Windows Hello for Business Windows Hello for Business 的配置 Windows Hello for Business PIN 复杂性 手机登录 使用 Windows Hello for Business Windows Hello for Business 是使用 Active Directory 或 Azure Active Directory 帐户登录到 Windows 的替代方法，可以取代密码、智能卡和虚拟智能卡。 如果启用此策略，则设备将使用密钥或证书为所有用户预配 Windows Hello for Business。 如果禁用此策略设置，则设备将不会为任何用户预配 Windows Hello for Business。 如果未配置此策略设置，则用户可以将 Windows Hello for Business 预配为便利凭据来加密其域密码。 使用硬件安全设备 与软件相比，受信任的平台模块(TPM)具有额外的安全优势，因为存储在其内部的数据无法在其他设备上使用。 如果启用此策略设置，则只有配有可用 TPM 的设备才可以预配 Windows Hello for Business。 如果禁用或未配置此策略设置，则仍会首选 TPM，但所有设备都可以使用软件来预配 Windows Hello for Business (如果 TPM 无法正常运行或不可用)。 最小 PIN 长度 “最小 PIN 长度”配置 PIN 所需的最小字符数。可为此策略设置配置的最小数字是 4。可以配置的最大数字必须小于“最大 PIN 长度”策略设置中配置的数字或数字 127 (取两者中最小的)。 如果配置了此策略设置，则 PIN 长度必须大于或等于此数字。 如果禁用或未配置此策略设置，则 PIN 长度必须大于或等于 4。 注意: 如果不满足上述指定的最小 PIN 长度的条件，则最大和最小 PIN 长度将使用默认值。 最大 PIN 长度 “最大 PIN 长度”配置 PIN 所允许的最大字符数。可为此策略设置配置的最大数字是 127。可以配置的最小数字必须大于“最小 PIN 长度”策略设置中配置的数字或数字 4 (取两者中较大的)。 如果配置了此策略设置，则 PIN 长度必须小于或等于此数字。 如果禁用或未配置此策略设置，则 PIN 长度必须小于或等于 127。 注意: 如果不满足上述指定的最大 PIN 长度的条件，则最大和最小 PIN 长度将使用默认值。 要求包含大写字母 使用此策略设置可配置 PIN 中大写字母的使用。 如果启用此策略设置，Windows Hello for Business 将要求用户在其 PIN 中至少包含一个大写字母。 如果禁用或未配置此策略设置，Windows Hello for Business 将不允许用户在其 PIN 中使用大写字母。 要求包含小写字母 使用此策略设置可配置 PIN 中小写字母的使用。 如果启用此策略设置，Windows Hello for Business 将要求用户在其 PIN 中至少包含一个小写字母。 如果禁用或未配置此策略设置，Windows Hello for Business 将不允许用户在其 PIN 中使用小写字母。 要求包含特殊字符 ? @ [ \ ] ^ _ ` { | } ~ 。 如果启用此策略设置，Windows Hello for Business 将要求用户在其 PIN 中至少包含一个特殊字符。 如果禁用或未配置此策略设置，Windows Hello for Business 将不允许用户在其 PIN 中使用特殊字符。]]> 要求包含数字 使用此策略设置可配置 PIN 中数字的使用。 如果启用或未配置此策略设置，Windows Hello for Business 将要求用户在其 PIN 中至少包含一个数字。 如果禁用此策略设置，Windows Hello for Business 将不允许用户在其 PIN 中使用数字。 历史记录 此设置指定可以关联到不可重用用户帐户的以往 PIN 数。管理员可以通过此策略来确保不会持续重复使用旧 PIN，从而增强安全性。无法通过 PIN 重置来保留 PIN 历史记录。 该值必须为 0 到 50 个 PIN。如果此策略设置为 0，则不需要存储以前的 PIN。 默认值: 0。 过期时间 此设置指定在系统要求用户更改某个 PIN 之前，该 PIN 可以使用的期限(天)。可将 PIN 设置为在介于 1 和 730 天之间的任意天数后过期。如果策略设置为 0，则可以将 PIN 设置为永不过期。 默认值: 0。 使用生物特征 Windows Hello for Business 允许用户使用生物特征手势(如脸和指纹)作为 PIN 手势的替代。但是，用户仍然必须配置 PIN 以便在发生故障时使用。 如果启用或未配置此策略设置，Windows Hello for Business 将允许使用生物特征手势。 如果禁用此策略设置，Windows Hello for Business 将阻止使用生物特征手势。 注意: 禁用此策略将在所有帐户类型的设备上阻止使用生物特征手势。 使用手机登录 使用此策略设置可以配置手机登录的使用。手机登录使手机可用作桌面身份验证的配套设备。手机登录要求电脑和手机已注册到同一个 Azure AD 租户。此外，手机必须已在 Windows Hello for Business 中注册。 如果启用此策略设置，则会启用手机登录，因此可以使用手机作为桌面身份验证的配套设备。 如果禁用或未配置此策略设置，则将禁用手机登录，从而会阻止将手机用作桌面身份验证的配套设备。 最小 PIN 长度 最大 PIN 长度 大写字母: 小写字母: 特殊字符: 数字: PIN 历史记录 PIN 过期时间