Hello 便捷 PIN 更安全。

关闭 Windows Hello 企业版的方法

下面列出了在 Intune 中禁用 Windows hello for Business 配置的不同方法

1. 通过 Windows 注册配置 Windows Hello 企业版（适用于整个租户）
2. 使用 Intune WHfB 设备配置文件禁用 Windows Hello 企业版（范围方法）
3. 使用端点安全 - 帐户保护

我想在这里强调重要的一点。当您从 Windows 注册设置中禁用 Windows hello 企业版时，这些设置将应用于整个租户并且无法确定范围。因此，如果您想在 OOBE 期间删除 Hello for Business 提示（以 Autopilot 为例），请使用此方法。

使用 Intune 禁用 Windows Hello 企业版

您需要使用Intune管理员角色登录。执行以下步骤以使用 Intune 禁用 Windows Hello 企业版：

• 登录 Microsoft Intune 管理中心。
• 转至设备 > Windows > Windows 注册。
• 在常规部分下，选择Windows Hello 企业版。

在 Windows hello for Business 窗口中，我们看到两个选项：

• 配置 Windows Hello 企业版：未配置。
• 使用安全密钥登录：未配置。

在选项“配置 Windows Hello 企业版”旁边，选择下拉列表并选择禁用。禁用后，用户无法预配 Windows Hello 企业版。

注意：如果您不想在设备注册期间启用 Windows Hello 企业版，请将配置 Windows Hello 企业版设置为禁用。设置为“禁用”时，您仍然可以配置 Windows Hello 企业版的后续设置，即使此策略不会启用 Windows Hello 企业版。

当您启用配置 Windows Hello 企业版设置时，您看到的其他选项适用。完成上述更改后，选择保存。

这将禁用

使用 Intune 配置 Windows Hello 企业版

有时，即使禁用 Windows hello 企业版后，用户在登录过程中仍会看到 Windows Hello 屏幕。如果您希望为特定设备组或用户组而不是整个 Intune 租户禁用 Windows hello for Business 设置，则必须创建配置文件。

执行以下步骤在 Intune 中创建设备配置文件以配置 Windows Hello 企业版。首先登录 Intune 管理中心。选择设备 > 配置配置文件 > 创建配置文件。

在创建配置文件窗口中，配置以下内容并选择创建。

• 平台：Windows 10 及更高版本
• 配置文件类型：模板
• 模板名称：身份保护

在基本标签中，输入以下属性。

• 名称：为配置文件输入一个描述性名称，以便您以后可以轻松识别它们。例如，一个好的配置文件名称是“配置 Windows Hello 企业版”。
• 描述：输入配置文件的简短描述。此设置是可选的，但建议使用。

点击下一步。

在设置“配置 Windows Hello 企业版”旁边，单击下拉菜单并选择禁用。设置“使用安全密钥登录”设置为未配置。选择下一步。

在分配选项卡中，选择将接收 WHfB 配置文件的 Azure AD 组。点击下一步。

在适用性规则选项卡上，您可以使用规则、属性和值选项来定义 Intune 如何WHfB 配置文件适用于指定的组内。例如，您可以将此 Windows Hello 企业版配置文件应用到特定的 Windows 版本或操作系统版本。 Intune 将配置文件应用到满足您输入的规则的设备。我不会在此处指定任何内容，请点击下一步。

在查看 + 创建中，查看您的 Windows Hello 企业版设置。当您选择创建时，系统会保存您的更改，并分配 Intune WHfB 配置文件。该政策还会显示在 Intune 管理中心的配置文件列表中。

将 Intune WHfB 配置文件分配给设备和用户后，设备签入 Intune 服务后，配置文件设置将逐渐应用。您还可以在计算机上强制同步 Intune 策略。

监控 Intune WHfB 配置文件状态

您可以通过几个简单的步骤在 Microsoft Intune 中监控设备配置配置文件。此外，您可以检查配置文件的状态、查看分配了哪些设备以及更新配置文件的属性。为此，请转至设备 > 配置配置文件 > 选择配置 Windows Hello 企业版配置文件。在“设备和用户签入状态”部分下，选择查看报告。

从下面的屏幕截图中，我们看到配置文件分配已在多个设备上成功。如果遇到任何错误，错误代码将帮助您解决 Intune 中的配置文件分配失败问题。