Настройка гибридного развертывания Windows Hello для бизнеса: групповая политика Configure Hybrid Windows Hello for Business: Group Policy

Область применения Applies to

• Windows10 версии1703 или более поздней Windows 10, version 1703 or later
• Гибридное развертывание Hybrid deployment
• Доверие на основе сертификатов Certificate trust

Настройка политики Policy Configuration

Для запуска консоли управления групповыми политиками, которая обеспечивает доступ к новейшим параметрам Windows Hello для бизнеса и групповой политики «Сложность PIN-кода», необходима рабочая станция под управлением Windows10 версии1703. You need a Windows 10, version 1703 workstation to run the Group Policy Management Console, which provides the latest Windows Hello for Business and PIN Complexity Group Policy settings. Чтобы запустить консоль управления групповыми политиками, необходимо установить средства удаленного администрирования сервера для Windows10. To run the Group Policy Management Console, you need to install the Remote Server Administration Tools for Windows 10. Скачать их можно из Центра загрузки Майкрософт. You can download these tools from the Microsoft Download Center. Установите средства удаленного администрирования сервера для Windows10 на компьютере под управлением Windows10 версии1703. Install the Remote Server Administration Tools for Windows 10 on a computer running Windows 10, version 1703.

Другой вариант — создать копию файлов ADMX и ADML из Windows10 Creators Edition (1703) в папку соответствующего языка на сервере Windows Server, или же создать центральное хранилище групповых политик и скопировать их в папку соответствующего языка. Alternatively, you can create copy the .ADMX and .ADML files from a Windows 10 Creators Edition (1703) to their respective language folder on a Windows Server or you can create a Group Policy Central Store and copy them their respective language folder. Дополнительные сведения см. в статье Как создать центральное хранилище для административных шаблонов групповой политики в Windows и управлять им. See How to create and manage the Central Store for Group Policy Administrative Templates in Windows for more information.

Контроллерам доменов в развертываниях Windows Hello для бизнеса необходим один параметр групповой политики, обеспечивающий автоматическую регистрацию новых сертификатов проверки подлинности контроллера домена. Domain controllers of Windows Hello for Business deployments need one Group Policy setting, which enables automatic certificate enrollment for the newly create domain controller authentication certificate. Этот параметр политики гарантирует, что контроллеры домена (новые и существующие) автоматически запрашивают и возобновляют правильный сертификат контроллера домена. This policy setting ensures domain controllers (new and existing) automatically request and renew the correct domain controller certificate.

Присоединенным к домену клиентам в локальных развертываниях Windows Hello для бизнеса с доверием на основе сертификатов требуется три параметра групповой политики: Domain joined clients of hybrid certificate-based deployments of Windows Hello for Business needs three Group Policy settings:

• Включить Windows Hello для бизнеса Enable Windows Hello for Business
• Использовать сертификат для локальной проверки подлинности Use certificate for on-premises authentication
• Включить автоматическую регистрацию сертификатов Enable automatic enrollment of certificates

Настройка контроллеров домена для автоматической регистрации сертификатов Configure Domain Controllers for Automatic Certificate Enrollment

Контроллеры домена автоматически запрашивают сертификат на основе шаблона сертификата контроллера домена. Domain controllers automatically request a certificate from the Domain Controller certificate template. Однако контроллер домена не знает о более новых шаблонах сертификатов или устаревших конфигурациях шаблонов сертификатов. However, the domain controller is unaware of newer certificate templates or superseded configurations on certificate templates.

Чтобы продолжить автоматическую регистрацию и обновление сертификатов контроллера домена, которые знают о более новых шаблонах сертификатов и устаревших конфигурациях шаблона сертификата, создайте и настройте объект групповой политики для автоматической регистрации сертификатов и свяжите объект групповой политики с OU контроллеров домена. To continue automatic enrollment and renewal of domain controller certificates that understand newer certificate template and superseded certificate template configurations, create and configure a Group Policy object for automatic certificate enrollment and link the Group Policy object to the Domain Controllers OU.

Создание объекта групповой политики «Автоматическая регистрация сертификатов контроллера домена» Create a Domain Controller Automatic Certificate Enrollment Group Policy object

Войдите в контроллер домена или на рабочие станции управления, используя учетные данные, эквивалентные администратору домена. Sign-in a domain controller or management workstations with Domain Admin equivalent credentials.

1. Запустите Консоль управления групповыми политиками (gpmc.msc) Start the Group Policy Management Console (gpmc.msc)
2. В области навигации разверните домен и выберите узел Объект групповой политики. Expand the domain and select the Group Policy Object node in the navigation pane.
3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать. Right-click Group Policy object and select New
4. Введите Автоматическая регистрация сертификатов контроллера домена в поле имени и нажмите кнопку ОК. Type Domain Controller Auto Certificate Enrollment in the name box and click OK.
5. Щелкните правой кнопкой мыши объект групповой политики Автоматическая регистрация сертификатов контроллера домена и щелкните Изменить. Right-click the Domain Controller Auto Certificate Enrollment Group Policy object and click Edit.
6. В области навигации в узле Конфигурация компьютера разверните Политики. In the navigation pane, expand Policies under Computer Configuration.
7. Разверните Параметры Windows, Параметры безопасности и выберите Политики открытого ключа. Expand Windows Settings, Security Settings, and click Public Key Policies.
8. В области сведений щелкните правой кнопкой мыши Клиент служб сертификации — автоматическая регистрация и выберите Свойства. In the details pane, right-click Certificate Services Client — Auto-Enrollment and select Properties.
9. В окне Модель конфигурации выберите Включено. Select Enabled from the Configuration Model list.
10. Установите флажок Обновлять сертификаты с истекшим сроком действияили в состоянии ожиданияи удалять отозванные сертификаты. Select the Renew expired certificates, update pending certificates, and remove revoked certificates check box.
11. Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов. Select the Update certificates that use certificate templates check box.
12. Нажмите кнопку OK. Click OK. Закройте Редактор управления групповыми политиками. Close the Group Policy Management Editor.

Развертывание объекта групповой политики «Автоматическая регистрация сертификатов контроллера домена» Deploy the Domain Controller Auto Certificate Enrollment Group Policy Object

Войдите в контроллер домена или на рабочие станции управления, используя учетные данные, эквивалентные администратору домена. Sign-in a domain controller or management workstations with Domain Admin equivalent credentials.

1. Запустите Консоль управления групповыми политиками (gpmc.msc). Start the Group Policy Management Console (gpmc.msc)
2. В области навигации разверните домен и узел, имя которого соответствует имени вашего домена Active Directory. In the navigation pane, expand the domain and expand the node that has your Active Directory domain name. Щелкните правой кнопкой мыши подразделение Контроллеры домена и щелкните Связать существующий объект групповой политики Right-click the Domain Controllers organizational unit and click Link an existing GPO
3. В диалоговом окне Выбор объекта групповой политики выберите Автоматическая регистрация сертификатов контроллера домена или имя объекта групповой политики регистрации сертификата контроллера домена, созданный ранее, и нажмите кнопку ОК. In the Select GPO dialog box, select Domain Controller Auto Certificate Enrollment or the name of the domain controller certificate enrollment Group Policy object you previously created and click OK.

Групповая политика Windows Hello для бизнеса Windows Hello for Business Group Policy

Объект групповой политики Windows Hello для бизнеса предоставляет пользователю верные параметры групповой политики, что дает пользователю возможность зарегистрироваться в службе Windows Hello для бизнеса и использовать ее для проверки подлинности в Azure и Active Directory The Windows Hello for Business Group Policy object delivers the correct Group Policy settings to the user, which enables them to enroll and use Windows Hello for Business to authenticate to Azure and Active Directory

Включить Windows Hello для бизнеса Enable Windows Hello for Business

Параметр групповой политики «Включить Windows Hello для бизнеса» необходим Windows для определения того, следует ли пользователю пытаться регистрироваться в Windows Hello для бизнеса. The Enable Windows Hello for Business Group Policy setting is the configuration needed for Windows to determine if a user should be attempt to enroll for Windows Hello for Business. Пользователь будет пытаться регистрироваться только в случае, если этот параметр политики включен. A user will only attempt enrollment if this policy setting is configured to enabled.

Настраивать параметр групповой политики «Включить Windows Hello для бизнеса» можно для компьютеров или пользователей. You can configure the Enable Windows Hello for Business Group Policy setting for computer or users. Развертывание этого параметра политики для компьютеров приведет к тому, что ВСЕ пользователи, входящие в систему на таких компьютерах, будут пытаться регистрироваться в Windows Hello для бизнеса. Deploying this policy setting to computers results in ALL users that sign-in that computer to attempt a Windows Hello for Business enrollment. Развертывание этого параметра политики для пользователя приведет к тому, что только этот пользователь будет пытаться регистрироваться в Windows Hello для бизнеса. Deploying this policy setting to a user results in only that user attempting a Windows Hello for Business enrollment. Кроме того, можно развернуть этот параметр политики для группы пользователей, чтобы только эти пользователи пытались регистрироваться в Windows Hello для бизнеса. Additionally, you can deploy the policy setting to a group of users so only those users attempt a Windows Hello for Business enrollment. Если развернуты параметры политики и для пользователей, и для компьютеров, параметр политики для пользователей имеет приоритет. If both user and computer policy settings are deployed, the user policy setting has precedence.

Использовать сертификат для локальной проверки подлинности Use certificate for on-premises authentication

Параметр групповой политики «Использовать сертификат для локальной проверки подлинности» определяет, какая модель проверки подлинности используется для локального развертывания — модель доверия на основе ключей или модель доверия на основе сертификатов. The Use certificate for on-premises authentication Group Policy setting determines if the on-premises deployment uses the key-trust or certificate trust on-premises authentication model. Необходимо настроить этот параметр групповой политики, чтобы настроить Windows для подачи заявки на сертификат проверки подлинности Windows Hello для бизнеса. You must configure this Group Policy setting to configure Windows to enroll for a Windows Hello for Business authentication certificate. Если этот параметр политики не настроен, Windows считает, что развертывание использует локальную проверку подлинности по модели доверия на основе ключей, для чего требуется достаточное количество контроллеров домена Windows Server2016 для обработки запросов проверки подлинности на основе ключей, создаваемых Windows Hello для бизнеса. If you do not configure this policy setting, Windows considers the deployment to use key-trust on-premises authentication, which requires a sufficient number of Windows Server 2016 domain controllers to handle the Windows Hello for Business key-trust authentication requests.

Этот параметр групповой политики можно настраивать для компьютеров или пользователей. You can configure this Group Policy setting for computer or users. Развертывание этого параметра политики для компьютеров приведет к тому, что ВСЕ пользователи будут запрашивать сертификат проверки подлинности Windows Hello для бизнеса. Deploying this policy setting to computers results in ALL users requesting a Windows Hello for Business authentication certificate. Развертывание этого параметра политики для пользователя приведет к тому, что только этот пользователь будет запрашивать сертификат проверки подлинности Windows Hello для бизнеса. Deploying this policy setting to a user results in only that user requesting a Windows Hello for Business authentication certificate. Кроме того, можно развернуть этот параметр политики для группы пользователей, чтобы только эти пользователи запрашивали сертификат проверки подлинности Windows Hello для бизнеса. Additionally, you can deploy the policy setting to a group of users so only those users request a Windows Hello for Business authentication certificate. Если развернуты параметры политики и для пользователей, и для компьютеров, параметр политики для пользователей имеет приоритет. If both user and computer policy settings are deployed, the user policy setting has precedence.

Включить автоматическую регистрацию сертификатов Enable automatic enrollment of certificates

При подготовке Windows Hello для бизнеса производится первоначальная регистрация сертификата проверки подлинности Windows Hello для бизнеса. Windows Hello for Business provisioning performs the initial enrollment of the Windows Hello for Business authentication certificate. Срок действия этого сертификата истекает в зависимости от длительности, настроенной в шаблоне сертификата проверки подлинности Windows Hello для бизнеса. This certificate expires based on the duration configured in the Windows Hello for Business authentication certificate template. Функциональность автоматической регистрации сертификатов в Windows10 версии1703 была обновлена так, чтобы сделать возможным продление этих сертификатов до истечения срока их действия, что значительно уменьшает количество ошибок при проверке подлинности, связанных с сертификатами с истекшим сроком действия. The Windows 10, version 1703 certificate auto enrollment was updated to renew these certificates before they expire, which significantly reduces user authentication failures from expired user certificates.

Этот процесс не требует вмешательства пользователя— при условии, что пользователь выполняет вход с помощью Windows Hello для бизнеса. The process requires no user interaction provided the user signs-in using Windows Hello for Business. Сертификат продлевается в фоновом режиме до того, как истечет срок его действия. The certificate is renewed in the background before it expires.

Создание объекта групповой политики Windows Hello для бизнеса Create the Windows Hello for Business Group Policy object

Объект групповой политики содержит параметры политики, необходимые для запуска подготовки Windows Hello для бизнеса, а также для обеспечения автоматического продления сертификатов проверки подлинности Windows Hello для бизнеса. The Group Policy object contains the policy settings needed to trigger Windows Hello for Business provisioning and to ensure Windows Hello for Business authentication certificates are automatically renewed.

Войдите в контроллер домена или на рабочие станции управления, используя учетные данные, эквивалентные администратору домена. Sign-in a domain controller or management workstations with Domain Admin equivalent credentials.

1. Запустите Консоль управления групповыми политиками (gpmc.msc) Start the Group Policy Management Console (gpmc.msc)
2. В области навигации разверните домен и выберите узел Объект групповой политики. Expand the domain and select the Group Policy Object node in the navigation pane.
3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать. Right-click Group Policy object and select New.
4. Введите Включить Windows Hello для бизнеса в поле имени и нажмите кнопку ОК. Type Enable Windows Hello for Business in the name box and click OK.
5. В области содержимого щелкните правой кнопкой мыши объект групповой политики Включить Windows Hello для бизнеса и выберите Изменить. In the content pane, right-click the Enable Windows Hello for Business Group Policy object and click Edit.
6. В области навигации в узле Конфигурация пользователя разверните Политики. In the navigation pane, expand Policies under User Configuration.
7. Разверните Административные шаблоны > Компонент Windows и выберите Windows Hello для бизнеса. Expand Administrative Templates > Windows Component, and select Windows Hello for Business.
8. В области содержимого дважды щелкните Использовать Windows Hello для бизнеса. In the content pane, double-click Use Windows Hello for Business. Щелкните Включить и нажмите кнопку ОК. Click Enable and click OK.
9. Дважды щелкните Использовать сертификат для локальной проверки подлинности. Double-click Use certificate for on-premises authentication. Щелкните Включить и нажмите кнопку ОК. Click Enable and click OK. Закройте Редактор управления групповыми политиками. Close the Group Policy Management Editor.

Настройка автоматической регистрации сертификатов Configure Automatic Certificate Enrollment

1. Запустите Консоль управления групповыми политиками (gpmc.msc). Start the Group Policy Management Console (gpmc.msc).
2. В области навигации разверните домен и выберите узел Объект групповой политики. Expand the domain and select the Group Policy Object node in the navigation pane.
3. Щелкните правой кнопкой мыши объект групповой политики Включить Windows Hello для бизнеса и выберите Изменить. Right-click the Enable Windows Hello for Business Group Policy object and click Edit.
4. В области навигации в узле Конфигурация пользователя разверните Политики. In the navigation pane, expand Policies under User Configuration.
5. Разверните Параметры Windows > Параметры безопасности и выберите Политики открытого ключа. Expand Windows Settings > Security Settings, and click Public Key Policies.
6. В области сведений щелкните правой кнопкой мыши Клиент служб сертификации — автоматическая регистрация и выберите Свойства. In the details pane, right-click Certificate Services Client — Auto-Enrollment and select Properties.
7. В окне Модель конфигурации выберите Включено. Select Enabled from the Configuration Model list.
8. Установите флажок Обновлять сертификаты с истекшим сроком действияили в состоянии ожиданияи удалять отозванные сертификаты. Select the Renew expired certificates, update pending certificates, and remove revoked certificates check box.
9. Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов. Select the Update certificates that use certificate templates check box.
10. Нажмите кнопку OK. Click OK. Закройте Редактор управления групповыми политиками. Close the Group Policy Management Editor.

Настройка безопасности в объекте групповой политики Windows Hello для бизнеса Configure Security in the Windows Hello for Business Group Policy object

Самый лучший способ развертывания объекта групповой политики Windows Hello для бизнеса— это использование фильтрации по группам безопасности. The best way to deploy the Windows Hello for Business Group Policy object is to use security group filtering. Благодаря этому можно легко управлять пользователями, которые должны получить Windows Hello для бизнеса, просто добавляя их в группу. The enables you to easily manage the users that should receive Windows Hello for Business by simply adding them to a group. Это позволяет развернуть Windows Hello для бизнеса в несколько этапов. This enables you to deploy Windows Hello for Business in phases.

1. Запустите Консоль управления групповыми политиками (gpmc.msc) Start the Group Policy Management Console (gpmc.msc)
2. В области навигации разверните домен и выберите узел Объект групповой политики. Expand the domain and select the Group Policy Object node in the navigation pane.
3. Дважды щелкните объект групповой политики Включить Windows Hello для бизнеса. Double-click the Enable Windows Hello for Business Group Policy object.
4. В разделе Фильтрация ограничений безопасности области содержимого нажмите кнопку Добавить. In the Security Filtering section of the content pane, click Add. Введите Пользователи Windows Hello для бизнеса или имя ранее созданной группы безопасности и нажмите кнопку ОК. Type Windows Hello for Business Users or the name of the security group you previously created and click OK.
5. Перейдите на вкладку Делегирование, выберите Прошедшие проверку и нажмите кнопку Дополнительно. Click the Delegation tab. Select Authenticated Users and click Advanced.
6. В списке Группы или пользователи выберите Прошедшие проверку. In the Group or User names list, select Authenticated Users. В списке Разрешения для прошедших проверку пользователей снимите флажок Разрешить для разрешения Применить групповую политику. In the Permissions for Authenticated Users list, clear the Allow check box for the Apply Group Policy permission. Нажмите кнопку OK. Click OK.

Развертывание объекта групповой политики Windows Hello для бизнеса Deploy the Windows Hello for Business Group Policy object

При применении объекта групповой политики Windows Hello для бизнеса используется фильтрация по группам безопасности. The application of the Windows Hello for Business Group Policy object uses security group filtering. Это позволяет привязать объект групповой политики к домену, что гарантирует, что объект групповой политики будет находиться в пределах области для всех пользователей. This enables you to link the Group Policy object at the domain, ensuring the Group Policy object is within scope to all users. Тем не менее, фильтрация по группам безопасности гарантирует, что только пользователи, входящие в глобальную группу Пользователи Windows Hello для бизнеса, будут получать и применять объект групповой политики, что приводит к подготовке Windows Hello для бизнеса. However, the security group filtering ensures only the users included in the Windows Hello for Business Users global group receive and apply the Group Policy object, which results in the provisioning of Windows Hello for Business.

1. Запустите Консоль управления групповыми политиками (gpmc.msc). Start the Group Policy Management Console (gpmc.msc)
2. В области навигации разверните домен, щелкните правой кнопкой мыши узел с именем вашего домена Active Directory и выберите Связать существующий объект групповой политики In the navigation pane, expand the domain and right-click the node that has your Active Directory domain name and click Link an existing GPO
3. В диалоговом окне Выбор объекта групповой политики выберите Включить Windows Hello для бизнеса или имя ранее созданного объекта групповой политики Windows Hello для бизнеса и нажмите кнопку ОК. In the Select GPO dialog box, select Enable Windows Hello for Business or the name of the Windows Hello for Business Group Policy object you previously created and click OK.

Повторим еще раз, что привязка объекта групповой политики Windows Hello для бизнеса к домену гарантирует, что объект групповой политики находится в пределах области для всех пользователей. Just to reassure, linking the Windows Hello for Business Group Policy object to the domain ensures the Group Policy object is in scope for all domain users. Параметры политики, однако, будут применяться не ко всем пользователям. However, not all users will have the policy settings applied to them. Только пользователи, являющиеся членами группы Windows Hello для бизнеса, будут получать параметры политики. Only users who are members of the Windows Hello for Business group receive the policy settings. Все остальные пользователи этот объект групповой политики будут игнорировать. All others users ignore the Group Policy object.

Другие связанные параметры групповой политики Other Related Group Policy settings

Windows Hello для бизнеса Windows Hello for Business

Существуют другие параметры политики Windows Hello для бизнеса, которые можно настроить для управления вашим развертыванием Windows Hello для бизнеса. There are other Windows Hello for Business policy settings you can configure to manage your Windows Hello for Business deployment. Эти параметры политики представляют собой параметры политики для компьютеров, т.е. они применяются к любому пользователю, выполняющему вход с компьютера с этими параметрами политики. These policy settings are computer-based policy setting; so they are applicable to any user that sign-in from a computer with these policy settings.

Использование устройства аппаратной защиты Use a hardware security device

По умолчанию Windows Hello для бизнеса отдает предпочтение аппаратно защищенным учетным данным, однако не все компьютеры способны создавать аппаратно защищенные учетные данные. The default configuration for Windows Hello for Business is to prefer hardware protected credentials; however, not all computers are able to create hardware protected credentials. Когда при регистрации в Windows Hello для бизнеса обнаруживается компьютер, который не способен создавать аппаратно защищенные учетные данные, создаются программные учетные данные. When Windows Hello for Business enrollment encounters a computer that cannot create a hardware protected credential, it will create a software-based credential.

Можно настроить и развернуть параметр групповой политики Использование устройства аппаратной защиты, чтобы принудить Windows Hello для бизнеса создавать только аппаратно защищенные учетные данные. You can enable and deploy the Use a hardware security device Group Policy Setting to force Windows Hello for Business to only create hardware protected credentials. Пользователи, которые выполняют вход с компьютера, неспособного создавать аппаратно защищенные учетные данные, не регистрируются в Windows Hello для бизнеса. Users that sign-in from a computer incapable of creating a hardware protected credential do not enroll for Windows Hello for Business.

При включении параметра групповой политики Использование устройства аппаратной защиты становится доступен еще один параметр политики, который позволяет запретить использовать для регистрации в Windows Hello для бизнеса доверенные платформенные модули (TPM) версии1.2. Another policy setting becomes available when you enable the Use a hardware security device Group Policy setting that enables you to prevent Windows Hello for Business enrollment from using version 1.2 Trusted Platform Modules (TPM). Доверенные платформенные модули версии 1,2 обычно выполняют криптографические операции медленнее, 2,0 чем доверенные платформенные модули, и больше унфоргивинг во время действий с блокировкой и закреплением. Version 1.2 TPMs typically perform cryptographic operations slower than version 2.0 TPMs and are more unforgiving during anti-hammering and PIN lockout activities. Таким образом, в некоторых организациях не требуется использовать медленные входные данные и дополнительные возможности управления для доверенных платформенных модулях версии 1,2. Therefore, some organization may not want slow sign-in performance and management overhead associated with version 1.2 TPMs. Чтобы запретить Windows Hello для бизнеса использовать TPM версии1.2, просто установите флажок «Доверенный платформенный модуль версии 1.2» после включения объекта групповой политики «Использование устройства аппаратной защиты». To prevent Windows Hello for Business from using version 1.2 TPMs, simply select the TPM 1.2 check box after you enable the Use a hardware security device Group Policy object.

Использование биометрии Use biometrics

В сочетании с биометрическими данными Windows Hello для бизнеса обеспечивает пользователям максимальный комфорт. Windows Hello for Business provides a great user experience when combined with the use of biometrics. Вместо предоставления для входа в систему PIN-кода пользователь может использовать для входа в Windows отпечатки пальцев или распознавание лиц, не жертвуя при этом безопасностью. Rather than providing a PIN to sign-in, a user can use a fingerprint or facial recognition to sign-in to Windows, without sacrificing security.

По умолчанию Windows Hello для бизнеса позволяет пользователям регистрироваться и использовать биометрические данные. The default Windows Hello for Business enables users to enroll and use biometrics. Некоторые организации, однако, пока не готовы переходить на биометрию, и хотели бы пока отключить ее использование. However, some organization may want more time before using biometrics and want to disable their use until they are ready. Чтобы запретить пользователям использовать биометрические данные, отключите параметр групповой политики Использование биометрии и примените его к своим компьютерам. To not allow users to use biometrics, configure the Use biometrics Group Policy setting to disabled and apply it to your computers. Параметр политики отключает все биометрические данные. The policy setting disabled all biometrics. В настоящее время в Windows не предусмотрено детальных параметров политики, которые позволяли бы отключать конкретные модальности биометрии (например, разрешить распознавание лиц, но запретить использование отпечатков пальцев). Currently, Windows does not provide granular policy setting that enable you to disable specific modalities of biometrics such as allow facial recognition, but disallow fingerprint.

Сложность PIN-кода PIN Complexity

Сложность PIN-кода относится не только к Windows Hello для бизнеса. PIN complexity is not specific to Windows Hello for Business. Windows10 позволяет пользователям использовать PIN-коды за пределами Windows Hello для бизнеса. Windows 10 enables users to use PINs outside of Windows Hello for Business. Параметры групповой политики «Сложность PIN-кода» применяются ко всем ситуациям использования PIN-кодов, даже когда Windows Hello для бизнеса не развернута. PIN Complexity Group Policy settings apply to all uses of PINs, even when Windows Hello for Business is not deployed.

В Windows10 предусмотрено восемь параметров групповой политики «Сложность PIN-кода», которые обеспечивают детальный контроль над созданием PIN-кодов и управлением ими. Windows 10 provides eight PIN Complexity Group Policy settings that give you granular control over PIN creation and management. Эти параметры политики можно развертывать для компьютеров, т.е. они будут влиять на всех пользователей, создающих PIN-коды на данном компьютере; или же их можно развертывать для пользователей, т.е. они будут влиять на создание PIN-кодов данными пользователями вне зависимости от используемого ими компьютера. You can deploy these policy settings to computers, where they affect all users creating PINs on that computer; or, you can deploy these settings to users, where they affect those users creating PINs regardless of the computer they use. При развертывании параметров групповой политики сложности PIN-кода и для компьютеров, и для пользователей, параметры политики для пользователей имеют приоритет над параметрами политики для компьютеров. If you deploy both computer and user PIN complexity Group Policy settings, the user policy settings have precedence over computer policy settings. Кроме того, разрешение таких конфликтов зависит от того, какая политика была применена последней. Also, this conflict resolution is based on the last applied policy. Windows не объединяет параметры политики автоматически, однако можно развернуть групповую политику для достижения разнообразных конфигураций. Windows does not merge the policy settings automatically; however, you can deploy Group Policy to provide to accomplish a variety of configurations. Предусмотрены следующие параметры политики: The policy settings included are:

• Требовать использование цифр Require digits
• Требовать использование строчных букв Require lowercase letters
• Максимальная длина PIN-кода Maximum PIN length
• Минимальная длина PIN-кода Minimum PIN length
• Срок действия Expiration
• Журнал History
• Требовать использование специальных символов Require special characters
• Требовать использование прописных букв Require uppercase letters

Начиная с Windows 10 версии 1703, параметры групповой политики сложности PIN-кода были перемещены, чтобы у пользователей не складывалось впечатление, что параметры политики сложности PIN-кода относятся исключительно к Windows Hello для бизнеса. Starting with Windows 10, version 1703, the PIN complexity Group Policy settings have moved to remove misunderstanding that PIN complexity policy settings were exclusive to Windows Hello for Business. Теперь эти параметры групповой политики находятся в разделе Конфигурация компьютера\Административные шаблоны\Система\Сложность PIN-кода редактора групповых политик. The new location of these Group Policy settings is under Computer Configuration\Administrative Templates\System\PIN Complexity of the Group Policy editor.

Добавление пользователей в группу «Пользователи Windows Hello для бизнеса» Add users to the Windows Hello for Business Users group

Пользователи должны получать параметры групповой политики Windows Hello для бизнеса и иметь соответствующие разрешения на регистрацию сертификата для проверки подлинности Windows Hello для бизнеса. Users must receive the Windows Hello for Business group policy settings and have the proper permission to enroll for the Windows Hello for Business Authentication certificate. Предоставить пользователям эти параметры и разрешения можно путем добавления группы, используемой для синхронизации пользователей, в группу «Пользователи Windows Hello для бизнеса». You can provide users with these settings and permissions by adding the group used synchronize users to the Windows Hello for Business Users group. Пользователи и группы, которые не являются членами этой группы, не будут пытаться регистрироваться в Windows Hello для бизнеса. Users and groups who are not members of this group will not attempt to enroll for Windows Hello for Business.