打开组策略编辑器, 定位到 Computer Configuration\Administrative Templates\Windows Components\Windows Hello for Business
修改 Configure device unlock factors 策略, 你可以在这里配置你需要哪两种解锁设备的方式, 比如我在 Surafce 上配置的策略是:
第一个解锁因素: 和谐测试 (人脸)
第二个解锁因素: 和谐测试 (PIN)
对应的 GUID(部分):
PIN 和谐测试
指纹 和谐测试
人脸 和谐测试
Trusted Signal (手机靠近, 网络位置) 和谐测试
我并不使用 Trusted Signal 作为验证方式, 所以没有测试用起来是否流畅. 不过估计 Trusted Signal 可以给那些没有指纹 /人脸的设备做额外验证, 比如 手机蓝牙信号 + PIN 双因素, 这样只有两个因素都具备了才能解锁计算机.
文档就在帮助信息里面.
Surface Go, Facial Recognition + PIN:
登陆界面先扫脸成功, 会提示组织需要额外的验证步骤以登录计算机, 输入 PIN 即可解锁.
如果手动选择 PIN 登陆, 则 PIN 验证完后会有一个转圈动画, 然后自动启动人脸识别, 识别成功就登陆了.
如果输入密码, 则不需要任何的额外验证. 这符合需求, 万一 PIN 忘记了或者人脸识别抽风了(我只遇到过一次)也能登录.
ps: 我也是最近才发现这个功能的, 我的计算机不受 AD 域的管理, 纯个人计算机, 所以不清楚这样是否有额外的隐患, 比如特定操作让两个因素的验证变成一个因素也能登录这种... 如果有误, 感谢指正.
pps: 传统的仅人脸 /指纹的方式让我很不放心, 人脸 /指纹信息基本无法改变, 又容易泄露, 纯 PIN 登陆在公共场合也不方便. 而生物因素验证 + PIN 验证在一定程度上能作为互补, 增大破解难度, 我个人觉得还是有用的, 不知道大家怎样看待这种双因素验证?
ppps: 作为微软的粉丝我真的好累, 一边骂微软 Bug 万年不修, 一边又真香...
pppps: 如果计算机没有生物识别设备(指纹 /人脸 /虹膜), 感兴趣的也可以试试 PIN + Trusted Sinal 这种双因素验证方式
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.