我已经对 Windows 11 笔记本电脑和 Azure AD 最终用户体验进行了一些测试。为此,我创建了一个全新的租户。我没有为其添加任何安全/身份许可证,也没有启用任何安全设置。但是,在将笔记本电脑加入 AAD 并成功登录后,我看到一个屏幕,上面写着“使用 Windows Hello 与您的帐户”,以及“您的组织要求您使用 Windows Hello 面部、指纹或 PIN 设置您的工作或学校帐户”,这是一个弥天大谎!
以下是我已应用的设置:
有条件访问 \ 政策 没有政策。
条件访问 \ 经典政策 没有政策。
end.microsoft.com \ 主页 \ 设备 \ Windows \ Windows 注册 \ Windows Hello 企业版 \ 配置 Windows Hello 企业版:已禁用
end.microsoft.com \ 主页 \ 端点安全 \ 帐户保护 \ 创建策略:帐户保护(预览) \ 阻止 Windows Hello 企业版:已启用,已分配给所有用户
end.microsoft.com \ 主页 \ 设备 \ 配置文件 \ 配置文件:myprofile \ 配置设置 \ 配置 Windows Hello 企业版:使用 Passport For Work False
Azure Active Directory\Security \身份验证方法\注册活动(因为提到了 Microsoft Authenticator)状态:已禁用
Azure Active Directory \ 属性 \ 安全默认值已禁用
Microsoft Entra 管理中心\ 保护 \ 身份保护 \ 多重身份验证注册策略 \ 控制:要求 Azure AD 多重身份验证注册:排除用户 \ 策略实施:已禁用
尽管“以防万一”关闭了许多设置,甚至创建了一个演示 Intune 帐户来执行其中一些设置(这是完全不可接受的!),但我无法在初始登录期间摆脱 Windows Hello 强制执行,即使在创建新用户之后也是如此。
在我对这个问题的研究中,我得出的结论是,一旦这些设置应用于设备,即使您禁用该策略,它仍然有效。 有没有可以应用的其他解决方案? 注意:Windows 11 是企业版,没有任何修改。
答案1
好吧,在 Intune 上分配许可证后,问题似乎解决了。